Arquivo do autor:Asug Administrador

Com processos equilibrados e eficientes, todos nós saímos ganhando, aponta especialista em novo artigo

Ainda estamos nos acostumando a relacionar Inteligência Artificial, Reconhecimento Facial e vídeo-monitoramento à proteção. Mesmo assim, já temos uma certa familiaridade com as experiências que já foram desenvolvidas em função de projetos focados em proteção tanto pública, quanto corporativa.

O que ainda não estamos ambientados é linkar estes termos à eficiência, otimização de processos e recursos, além do aumento de produtividade. Pensando em oferecer uma melhor experiência para os clientes e, claro, tornar-se mais competitivas, muitas empresas apostam em vídeo-monitoramento inteligente para ter mais controle sua operação.

A China, por exemplo, usa inteligência artificial para controlar restaurantes. Desde janeiro deste ano, mais de 1.700 câmeras foram instaladas em 800 restaurantes do distrito de Minhang, dentro de um plano que pretende garantir a segurança alimentar. A tecnologia inclui funcionalidades que permitem medir a temperatura, a umidade e detectar práticas ruins dos cozinheiros.

Através do reconhecimento facial, as câmeras também detectam a presença de pessoas não autorizadas na cozinha. Quando acontece alguma inconformidade com os parâmetros configurados, um alerta é emitido para uma central. E não é só isso: os equipamentos também detectam seres que não deveriam estar ali, como ratos. A perspectiva é que, em breve, a solução poderá detectar animais menores, como baratas.

A ferramenta também garante a qualidade, controle e produtividade do trabalho. Grandes redes de restaurantes possuem processos de produção extremamente rígidos, tudo isso para garantir a maior eficácia possível dentro do trabalho. Com o monitoramento, é possível visualizar se os profissionais estão agindo dentro do combinado e corrigir procedimentos que não estão atingindo o resultado esperado.

Outro bom exemplo é que, recentemente, uma empresa de aplicativo de transporte anunciou a checagem de motoristas via reconhecimento facial. Isso fez com que mais uma camada de segurança fosse instalada na operação, o que possibilita uma experiência melhor e mais segura tanto para o usuário final, quanto para os motoristas parceiros.

O reconhecimento facial se junta agora às demais ferramentas tecnológicas para aumentar a produtividade das companhias. Assim, fica mais fácil oferecer melhores serviços e produtos por um preço cada vez mais acessível. Com processos equilibrados e eficientes, todos nós saímos ganhando.

Fonte: Computerworld
Autor: Maurício Ciaccio

A ASUG Brasil realizará no dia 20 de Agosto o evento ASUG Day Recife.

Através dos excelentes conteúdos oferecidos em nossas palestras, você ficará por dentro de todas as novidades do ecossistema SAP. Você também poderá compartilhar conhecimentos e estreitar relacionamentos com os demais participantes.

Venha conferir as novidades sobre o mundo SAP.

O evento ocorrerá no Hotel Atlante Plaza – Av. Boa Viagem, nº 5426 – Boa Viagem – Recife – PE

Detecção e mitigação de ameaças estão mais difíceis. Um quarto das empresas relata aumento de prejuízos financeiros causados por violações

Ao longo do ano passado, em todo o mundo, as equipes de TI assistiram, horrorizadas, a uma sequência de violações de segurança corporativa divulgadas pela mídia. Mas as manchetes que revelam apenas uma fração do que realmente ocorreu. O uso da tecnologia digital se expande a cada dia, assim como o número de criminosos cibernéticos à espreita na “Darknet”, que estão prontos e dispostos a tirar proveito de quaisquer pontos fracos na tecnologia que forem capazes de detectar. Como resultado, conforme destacado na Pesquisa do Estado do Cibercrime dos EUA de 2018, organizações de todos os tipos e tamanhos sofreram um ataque cibernético que levaram a prejuízos bilionários.

Essas tendências indesejáveis estão pressionando mais e mais empresas a levar a segurança da TI mais a sério, o que é bom. Mas os problemas ainda permanecem no fronte da governança.

A detecção de ameaças está mais difícil

Embora mais tempo e recursos são a direcionados à segurança do que nunca, muitas organizações enfrentam dificuldades em controlar o cenário de ameaças em constante evolução. De fato, aproximadamente um quarto (23%) das empresas pesquisadas relataram maiores perdas financeiras do que no ano anterior decorrentes de ataques virtuais.

Uma das desvantagens da explosão do digital no ambiente de trabalho é que ela expande o terreno de caça para os criminosos. Quanto mais dispositivos conectados a uma rede corporativa – e em algumas organizações que já têm em andamento casos de uso de IoT, podem existir centenas de milhares ou milhões de endpoints -, maiores são as possibilidades para os criminosos encontrarem o caminho. Para agravar o cenário, cada vez mais o mercado exige maiores conexões – entre empresas e clientes, entre parceiros e fornecedores. Mas no ambiente digital atual, maior acessibilidade é praticamente sinônimo de maior superfície de ataque.

O cenário de infraestrutura mais diversificado também introduz outra armadilha: dificulta a detecção de violações. Em 2016, o tempo entre a intrusão e a detecção de um ataque foi de 80,6 dias. Um ano depois, 92,2 dias e, no ano passado, 108,5 dias. Isso também sugere que os cibercriminosos estão se tornando mais sofisticados e lançando ataques mais complexos.

Fortalecendo estruturas regulatórias

O resultado de tudo isso é que os incidentes de segurança têm um impacto maior nos negócios do que nunca. Independentemente de uma violação expor um armazenamento massivo de dados de PII ou de um ataque DDoS cessar uma empresa por horas ou dias, não é apenas o bottom line que sofre um golpe. O mesmo acontece com a marca e a reputação da empresa – duas palavras que ressoam em voz alta entre clientes e acionistas, sem mencionar outras partes interessadas da empresa, como parceiros e fornecedores.

Sob essa luz, é perfeitamente compreensível que os marcos regulatórios estejam sendo revisitados e reescritos. Depois de um ataque cibernético bem-sucedido, cerca de 84% dos entrevistados da pesquisa tiveram que notificar indivíduos; órgãos reguladores; empresas afetadas; ou o governo. Em 2017, esse número foi de apenas 31%.

