fevereiro 26, 2019

[Carreira] Fintechs, Bancos Digitais e Open Banking

O mercado financeiro está passando por uma grande transformação, em todo o mundo. Esse movimento é fruto de uma grande necessidade de modernização dos produtos e serviços bancários, que demoraram para se adaptar ao público atual. Como resultado, os clientes estão insatisfeitos com os serviços dos bancos e procurando as chamadas "Fintechs".

Essa revolução tem três frentes, que estão acontecendo quase que simultaneamente, e em muitas vezes estão interligadas:
  • Fintechs - pequenas empresas, startups, que oferecem alguns tipos específicos de serviços financeiros. Normalmente não estão associados a alguma instituição financeira. O GuiaBolso, por exemplo, é uma Fintech que consolida dados de diversas instituições financeiras (bancos, operadoras de cartão, etc) e apresenta as informações de uma forma útil ao cliente final. Outro exemplo é o Nubank, uma Fintech voltada para serviços de cartões de créditos, e que está tentando ampliar seu portifólio; 
  • Bancos Digitais - um modelo de negócio das instituições bancárias baseado em uma operação e ciclo de relacionamento com o cliente 100% digital, sem interação física através de agências. Nesse modelo, todos os serviços bancários são apresentados totalmente on-line, aproveitando a flexibilidade de interação via canais digitais e ampla conveniência para o usuário;
  • Open Banking - modelo tecnológico e de negócios baseado na possibilidade de integração dos serviços bancários com terceiros, através de APIs abertas. A idéia é criar um novo ecossistema de negócios entre o banco e parceiros, com integração entre os sistemas de forma segura e controlada. Isso pressupõe uma grande mudança na mentalidade dos executivos e do corpo técnico dos bancos: menos competição com fintechs e mais cooperação para proporcionar uma experiência do usuário mais satisfatória, ágil e eficiente.
A tendência no mercado é que as grandes instituições financeiras comecem a oferecer um  marketplace de serviços financeiros, oferecendo novos serviços com extrema personalização. Além disso, elas aumentam a satisfação dos clientes, novo portifólio de serviços e passam a ter a possibilidade de monetizar uma série de serviços oferecidos pelos seus parceiros.

Como bem disse a Stefanini, o conceito de Open Banking, através da criação e disponibilização de informações através de APIs, está no "centro do que podemos chamar “API Economy” ou “Economia das APIs”, que faz referência a todo novo modelo de negócio gerado por meio do compartilhamento, integração e valoração de dados em um ecossistema digital que respeita a segurança da informação e as regulações vigentes".

Para saber mais:




OBS: Post atualizado em 08/05/19 para incluir mais algumas referências interessantes.

fevereiro 18, 2019

[Segurança] The Data Privacy Periodic Table

O pessoal de uma tal de Calligo (?) criou em setembro de 2018 um negócio bem legal: uma "tabela periódica da privacidade de dados" (veja a versão em pdf aqui).


Assim como na tabela periódica do mundo da química, eles definiram algumas características fundamentais e ordenaram os “elementos de privacidade de dados” de acordo com essas categorias. Tais características são:
  • "Fundamental principles of data protection": Os princípios fundamentais, como ética (E), relevância (Re), transparência (Ty), confidencialidade (C), etc sem os quais é impossível ter alguma lei sobre privacidade de dados;
  • "Independent bodies": As entidades regulatórias, que devem atuar de forma imparcial, neutra e objetiva na aplicação da legislação;
  • "Universal rights of the data subject" - Os direitos fundamentais que devem constar em uma legislação de privacidade de dados: acesso a informação (Ac), direito a ser informado (Ri) e ser esquecido (Rf), restrições ao processamento (Rp), remoção de conteúdo (Wt) e direito a objeção (Ob);
  • "Lawful justifications for processing": todos os requerimentos legais para um correto processamento da informação, tais como a existência de um contrato (Co) claro, o consentimento do usuário (Con) e um interesse legítimo (Li);
  • "Central components of data privacy": Os aspectos fundamentais da privacidade de dados, tais como Compliance (Com), escopo (S), privacidade by design (PbD), etc;
  • "Core legislation": Quais são as principais legislações existentes, desde a européia GDPR até a brasileira LGPD (na tabela representada pela sigla equivalente em inglês, GDPL), incluindo por outras legislações de vários países como o Japão(APPI) e Singapura (PDPA), entre outros;
  • "Future developments": Legislações e movimentações político-tecnológicas que podem impactar nas legislações de proteção de dados, tais como uma nova regulamentação na Índia (PDPB), os impactos do Brexit (BX) e até mesmo evolução da tecnologia de inteligência artificial (AI);
  • "Traits and skills of the most reliable privacy advisors": Os principais papéis e qualidades dos principais consultores e reguladores, tais como independência (In), papel consultivo (Ct), confiável (Re), honesto (H), com conhecimento jurídico (Lk) e técnico (Tk);
  • "Legislation and practices whose powers and requirements can conflict with data privacy": Quem e o que pode impactar de forma negativa a necessidade de privacidade de dados? Várias iniciativas governamentais, através de leis específicas, podem afetar negativamente o direito a privacidade. Foi incluído nessa lista, por exemplo, o famigerado "Patriot Act" americano (Pa), algumas legislações dos EUA e outros países e práticas de mercado como monitoramento de empregados (Em), background checking (Bc) e ferramentas de análise e monitoramento de clientes (KYC).