Diretores estão ouvindo sobre segurança

De acordo com o relatório, aproximadamente 58% das empresas afirmam que seus principais executivos de segurança informam seus conselhos de administração sobre questões cibernéticas pelo menos trimestralmente. O número de companhias que não mantêm suas diretorias no ciclo de segurança diminuiu de 29% em 2017 para 19% em 2018.

Embora houve algum progresso inquestionável, muito mais ainda pode ser feito – e, de acordo com o levantamento, parece que o C-level é o lugar para se começar. Os entrevistados da pesquisa disseram que, de todos os grupos que precisavam de mais educação e treinamento em segurança, os executivos de nível mais alto foram citados por 55%.

Outra área que precisa de melhorias é a prevenção básica de segurança. A pesquisa constatou que, enquanto 66% das organizações estão mais preocupadas com ataques cibernéticos do que no ano anterior, muitas ainda estão aquém de contemplar medidas preventivas ou pós-ataque. Apenas 65% delas têm um plano formal de resposta a incidentes e, dos que o fazem, apenas 44% testam pelo menos uma vez por ano. O perigo aqui é óbvio: quando um ataque acontece e uma resposta precisa ser coordenada na hora, tudo fica mais complicado, e há mais chances das coisas darem errado.

Enfrentando questões de governança

A porcentagem de executivos de segurança que se reportam diretamente ao CEO caiu de 35% em 2017 para 28% no ano passado. Enquanto isso, a porcentagem de CISOs (Chief Information Security Officer) que respondem ao CIO aumentou de 16% em 2017 para 25% em 2018. Do ponto de vista de governança corporativa, isso pode parecer um avanço. Mas é isso mesmo? Ou há conflitos de interesse entre esses reinos?

Frequentemente, quando as companhias adotam um novo app, plataforma ou serviço digital, é compreensível que elas desejam implantar tudo o mais rápido possível. Elas podem ter investido consideravelmente no novo serviço e querem colocá-lo em prática para que possam alcançar o retorno desse investimento. Mas às vezes, na pressa da empresa em lançar, análises de segurança e vulnerabilidades são perdidas no processo, ou pelo menos minimizadas – o que pode voltar a assombrar a organização no caso de uma violação que poderia ter sido evitada.

Para reduzir riscos como esse, e fortalecer a governança a longo prazo, as organizações devem considerar a importância de capacitar seus CISOs e de fazer com que eles se reportem diretamente ao CRO (Chief Risk Officer), ao CEO ou à diretoria. Se isso falhar, os dedos continuarão sempre a ser apontados para o CIO. Mas a verdadeira questão a ser considerada não é quem culpar pelas consequências. E, sim, como evitar que um incidente de segurança aconteça, em primeiro lugar.

Fonte: CIO
Autor: Marc Wilczek, CIO EUA

Inovação tem a ver com modelos de negócio, processos, agilidade, colaboração e um compromisso com a criatividade na solução de problemas

As empresas da América Latina e Caribe costumam procurar inovação no Vale do Silício. Eu digo para elas procurarem mais perto: Brasil, México, Colômbia, Argentina, Chile e outros países vizinhos estão desbravando um caminho de inovação que combina muito bem com a nossa região.

Vemos em primeira mão que a inovação é prioridade para as empresas com que trabalhamos na região, mas queríamos ter um benchmark independente do estado exato da inovação na América Latina. Para isso, encomendamos um estudo chamado “The State of Innovation in Latin America” (O Estado da Inovação na América Latina, em tradução livre), realizado pela empresa de pesquisa Americas Market Intelligence (AMI). Entrevistas com 85 das principais empresas nativas da região, de todos os tipos, nos ajudaram a traçar um panorama claro da inovação.

Inovação e não apenas tecnologia

A inovação é percebida popularmente como um aplicativo inteligente, de design bacana. Ou, quem sabe, um robô ou dispositivo novo, divertido e atraente. Sim, inovação é algo divertido e certamente tem tecnologia como um componente de destaque. Mas inovação vai muito além de tecnologia. Inovação tem a ver com modelos de negócio, processos, agilidade, colaboração e um compromisso com a criatividade na solução de problemas. Na migração para a economia digital, a inovação – na acepção mais ampla – está sendo fundamental para que as empresas latino-americanas e caribenhas se mantenham competitivas e voem alto.

Os consumidores latino-americanos estão cada vez mais conectados. Mais da metade da população já tem um smartphone, e essa é uma tendência que só vai crescer. As demandas e expectativas básicas desses consumidores latinos conectados e de seus pares ao redor do mundo estão estabelecendo os parâmetros da inovação: eles querem agilidade, conveniência e opções. Os consumidores conectados simplesmente procuram outra empresa quando esses quesitos não são satisfeitos.

As empresas da América Latina já viram o impacto de saltar da primeira onda da internet, ocorrida na virada do milênio, e a rápida adoção dos celulares. Na economia digital, elas reconhecem que a inovação não só faz bem ao atendimento ao cliente e à fidelização como é intrínseca à sua eficiência operacional e competitividade. O estudo “State of Innovation” demonstrou que as empresas que abraçam a inovação de forma mais explícita e implícita estão se dando bem.

Dados da inovação na América Latina

E o que significa abraçar a inovação de forma explícita e implícita? Várias coisas. 80% das empresas mais inovadoras da América Latina já têm uma equipe dedicada à inovação. Ou seja, elas têm um diretor de inovação ou executivo com função similar, uma equipe de inovação e espaços dedicados à inovação – como um laboratório ou outra infraestrutura. Porém, esses laboratórios não podem trabalhar no vácuo – os frutos da inovação devem ser vistos como fundamentais para a estratégia da empresa. A inovação deve fazer parte da cultura e da mentalidade corporativa interna.

Falando em tecnologia bacana… o uso de APIs (interfaces de programação de aplicativos) por parte da empresa diz muito. O estudo mostra que as empresas mais inovadoras têm um número médio impressionante de APIs – acima de 140 – e mais de 45% delas são abertas. Inteligência artificial e aprendizado automático estão sendo explorados – 50% das instituições financeiras participantes estão testando ativamente o que essas tecnologias podem fazer por suas empresas. Biometria, carteiras digitais e blockchain também estão ganhando força.