As categorias da tabela foram criadas de forma a imitar as características das categorias da tabela periódica original. Por exemplo, a extrema direita da tabela periódica original é reservada para os “gases nobres” - estáveis, inertes e neutros. Aqui, isso corresponde aos órgãos legislativos ou reguladores.

Veja também um paper interessante deles: "The 10 Myths & Fairy Tales of GDPR"


Guarde no seu bookmark: https://www.calligo.cloud/dptable

Para saber mais:

fevereiro 13, 2019

[Cidadania] A era do individualismo online

Há alguns anos foi divulgada uma charge que mostrava qual seria a reação das pessoas hoje em dia em um acidente: iriam preferir filmar e fotografar, em vez de se salvarem.


Infelizmente, nós vimos recentemente que essa charge não está tão distante da realidade quanto gostaríamos :(

Durante o triste acidente de helicóptero que causou a morte do jornalista Ricardo Boechat, dia 11/02, um vídeo gravado no momento do acidente mostra uma mulher, a vendedora Leilaine da Silva, heroicamente tentando salvar o motorista do caminhão que colidiu com o helicóptero. Leilaine contou que estava em uma moto pilotada pelo marido no momento do acidente e assistiu de perto a queda do helicóptero. Ela desceu da moto e correu para salvar a vida do motorista do caminhão, quebrando o vidro do caminhão com um capacete para retirar o motorista.

Um detalhe: enquanto Leiliane arriscava sua vida e pedia ajuda para socorrer o motorista, vários homens a sua volta apenas se importavam em filmar a cena, ao invés de ajudar.


O vídeo é impressionante e assustador, por mostrar a contraposição entre a coragem de poucos e a reação patética das pessoas que estavam mais preocupadas em gravar a cena do que socorrer o acidentado.

Se alguém tinha alguma dúvida, infelizmente acabamos de receber a prova de que atingimos a era da individualidade. As pessoas estão mais preocupadas em si mesmo, em buscar a fama pessoal, do que ajudar o próximo.


fevereiro 11, 2019

[Segurança] Uma Campus Party com muita segurança (cibernética)

Nesta semana, de 12/02 a 17/02, teremos mais uma edição da Campus Party Brasil (aqui em São Paulo).

Por isso eu quero destacar uma coisa muito legal que estou vendo acontecer na edição deste ano: a grande quantidade de atividades de segurança organizada por comunidades! Depois de dois anos de um hiato com raras atividades na grade, neste ano a programação está cheia e bem diversificada, graças a varias comunidades:
Há muitos anos eu vou na Campus Party Brasil (CPBR). Para ser mais preciso, desde a 2a edição e só faltei alguns poucos anos. O tema de segurança sempre esteve presente no evento, as vezes com maior ou menor destaque. Em 2010, por exemplo, o principal keynote do evento foi o Kevin Mitnick, para delírio da galera! Durante alguns anos a CPBR manteve um palco dedicado a redes e segurança, organizado pelo pessoal do NIC.br e CERT.br. Além disso, era comum ver uma parte do pessoal de segurança se encaixando na programação de outros palcos, geralmente junto ao palco de software livre.

Com a reorganização dos palcos em 2017 (ou 2018?) deixou de existir uma área dedicada a redes e segurança da informação. Mas mesmo assim, algumas poucas atividades aconteceram, ou espalhadas na grade geral ou na bancada que os hackerspaces brasileiros sequestram e se apropriam todos os anos.

No caso dos hackerspaces, nós ocupamos a CPBR desde o surgimento do Garoa, em 2011, e a partir de 2012 começamos a sequestrar uma bancada (ou meia bancada) dedicada para nós. Desde 2015 começamos a organizar a bancada do “Dumont Hackerspace”, ou seja, um espaço para juntar todos os participantes, interessados, e curiosos sobre hackerspaces de todo o Brasil. Sempre usamos esse espaço para atividades de eletrônica, programação, jogos, bate-papo e, claro, segurança. Em alguns anos organizamos também competições de CTF, com a ajuda do pessoal do CTF-BR.

Eu, particularmente, fico muito contente em ver a programação deste ano. Prefiro ver muitas atividades nascendo espontaneamente das comunidades do que serem oferecidos arbitrariamente por uma entidade. Não quero desmerecer o esforço do CERT.br, mas eles escolhiam as palestras com base na vontade deles e seus convidados, o que é bem diferente de ver um conteúdo escolhido pelas próprias pessoas que querem consumir esse conteúdo.

PS: Além disso, nesse ano teremos a segunda edição do "Campus Summit Executive", uma mini versão de 2 dias voltado para o público corporativo em parceria com a Daryus, nos dias 13/02 (palestras) e 14/02 (visita guiada no espaço da CPBR).

Mais informações:
PS/2 (adicionado em 12/02): Grade de Palestras da OWASP SP na Campus Party 2019

PS/3 (14/02): Adicionado link para as atividades da Flipside na CPBR. E seguem algumas fotos das comunidades no evento:


    

fevereiro 08, 2019

[Segurança] Devemos atropelar os idosos ou as crianças?

Um dos desafios éticos na construção dos veículos autônomos, ou talvez o maior desafio, é como deve ser tomada uma decisão em caso de risco aonde as duas opções são igualmente ruins.

Imagina a seguinte situação: você está dentro de seu carro autônomo, sem controle da direção. De repente, uma criança atravessa correndo na sua frente. O seu carro pode desviar dela, mas consequentemente ele vai sair da pista e atropelar um pedestre, ou bater em uma árvore.

E aí, #comofaz?

Esse caso, clássico, é conhecido como "Dilema do bonde" ("Trolley problem" em Inglês), que explora como os seres humanos tomam decisões éticas em situações de vida ou morte:
"Um bonde está fora de controle em uma estrada. Em seu caminho, cinco pessoas amarradas na pista por um filósofo malvado. Felizmente, é possível apertar um botão que encaminhará o bonde para um percurso diferente, mas ali, por desgraça, se encontra outra pessoa também atada. Deveria apertar-se o botão?"

Li recentemente um artigo que citou um experimento aonde os entrevistados receberam duas opções de colisão, uma em que duas crianças correram para a estrada e outra em que iriam atingir dois pedestres idosos na calçada. O resultado foi o seguinte:
  • Mais da metade dos entrevistados (59%) disseram que se não tivessem outra opção, preferiam que o veículo optasse pela solução que colocasse o motorista (o próprio entrevistado) em perigo, sem arriscar mais vidas
  • 5% (um em cada 20 entrevistados) concordou que o veículo deveria atingir outra pessoa;
  • Os demais se sentiram incapazes de determinar qual ação o carro deveria tomar em qualquer cenário.
Um caso interessante aconteceu no início de 2018, em um acidente fatal durante os testes de um carro autônomo da Uber. O carro identificou uma pedestre atravessando na sua frente, em condições de baixa luminosidade, mas não evitou a colisão porque considerou um falso-positivo! Há também notícias de que, naquele teste, o carro não estava programado para desviar de forma autônoma.

O dilema é interessante e ainda deve dar muito pano para manga...

Vale a pena ler:


fevereiro 05, 2019

[Segurança] Eventos de Segurança no primeiro semestre de 2019

Chegou a hora de fazermos nossos planos para 2019 !!!