A agilidade e a colaboração – dois elementos críticos para a inovação – podem ser medidas, até certo ponto, pelo nível de relacionamento da empresa com startups. Na média, as mais inovadoras têm 15 parcerias com startups. As empresas mais inovadoras de nossa região conseguem lançar provas de conceito em pouquíssimo tempo – foram 57 lançamentos nos últimos três anos! Empresas ágeis conseguem responder rapidamente às mudanças nas dinâmicas do mercado e, normalmente, fazem isso por meio de colaborações. Elas conseguem fazer uma implantação em menos de cinco menos e são vitoriosas em suas investidas internacionais em busca de escala para os negócios. Uma tendência clara e importante a ser observada são os modelos de plataforma aberta e colaborativa – 95% dos participantes da pesquisa disseram ter um modelo de marketplace ou estar desenvolvendo essas capacidades.

O design centrado no cliente reúne todos esses pontos: as novas tecnologias e modelos de negócio buscam reduzir o atrito no processo de compra, oferecem experiências de usuário intuitivas no ambiente on-line com mais personalização, flexibilidade e opções para o consumidor e criam experiências memoráveis. O aumento da sofisticação e do nível de exigência dos consumidores latino-americanos está levando as empresas a abraçarem a inovação para mantê-los por perto.

Embora toda essa inovação seja emocionante, isso não é nada comparado ao seu potencial. Estou ansiosa para continuar esmiuçando o “State of Innovation in Latin America” com você e explorando o que isso significa para todas as empresas da região.

Fonte: CIO
Autor: Vanessa Meyer

Percepção de que a tecnologia não está atendendo às expectativas dos negócios tem resultado em uma desilusão palpável entre os líderes de TI

As empresas ainda estão mergulhando, cautelosamente, seus dedos no blockchain, na esperança de descobrir onde a tecnologia de contabilidade distribuída pode criar eficiências em seus processos de negócios. Mas para aqueles que estão prontos para mergulhar, há erros comuns a serem evitados.

Com base em sua pesquisa de implementações de blockchain, o Gartner publicou na última semana um guia para os sete erros mais comuns que as empresas devem evitar.

A consultoria mediu o amadurecimento da nova tecnologia por meio de um “Ciclo do Hype”, um ciclo de vida baseado em gráficos que segue cinco fases, do gatilho da tecnologia – quando surgem histórias de prova de conceito e interesse da mídia – às planícies da produtividade – quando a tecnologia é mais do que um nicho.

Adrian Leow, diretor de pesquisa do Gartner, disse que o blockchain está atualmente indo em direção ao que chamou de Vale da Desilusão. É aí que o interesse diminui à medida que os pilotos e as provas de conceito não conseguem forçar os provedores de tecnologia a resolver os problemas ou permitir que uma tecnologia falhe e desapareça.

“O mercado de plataformas e tecnologias blockchain ainda é incipiente e não há consenso na indústria sobre os principais componentes, como o conceito do produto, o conjunto de recursos e os principais requisitos da aplicação”, disse Leow. “Não esperamos que haja uma única plataforma dominante nos próximos cinco anos”.

Na verdade, na semana passada, o Gartner, em um estudo separado, afirmou que, em 2021, 90% das implementações atuais de blockchain exigirão a substituição para permanecerem competitivas, seguras e relevantes.

“Muitos CIOs superestimam as capacidades e benefícios de curto prazo do blockchain como uma tecnologia para ajudá-los a atingir suas metas de negócios, criando assim expectativas irreais ao avaliar ofertas de fornecedores de plataformas e provedores de serviços”, disse Adrian Lee, diretor de pesquisa do Gartner.

Até 2025, o valor comercial agregado pelo blockchain deve crescer para pouco mais de US $ 176 bilhões – depois passar de US $ 3,1 trilhões até 2030, segundo o Gartner. “Os gerentes de produto devem se preparar para uma rápida evolução, obsolescência antecipada, um cenário competitivo em mutação, consolidação futura de ofertas e o potencial fracasso das tecnologias / funcionalidades em estágio inicial no mercado de plataformas blockchain”, disse Lee.

Firmas de consultoria que trabalham com blockchain foram pesquisadas pelo Gartner no início deste ano e confirmaram que os CIOs não estão nem mesmo usando a tecnologia para seus recursos mais valiosos. Principalmente, as empresas estão usando blockchain como um banco de dados para manutenção de registros compartilhados e rastreamento de ativos, ignorando um atributo-chave: uma trilha de auditoria imutável.

“Ninguém que está usando esses recursos inovadores questiona por que eles estão usando blockchain. Basta usar um banco de dados”, disse Avivah Litan, vice-presidente e analista da Gartner.

A percepção de que a tecnologia não está atendendo às expectativas dos negócios resultou em uma desilusão palpável entre os líderes de TI devido ao desalinhamento das expectativas e aos requisitos reais dos projetos corporativos. O problema também decorre de um simples fato: o blockchain ainda não está maduro o suficiente para todos os casos de uso corporativo.

Aqui está um resumo dos erros que as empresas estão cometendo.

1. Não usar blockchain para criar trilhas de auditoria

Os líderes de TI, que mergulharam no blockchain, estão implantando-o principalmente em testes de prova de conceito, muitas vezes para resolver os mesmos problemas que um banco de dados convencional, segundo o Gartner e outras agências de pesquisa como a ABI Research.

“Eles não estão usando isso como um livro descentralizado capaz de suportar trilhas de auditoria de dados imutáveis ​​para trocar uma única versão da verdade transacional – a missão central no coração do blockchain. Para muitos, blockchain continua sendo uma tecnologia em busca de um problema”, de acordo com o Gartner.

2. Assumir que a tecnologia é madura

Um segundo erro cometido pelas empresas é assumir que a tecnologia blockchain está pronta para uso em produção quando o mercado permanece amplamente composto de ofertas de plataformas fragmentadas que tentam se diferenciar de várias maneiras.

Algumas plataformas blockchain são desenvolvidas mais para confidencialidade, outras para tokenização ou representação digital de moeda ou bens fiduciários; ainda outros são criados para transações universais. A maioria, segundo o Gartner, é muito imatura para o trabalho de produção em grande escala que acompanha os sistemas de acompanhamento e requisitos, segurança e serviços de gerenciamento de rede. No entanto, isso provavelmente mudará nos próximos anos.

“Os CIOs devem monitorar os recursos em evolução das plataformas blockchain e alinhar o cronograma dos projetos blockchain de acordo”, disse o relatório da consultoria.