Segue abaixo a minha tradicional lista com os melhores eventos nacionais de segurança que acontecem no primeiro semestre desse ano. São os eventos que eu considero serem interessantes e/ou importantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade.

Note que, neste ano, o mês de maio está LO-TA-DO de eventos!!! Vai ser pauleira!

Note que um dos motivos para esse excesso de eventos nos meses de Maio e Junho, principalmente, é que a Flipside mudou a agenda de visitas do Roadsec e MindTheSec nas cidades: além de começarem mais tarde, em meados Abril, eles trouxeram a maioria dos eventos para o primeiro semestre. Além disso, outra mudança na agenda da Flipside foi que eles incluiram três cidades no interior do estado de São Paulo (Campinas, Presidente Prudente e São José do Rio Preto), e a quantidade de capitais continua menor do que costumava ser até 2017. Algumas capitais deixaram de receber o Roadsec para receber o MindTheSec no seu lugar.

Outras novidades deste ano para ficar no radar: o nascimento da BSides Vitória (infelizmente, no mesmo dia do Roadsec Rio de Janeiro), a 2a edição da Darkwaves (que, infelizmente, acontece no mesmo final de semana da BSidesSP) e, no exterior, neste ano teremos o CCCamp! Imperdível!

Na lista de eventos, dessa vez decidi incluir um link para a página de CFP, e assim espero ajudar os interessados em palestrar ;) Também resolvi incluir o TDC (The Developers Conference). Apesar de ser um evento muito focado para os profissionais de desenvolvimento de software, ele costuma ter uma trilha com palestras relacionadas a segurança, por isso acho relevante manter no radar.