3. Protocolo confuso com solução completa de negócios

Um terceiro passo em falso é confundir o protocolo com a solução de negócios, já que o blockchain é uma tecnologia de nível fundamental que exige que os aplicativos preencham as necessidades de negócios específicas.

Embora o blockchain possa e esteja sendo usado em diversos cenários, desde o gerenciamento da cadeia de suprimentos até o compartilhamento de dados entre sistemas de informações médicas, ele também deve incluir recursos como interface do usuário, lógica de negócios e interoperabilidade.

4. Equívocos sobre escala

Um quarto equívoco é que blockchain deve ser considerado puramente como um banco de dados ou sistema de armazenamento de dados. A tecnologia ainda não se adapta bem, já que cada nó na rede peer-to-peer recebe uma cópia completa do ledger distribuído toda vez que é atualizado; À medida que cresce, o desempenho diminui.

Blockchain, disse o Gartner, foi projetado para fornecer um registro confiável e imutável de eventos decorrentes de uma coleção dinâmica de partes não confiáveis. Essa arquitetura vem com o preço dos recursos de gerenciamento de banco de dados.

Em sua forma atual, a tecnologia não implementa o modelo completo “criar, ler, atualizar, excluir” encontrado na tecnologia convencional de gerenciamento de banco de dados. Em vez disso, ele deve ser visto como um livro eletrônico de gravação única e com muitos anexos. “Uma solução convencional de gerenciamento de dados pode ser a melhor opção em alguns casos”, disse Leow.

5. Esperando a interoperabilidade muito cedo

Um quinto erro cometido pelas empresas é assumir que o universo blockchain inclui padrões de interoperabilidade. Enquanto alguns fornecedores de plataformas blockchain falam sobre interoperabilidade com outros blockchains, é difícil prever a interoperabilidade quando a maioria das plataformas e seus protocolos subjacentes ainda estão sendo projetados ou desenvolvidos.

Atualmente, qualquer conversa de fornecedor sobre interoperabilidade de plataforma deve ser vista pelos CIOs e outros como puro marketing.

6. Assumir que a tecnologia está totalmente pronta

Um sexto erro é assumir que a tecnologia está madura. Embora os contratos inteligentes representem, indiscutivelmente, o aspecto mais poderoso do blockchain, os problemas permanecem.

Conceitualmente, os contratos inteligentes são scripts de software que armazenam procedimentos associados a registros de transação específicos. Por exemplo, um contrato inteligente pode garantir que quando a carga chega ao ponto de entrada, um fabricante que aguarda as peças é notificado. Ao contrário de um procedimento armazenado em um sistema centralizado, os contratos inteligentes são executados por todos os nós na rede ponto a ponto, resultando em desafios de escalabilidade e gerenciamento que não foram totalmente resolvidos.

A tecnologia de contratos inteligentes sofrerá mudanças significativas. Portanto, os CIOs não devem planejar a adoção completa ainda, optando, em vez disso, por realizar pequenos experimentos primeiro. Essa área de blockchain continuará a amadurecer nos próximos dois ou três anos, disse o Gartner.

7. Governança mal compreendida

Em um blockchain privado ou permissionado, a governança da rede geralmente é entregue pelo proprietário do blockchain. Assim, enquanto um consórcio da cadeia de suprimentos pode ter dúzias de membros, a empresa originadora é tipicamente responsável pela integração, verificação de informações financeiras e identificáveis ​​e resolução de quaisquer disputas que possam surgir. Esse não é o caso com blockchains públicos.

“Governança em blockchains públicos como Ethereum e Bitcoin é principalmente voltada para questões técnicas. Comportamentos humanos ou motivação raramente são abordados”, disse Leow. “Os CIOs devem estar cientes do risco que as questões de governança de blockchain podem representar para o sucesso de seu projeto. Especialmente organizações maiores devem pensar em unir-se ou formar consórcios para ajudar a definir modelos de governança para o blockchain público.”

Fonte: CIO
Autor: Lucas Mearian, Computerworld EUA

Confira a seguir recomendações de ferramentas, informações e estrutura organizacional necessárias para executar uma estratégia de segurança em nuvem

A corrida em direção à nuvem de dados e serviços fez com que muitas empresas repensassem sua abordagem de cibersegurança. Elas precisam de uma estratégia de segurança na nuvem? O que há de diferente em uma estratégia de segurança na nuvem? Estudos recentes esclareceram como as estratégias de segurança estão mudando e, mais importante, como elas devem avançar.

Migrar mais infraestrutura de TI para a nuvem é, de certa forma, mais seguro do que tê-la localmente. Por exemplo, você pode estar razoavelmente seguro de que o sistema está executando a versão mais recente com as correções corretas. Provedores de serviços em nuvem também estão desenvolvendo novos recursos, como o uso de linguagem de máquina para detecção de anomalias. No entanto, isso também apresenta novos riscos, como aqueles gerados pelo falta de compreensão sobre como gerenciar a segurança na nuvem.

É importante saber como a estratégia de TI na nuvem de uma empresa – seja ela híbrida, privada ou pública – afeta sua estratégia de segurança cibernética e a execução tática dessa estratégia.

Quais dados confidenciais estão na nuvem? No ano passado, a McAfee divulgou seu Relatório de Adoção de Nuvem e Riscos 2018. Essa pesquisa mostrou que o compartilhamento de dados confidenciais na nuvem aumentou 53% em relação a 2017 – um grande salto. Considerando todos os arquivos na nuvem, aproximadamente 21% contêm dados confidenciais, segundo a McAfee, sendo que 48% desses arquivos são compartilhados.

Os dados confidenciais incluem dados confidenciais da empresa (27%), dados de e-mail (20%), dados protegidos por senha (17%), informações de identificação pessoal (16%), dados de pagamento (12%) e dados pessoais de saúde (9%). O risco associado aos dados confidenciais na nuvem está crescendo, pois as empresas confiam cada vez mais na nuvem. Cerca de 28% a mais de dados sensíveis foram colocados na nuvem em relação ao ano anterior, indica a McAfee.

Com tantos dados críticos na nuvem e sendo compartilhados em cloud, o roubo por hackers não é o único risco. A McAfee descobriu que as empresas têm, em média, 14 instâncias de infraestrutura como serviço (IaaS) configuradas incorretamente, resultando em uma média de 2.200 incidentes de configuração incorreta por mês onde os dados são expostos ao público.

Qual é o risco de segurança da nuvem? Os dados do provedor de segurança de nuvem Alert Logic mostram a natureza e o volume de riscos de cada tipo de ambiente na nuvem, em comparação a um data center on-premise (local). Ao longo de 18 meses, a empresa analisou 147 petabytes de dados de mais de 3.800 clientes para quantificar e categorizar incidentes de segurança. Durante esse período, a companhia identificou mais de 2,2 milhões de incidentes de segurança significativos. As principais descobertas incluem:

• Os ambientes de nuvem híbrida tiveram o maior número médio de incidentes por cliente (977), seguidos por nuvem privada hospedada (684), data center on-premise (612) e pela nuvem pública (405).

• De longe, o tipo mais comum de incidente foi um ataque via aplicação da web (75%), seguido por ataque de força bruta (16%), recon (5%) e ransomware do lado do servidor (2%).

• Os vetores mais comuns para ataques a aplicações da web foram SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) e Magento (6,98%).

• O WordPress foi o alvo mais comum (41%) de ataques de força bruta, seguido pelo MS SQL (19%).

Seja um ambiente de nuvem pública, privada ou híbrida, as ameaças de aplicações na web são dominantes. O que é diferente entre eles é o nível de risco que você enfrenta. “Como defensores, na Alert Logic nossa capacidade de proteger efetivamente a nuvem pública também é maior, porque vemos uma melhor relação sinal-ruído e perseguimos menos ataques ruidosos”, pontua Misha Govshteyn, cofundador da Alert Logic. “Quando vemos incidentes de segurança em ambientes de nuvem pública, sabemos que temos que prestar atenção porque eles são geralmente mais silenciosos”.

Os dados mostram que algumas plataformas são mais vulneráveis que outras. “Isso aumenta sua superfície de ataque, apesar de seus melhores esforços”, esclarece Govshteyn. Como exemplo, ele observa que “apesar da crença popular”, a pilha LAMP (Linux, Apache, MariaDB ou MySQL e PHP ou Python) tem sido muito mais vulnerável do que a pilha de aplicações da Microsoft. Ele também enxerga as aplicações PHP como um hotspot.

“Sistemas de gerenciamento de conteúdo, especialmente WordPress, Joomla e Django, são muito mais usados como plataformas para aplicações da web do que a maioria das pessoas percebe e eles apresentam inúmeras vulnerabilidades”, destaca Govshteyn. “É possível manter esses sistemas seguros, mas apenas se você entender quais frameworks e plataformas da web suas equipes de desenvolvimento tendem a usar. A maioria das pessoas de segurança mal presta atenção nesses detalhes e toma decisões com base em suposições ruins.”

Para minimizar o impacto das ameaças na nuvem, a Alert Logic fornece três recomendações principais:

• Confie em aplicações whitelisting e bloqueie o acesso a programas desconhecidos. Isso inclui fazer avaliações de risco versus valor de aplicação usada na organização.

• Entenda seu próprio processo de patching e priorize a implantação de patches.

• Restrinja privilégios administrativos e de acesso com base nas tarefas atuais do usuário. Isso exigirá a manutenção de privilégios para aplicações e sistemas operacionais atualizados.

6 tipos de ameaças à nuvem Em abril do ano passado, o provedor de plataforma de segurança na nuvem ShieldX descreveu seis categorias de ameaças à segurança na nuvem que acredita que possam emergir ao longo do ano. A maioria das organizações terá dificuldade em reduzir o risco dessas ameaças devido a uma lacuna entre suas defesas e a natureza das ameaças, lembra Manuel Nedbal, CTO e vice-presidente sênior da ShieldX.

“Há uma incompatibilidade entre o fator forma física do data center e o perímetro virtual. Controles de segurança tradicionais foram construídos para proteger o fator forma física, o que abre as portas para ameaças à segurança”, afirma.

Esses controles devem mudar à medida que as organizações fazem a transição para data centers virtualizados e “conteinerizados” em nuvens privadas e públicas. “A segurança precisa se adaptar a esses novos limites entre e dentro de infraestruturas virtuais”, afirma Nedbal. Ele acrescenta que as ferramentas de segurança na nuvem precisam ser “muito pequenas, muito dinâmicas, colocadas onde e quando necessárias e na escala correta.”

1. Ataque de nuvem cruzada Com um ataque entre nuvens, um hacker pode, por exemplo, acessar sistemas on-premises e sistemas de nuvem privada por meio de uma nuvem pública. Workloads em uma nuvem pública que são tomadas por invasores podem levar à disseminação do ataque à nuvem privada.

O risco é minimizado se as defesas laterais corretas estiverem em vigor, mas ao migrar para as nuvens públicas, as organizações geralmente ignoram o fato de que o perímetro de segurança se estende para o novo ambiente. Porém, as nuvens públicas não oferecem os mesmos controles de segurança em comparação com as defesas on-premise e é difícil transformar a segurança tradicional. “A quantidade de ataques contra a nuvem está aumentando”, ressalta Nedbal.

Os hackers monitoram novas instâncias de nuvem. “Assim que houver um workload expondo os serviços publicamente, eles serão atacados e as defesas nas nuvens públicas serão mais fracas do que os controles tradicionais on-premise”. Além disso, se uma organização tiver diferentes conjuntos de controles para seus sistemas on-premise e na nuvem, poderia deixar lacunas que os hackers exploram.

2. Ataque entre data centers Uma vez que um hacker viola uma localização no data center, o próximo passo é se espalhar lateralmente. A razão pela qual isso é possível é que as conexões entre os pontos de entrega (PoDs, da singla em inglês) em um data center são consideradas zonas confiáveis. Se um invasor comprometer um PoD, ele poderá se espalhar para outros data centers conectados.

Em um post no seu blog, Nedbal aconselhou o envio de todo o tráfego por meio de um sistema de defesa multicamadas com um conjunto similar de controles de segurança encontrados no perímetro.

3. Ataques entre inquilinos Em um ambiente em que há vários locatários, os hackers podem explorar o tráfego de rede entre os usuários da nuvem. Os locatários podem supor que o provedor tenha garantido seus ativos na nuvem, mas, na verdade, eles são responsáveis pela implementação de grande parte das defesas. Novamente, o envio de tráfego por meio de um sistema de defesa em várias camadas com os controles apropriados reduzirá o risco dessa ameaça na nuvem, mas exigirá a capacidade de colocar esses controles na escala correta, onde e quando for necessário.

4. Ataque entre workloads Workloads virtualizados e baseados na nuvem, bem como contêineres, podem se conectar facilmente a outros. Basta comprometer um workload para que um invasor possa acessar outros, seja em um desktop virtual, servidor da web virtual ou banco de dados. A defesa contra ataques cruzados de workloads, especialmente se forem executados no mesmo inquilino, é difícil. “Se você isolar tods os workloads uns dos outros, eles estarão seguros, mas não conseguirão executar a função para a qual foram projetados”, pondera Nedbal. Em um post, ele informou que os workloads com requisitos de segurança semelhantes devem ser colocados em uma zona que tenha controles apropriados para monitorar o tráfego, além da segmentação básica.

5. Ataques de orquestração A orquestração em nuvem permite realizar muitas tarefas importantes, incluindo provisionamento, implantação de servidores, gerenciamento de armazenamento e de rede, gerenciamento de identidades e privilégios e criação de workloads.

Os hackers geralmente executam ataques de orquestração para roubar logins de contas ou chaves de criptografia privadas. Com eles, o invasor pode executar tarefas de orquestração para obter controle e acesso. “Uma vez dentro, [um invasor] pode criar workloads adicionais para seus próprios fins, como mineração de criptografia, ou remover workloads”, adverte Nedbal. Quanto maior o privilégio que puderem roubar, mais danos podem causar.

A maneira de se defender dos ataques de orquestração, indica Nedbal, é por meio do monitoramento do comportamento do administrador. “[A ameaça de orquestração] precisa de um novo tipo de monitoramento de segurança que não faça parte dos sistemas tradicionais de segurança de rede que procuram padrões incomuns de contas se comportando de maneira anormal”, ele garante.

6. Ataques sem servidor As aplicações sem servidor permitem que as organizações criem rapidamente funções baseadas na nuvem sem precisar construir ou estender a infraestrutura. Desenvolvidas por meio das chamadas funções como serviço (FaaS), elas apresentam novas oportunidades para hackers e novos desafios para os defensores da rede. Uma nova função pode ter acesso a ativos sensíveis, como um banco de dados.

Se os privilégios para essa função estiverem configurados incorretamente, um invasor poderá executar várias tarefas por meio da função. Isso inclui acessar dados ou criar novas contas. Assim como os ataques de orquestração, a melhor maneira de detectar um ataque sem servidor é monitorando os comportamentos da conta, mas para ser eficaz, isso deve ser feito juntamente com a inspeção de tráfego de rede.

Como proteger a nuvem De acordo com uma pesquisa realizada pela VansonBourne – e patrocinada pelo provedor de soluções de monitoramento de rede Gigamon, 73% dos entrevistados esperam que a maioria de seus workloads de aplicações estejam na nuvem pública ou privada. No entanto, 35% dos entrevistados esperam lidar com a segurança de rede exatamente da mesma maneira que já fazem com suas operações on-premise. O restante, apesar de relutante a mudanças, acredita que não tem escolha a não ser mudar sua estratégia de segurança para a utilização da nuvem.

Certamente, nem toda empresa está migrando dados sensíveis ou críticos para a nuvem, portanto, para essas, há menos motivos para mudar a estratégia. No entanto, a maioria das empresas está migrando informações críticas e proprietárias da empresa (56%) ou ativos de marketing (53%). Já cerca de 47% esperam ter informações pessoalmente identificáveis na nuvem, o que tem implicações devido a novas regulamentações de privacidade, como o GDPR da União Europeia.

As empresas devem se concentrar em três áreas principais para construir sua estratégia de segurança na nuvem, de acordo com Govshteyn:

Ferramentas – As ferramentas de segurança que você implanta em ambientes de nuvem devem ser nativas para a nuvem e capazes de proteger aplicações web e workloads na nuvem. “As tecnologias de segurança formuladas para a proteção de endpoint estão focadas em um conjunto de vetores de ataque não vistos comumente na nuvem e estão mal equipadas para lidar com as dez principais ameaças listadas pelo Projeto Aberto de Segurança em Aplicações Web (OWASP), que respondem por 75% de todos os ataques na nuvem”, enfatiza Govshteyn. O executivo observa que as ameaças de endpoint visam os navegadores da web e o software cliente, enquanto as ameaças de infraestrutura visam servidores e estruturas de aplicações.

Arquitetura – Defina sua arquitetura em torno dos benefícios de segurança e gerenciamento oferecidos pela nuvem, não em torno da mesma arquitetura que você usa em seus data centers tradicionais. “Agora temos dados mostrando que os ambientes públicos puros permitem que as empresas tenham taxas de incidentes menores, mas isso só é possível se você usar os recursos de nuvem para projetar uma infraestrutura mais segura”. Ele recomenda que você isole cada aplicação ou microsserviço em sua própria nuvem privada virtual, o que reduz o raio de explosão (blast radius) de qualquer invasão. “Grandes violações, como aconteceu com o Yahoo, começaram com aplicações da web triviais como o vetor de entrada inicial, portanto, as aplicações menos importantes muitas vezes se tornam o maior problema”.

Além disso, não corrija vulnerabilidades em suas implantações na nuvem. Em vez disso, implante uma nova infraestrutura de nuvem executando o código mais recente e desative sua infraestrutura antiga. “Você só pode fazer isso se automatizar suas implantações, mas obterá o nível de controle sobre sua infraestrutura que nunca conseguiria em data centers tradicionais”, evidencia Govshteyn.

Pontos de conexão – Identifique pontos em que suas implantações de nuvem estão interconectadas a data centers tradicionais que executam código legado. “Essas provavelmente serão sua maior fonte de problemas, pois vemos uma tendência clara de que as implantações de nuvem híbrida tendem a enfrentar a maioria dos incidentes de segurança”, conclui.

Fonte: Michael Nadeau, CSO/EUA

Transformação digital não se compra, nem se instala. Digital é uma forma de fazer as coisas

transformação digital não é um investimento em tecnologia. Vai muito além e custa menos do que você imagina. Então, por que nem todas empresas são digitais? A transformação digital não se compra, nem se instala. Digital é uma forma de fazer as coisas. A empresa digital faz acontecer, é proativa. Muitas empresas ainda trabalham como no milênio passado, elas pesquisam o mercado para conhecer a demanda e otimizam seus processos para serem mais produtivas. Elas são empresas reativas.

A empresa digital inverte a antiga lógica de negócio. Ela interage com pessoas para definir a jornada do cliente. Dessa forma, a empresa é quem define seu mercado, em vez de reagir às mudanças. É assim que a Appledefiniu como você iria usar um tablet e a Netflix definiu como você iria assistir a séries e filmes. Eles não reagiram, eles criaram.

Essa criação começa com a jornada do cliente. Interagido com ele, o time de produto define como esse cliente vai navegar, entrar, olhar, sentir, emocionar e comprar ou consumir. Esse caminho atrativo leva a uma consequência natural de consumo. Ao definir essa jornada, a empresa vai refazer seus processos para viabilizar esse caminho de consumo. Pode ser necessário alterar o layout da loja física e digital, alterar o meio de pagamento, mudar a emissão de pedido, a estratégia de estoque, a linha de produção e todos demais processos. Claro que em cada ponto o uso de tecnologia se intensifica, mas seu uso é definido pela experiência e não pela tecnologia em si.

Não é instalar um bot cognitivo no call center que transforma a empresa em digital. Esse bot é apenas redução de custos. Digital é criar uma experiência de cliente que elimine o call center.

Parece uma transformação digital tão drástica que vai custar uma fortuna. Mas não é. A transformação começa com a cultura do porquê. Por que temos um call center? Por que o cliente sai da loja sem comprar? Devemos conversar com as pessoas para descobrir e dar-lhes opções para testar. Não é um investimento em comprar tecnologia, é repensar a empresa.

Comece com pequenos projetos. Mudar uma loja. Mudar o processo B2B de uma linha de produto, ou de apenas um produto. Ou mudar um produto/serviço de forma a propiciar uma nova experiência para o usuário. Projetos assim não custam muito e o retorno financeiro pode ser rápido.

De projeto em projeto a empresa se transforma. Como cada projeto tem ganho, vai remunerando o investimento na medida que se entregam os projetos, fazendo que o investimento não seja alto.

Já o investimento em tecnologia, diretamente atrelado à mudança dos produtos e processos, é muito acessível nos modelos SaaS. Há os investimentos nos equipamentos, por exemplo IoT. Mas os serviços de analytics, modelamento de dados e desenvolvimento de sistemas são diluídos no tempo, sincronizados com a velocidade de transformação.

No mundo do tudo-como-serviço, a relação entre investimento e despesa operacional é diferente. Fica mais fácil inovar e crescer. Além disso, a abordagem de projetos produz uma mudança gradual, controlada. Nada de investimentos de alto risco.

Mas se é simples assim, por que as empresas não fazem? Mudar essa forma de trabalho exige mudança nas pessoas, na cultura. O lado de metodologia de trabalho pode ser treinado, é fácil de aprender. Mas a cultura reduz ou elimina o poder de chefia, muda o organograma, muda a estrutura de carreira e quem está no topo resiste, porque o impacto na carreira pode ser grande. No topo do topo a falta de crença é o maior desafio. Para transformar é necessário um líder que acredite na empresa digital, que sirva de exemplo, que seja seguido por todos. Se ele/a não acreditar, a mudança não vai acontecer.

Fonte: CIO

Eletrocardiograma portátil melhorará cuidado médico de emergência em voos de longo curso da companhia aérea alemã

A companhia aérea Lufthansa anunciou recentemente que equipou todas as suas aeronaves de longo curso com o sistema mobile de ECG (Eletrocardiograma) CardioSecur. Com isso, em caso de emergências médicas a bordo, o sistema permitirá que comissários sem expertise cardiológica registrem as frequências dos passageiros e enviem os resultados diretamente para o contato médico em terra.

De acordo com a empresa, a solução foi inicialmente testada em 2018 na frota A380 e agora estará disponível para emergências médicas em todas as suas aeronaves de longo curso, inclusive nos voos diários da companhia que partem de São Paulo (GRU) e Rio de Janeiro (GIG) para Frankfurt, na Alemanha.

“Os resultados do ECG, conduzido diretamente a bordo da aeronave, dão uma base melhor para definir se é necessário ou não desviar a rota para prover cuidado médico em terra em caso de emergência”, afirma o Dr. Sven-Karsten Peters, cardiologista do Serviço Médico da Lufthansa.

Afecções cardiovasculares são as causas mais comuns de incidentes médicos a bordo, afirma a empresa em comunicado sobre a iniciativa. Caso haja médicos no avião, eles estão autorizados usar o desfibrilador como solução alternativa para estabilizar a situação. Mas, de qualquer forma, os resultados desse aparelho não podem substituir um ECG, destaca a Lufthansa.

Pesando somente 50 gramas, o sistema desenvolvido e distribuído pelo Personal MedSystems GmbG, sob o nome de CardioSecur, consiste em um aplicativo instalado no Aparelho Móvel de Cabine (um mini iPad) dos comissários e em uma pequena maleta com um cabo ECG e quatro eletrodos descartáveis.

Como funciona

Caso um passageiro reclame de problema no coração, o sistema pode registrar um eletrocardiograma em pouco passos: o comissário estabelecerá conexão com a Internet via FlyNet Wifi; inicializará o aplicativo; a equipe conecta o cabo ECG nos quatro eletrodos e posiciona no tronco do paciente com mal-estar. O aplicativo, então, registra um ECG 12-lead, enquanto parâmetros adicionais como idade, peso, gênero, pressão sanguínea e saturação do oxigênio devem ser coletados manualmente.

Esses dados serão transferidos do aplicativo para a linha direta médica do International SOS (SOS), maior empresa de serviços de segurança médica e de viagens do mundo e que pode ser contatada por pilotos e tripulação 24/7, em caso de dúvidas médicas. A SOS avaliará o ECG e aconselhará a tripulação via telefone baseados nos dados analisados. Depois disso, a cabine deverá tomar a decisão final de desviar ou não a rota do avião. Se houver um médico dentre os passageiros, eles poderão utilizar o modo “expert” do aplicativo para monitorar a atividade cardíaca.

Além disso, o programa já existente “Doctor on Board” permite que a cabine rapidamente identifique médicos presentes a bordo, incluindo as suas especialidades. Esse programa provido pela Lufthansa, Austrian Airlines e Swiss possui atualmente mais de 11 mil médicos participantes, de todas as especialidades, que podem fornecer assistência médica em caso de incidentes médicos. Para esse propósito, também está disponível um kit de emergência que excede os requisitos obrigatórios, junto a outros materiais. A tripulação também está preparada para emergências e recebe anualmente treinamento de primeiros socorros.

Fonte: Computerworld

Apesar da alta demanda, em um País com 13 milhões de desempregados, faltam profissionais no segmento de TI

Em 2019, o Brasil soma 12,7% de desempregados, atingindo 13,4 milhões de pessoas segundo dados divulgados pelo Instituto Brasileiro de Geografia e Estatística (IBGE). Porém, o setor de tecnologia tem se desprendido da maioria das áreas profissionais no país e soma mais de 5 mil vagas somente em startups.

Segundo a Associação Brasileira de Startups (Abstartups), entre janeiro e abril deste ano, cerca de 2 mil empresas foram fundadas no setor. Rodrigo Ricco, CEO e fundador Octadesk, startup desenvolvedora de sistemas para a gestão do relacionamento com o cliente, separou quatro vagas que estão em alta em 2019.

1. UX Designer

O especialista em Experiência do Usuário (User Experience – da sigla em inglês) tem a função de criar produtos e serviços que vão ajudar pessoas a fazerem algo com facilidade. O principal objetivo do profissional é se colocar no lugar do consumidor, afinal, é para ele que você irá desenhar o produto. Como Designer, é essencial saber aplicar os princípios básicos de design gráfico.

2. Growth Hacker

O profissional de Growth Hacker se concentra em resultados consideráveis e em alternativas inovadoras para o crescimento escalável de uma startup, com o pensamento analítico e métricas sociais para vender produtos e ganhar exposição. Os growths estão usando técnicas como o SEO (Search Engine Optimization), análise de sites, marketing de conteúdo e testes A/B.

3. Desenvolvedor Full Stack

Falando em programação web, existem duas frentes: front-end e o back-end. O Desenvolvedor Full Stack (ou full stack developer, em inglês) é responsável por atuar nas duas áreas de conhecimento, resolvendo problemas e criando soluções. Portanto, um Desenvolvedor Full Stack possui conhecimento para trabalhar em diversos segmentos no desenvolvimento de software.

4. Data Scientist

Um cientista de dados é um profissional com qualificação superior aos demais envolvidos na linha de frente com quantidades exponenciais de dados. Geralmente, é o responsável por conduzir as mais variadas formas de análises de dados, pois possui conhecimentos em tecnologias como o Hadoop – programa de software distribuída voltada para clusters e processamento de grandes volumes de dados – e outras plataformas de código aberto. O que diferencia esse profissional é o conhecimento teórico sobre como manipular os dados do jeito mais adequado.

Fonte: CIO

O futuro dos chatbots integrado com outras inteligências em nosso cotidiano está cada vez mais próxima da realidade

Os chatbots representam uma grande evolução na relação entre pessoas, marcas e tecnologia. Essa tecnologia já está presente em setores da economia como call centers, instituições financeiras, redes sociais e fintechs, de modo a integrar processos de automação, machine learning e inteligência artificial. A constante utilização dessa ferramenta faz com que o processo de atendimento seja personalizado, com respostas direcionadas a diversas áreas e finalidades.

Atualmente, várias empresas utilizam bots em mensagens (SMS/aplicativos de mensageria) e voz. Estamos em uma época de consolidação, em que os mais rápidos e melhores ficarão na frente, e os demais deixarão a cena. Em um exemplo maior, temos as assistentes de voz como Siri, Alexa e Cortana – esta última, aliás, está deixando a cena para começar a integrar as demais. Os bots seguirão o mesmo caminho, por isso o desenvolvimento da inteligência é tão importante, com mais integração. Ao pensarmos no futuro, a aplicabilidade dos bots fica focada no atendimento ao cliente, seu grande potencial e diferencial.

O futuro dos chatbots integrado com outras inteligências em nosso cotidiano está cada vez mais próxima da realidade. Por exemplo, um técnico pode tocar a campainha de sua casa para consertar a geladeira, e você nem sabia que havia um problema, ou um cliente pode receber proposta de um banco para um novo serviço e fechar o negócio. O fato é atribuído por conta de a média de interação crescer mais de 200% quando os bots são integrados a ofertas de produtos e atendimento ao consumidor.

Os setores da economia que já utilizam os bots incluem call center, instituições financeiras, gerenciamento de redes sociais e fintechs. Nesses casos, o uso de chatbots potencializa o atendimento, fazendo com que os colaboradores se concentrem mais em problemas complexos, que dependem da capacidade humana para ser resolvidos. Por exemplo, os bots podem ser usados para checar o saldo em sua conta no fim do mês, mas, ainda assim, os clientes gostariam de ser atendidos por um humano para lidar com situações como cartões clonados. No primeiro caso, o pedido do cliente pode ser facilmente resolvido pelo robô. No segundo, a empatia e a aproximação com um atendente pode transmitir segurança maior para um cliente que se descobriu vítima de fraude.

A grande questão do momento é como os bots conseguem acessar as informações e por onde. Existem divergências entre diversas áreas, e um tema cada vez mais importante é a segurança dos dados. Com isso, cada empresa deve medir seus riscos e ver até onde permitirá que os dados sejam acessados em suas data bases. Isso demanda não só protocolos mais robustos como também segurança e conexões rápidas, dentro e fora dos data centers, ainda mais em tempos em que os cidadãos se preocupam cada vez mais com sua privacidade e com os dados aos quais as corporações têm acesso.

No âmbito nacional, o Brasil é um early adopter dos chatbots. Assim, todos os mercados olham para nós com atenção para aprender com o que está sendo feito. O mercado de tecnologia brasileiro, na área de banking, é um dos mais avançados do mundo, por exemplo. Quando falamos de ideias e desenvolvimento, o mercado americano sempre é um benchmark, mas em termos de adoção o Brasil é modelo.

Fonte: Computerworld
Autor: Yuri Fiaschi