Anote aí a sua agenda:
  • Fevereiro/2019
    • 12/02 a 17/02: Campus Party (twitter @campuspartybra) - A CPBR12 é um evento de tecnologia em geral, mas acaba tendo algumas atividades de segurança espalhadas na grade e nas comunidades. Além do espaço que os hackerspaces brasileiros sempre cavam no evento (batizado de "Dumont Hackerspace"), no ano passado surgiu o "Campus Executive", uma versão de 2 dias voltado para o público corporativo em parceria com a Daryus, com preço salgado, palestras no dia 13/02 e visita guiada no espaço da CPBR no dia 14/02. Neste ano também haverá um espaço para o capítulo SP da OWASP, com atividades relacionadas a appsec. A CPBR mudou de lugar, e neste ano acontecerá no Expo Center Norte;
  • Março/2019
    • 21/03: Security Leaders Brasília - O Security Leaders promete visitar 8 cidades em 2019, começando com a versão regional de Brasília. Segue a fórmula de convidar executivos para painéis de debate com conteúdo superficial, com uma pequena área de exposições. Evento fraco de conteúdo, mediano em termos de negócios e com boa oportunidade de networking. A presentça dos executivos agrada aos patrocinadores;
  • Abril/2019
  • Maio/2019
    • 03 e 04/05: CryptoRave (twitter @cryptoravebr) (CFP) - Excelente evento gratuito, com uma abordagem mais politizada. Tem um público bem diversificado, com palestras e atividades sobre criptografia, direito à privacidade, política, cultura de segurança, noções de anonimato e sobre os perigos da vigilância na rede. Acontece em 2 dias seguidos, varando a noite adentro;
    • 04/05: RoadSec São José do Rio Preto (@roadsec) (chamada) - Mais uma cidade no interior de São Paulo recebe o Roadsec 2019 pela primeira vez!
    • 09/05: Mind The Sec Summit Fortaleza (@mindthesec) (CFP) - Fortaleza (CE) é a primeira cidade a receber o tour 2019 do "Mind The Sec Summit", uma versão reduzida do MindTheSec, com palestras de qualidade para o público corporativo;
    • 11/05: RoadSec Fortaleza (@roadsec) (chamada) - O Roadsec visita Fortaleza (CE) com suas oficinas, competições e palestras;
    • 15/05: MindTheSec Rio de Janeiro (CFP) - Edição do MindTheSec no Rio de Janeiro;
    • 18/05: Roadsec Rio de Janeiro (RJ) (@roadsec) - aproveitando a carona do MTS, o público carioca também ganha o Roadsec em 2019;
    • 23/05: Mind The Sec Summit Recife (@mindthesec) (CFP) - Recife também recebe a versão "mini-me" do Mind The Sec;
    • 23/05: GTER 47 e GTS 33 (Belém, PA)  (twitter @gtergts) (CFP) - Primeiro encontro do ano do Grupo de Trabalho de Engenharia e Operação de Redes (GTER) e do Grupo de Trabalho de Segurança (GTS), organizado pelo Comitê Gestor da Internet no Brasil. Como manda a tradição, o 1o evento do ano acontece em algum local fora de São Paulo, e neste ano foi escolhida a cidade de Belém, no Pará. Evento com palestras técnicas, que são transmitidas ao vivo, online;
    • 25/05: RoadSec João Pessoa (twitter @roadsec) (chamada) - O Roadsec visita "Jampa". Os participantes poderão aproveitar um dia repleto de palestras, oficinas e competições;
    • 25/05: Darkwaves Conference (Natal, RN) (CFP) - Essa é a segunda edição da "Dark.conf", um evento bem técnico com palestras e oficinas focadas em segurança em redes sem fio, telecomunicações e RF;
    • 25 e 26/05: BSides São Paulo (BSidesSP) (Página no Facebook; twitter @bsidessp)  (CFP) - décima-sexta edição da BSidesSP, com o mesmo formato das anteriores: um evento gratuito com foco técnico segurança e na cultura hacker. Mini-treinamentos no sábado a tarde e a conferência completa no domingo, com palestras, oficinas, villages e competições, além de uma trilha inteira de atividades para crianças, a BSides 4 Kids;
    • 27/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) (CFP) - O YSTS é um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade, mas a participação é restrita a convidados dos patrocinadores. Se você quer participar, então aproveite e envie uma proposta de palestra bem legal no CFP;
    • 30/05: Mind The Sec Summit Brasília (@mindthesec) (CFP) - o público corporativo de Brasília também recebe a versão "summit" do Mind The Sec;
    • 30/05: Security Leaders Porto Alegre - versão regional do Security Leaders;
  • Junho/2019
    • 01/06: RoadSec Goiania (@roadsec) (chamada) - Aproveitando o MTS em Brasília, a Flipside marcou o Roadsec em Goiânia, logo em seguida;
    • 06/06: Mind The Sec Summit Porto Alegre (@mindthesec) (CFP) - a versão "summit" do Mind The Sec também visita a capital gaúcha;
    • 05 e 06/06: GRC International + DRIDAY Latin America  - Essa será a 8ª edição do GRC International, ocorrendo junto com a 7ª edição DRIDAY Latin America, eventos focados em Governança, Risco, Conformidade, Continuidade de Negócios e Segurança da Informação.;
    • 08/06: RoadSec Presidente Prudente (@roadsec) (chamada) - Mais uma cidade no interior de São Paulo vai receber o Roadsec em 2019;
    • 10 e 11/06: CNASI São Paulo - O Congresso Latinoamericano de Segurança da Informação, Auditoria e Governança (CNASI) é direcionado ao público corporativo nas áreas de segurança, governança e compliance. É o mais antigo evento de segurança brasileiro, organizado pelo IDETI há mais de 20 anos, com palestras, mini-treinamentos e paineis de debate com foco principalmente em gestão, com pouco conteúdo técnico. Também tem uma área de exposições para os patrocinadores;
    • 11 a 13/06: CIAB - Mega-evento de tecnologia para o setor financeiro organizado pela Febraban. Destaque para sua gigantesca feira de exposição com dezenas de fornecedores de diversas tecnologias bancárias, incluindo os maiores fabricantes de TI e de segurança;
    • 13/06 Security Leaders Belo Horizonte - versão regional do Security Leaders;
    • 15/06: RoadSec Florianópolis (@roadsec) (chamada) - A bela Floripa também recebe o Roadsec;
    • 15/06: BSides Vitória (ES) (CFP) - primeira edição da Security BSides em Vitória, organizada por um pessoal fera, e que promete ter palestras de excelente qualidade. Será a primeira BSides brasileira fora de São Paulo!
    • 27/06: Mind The Sec Summit Belo Horizonte (@mindthesec) (CFP) - Mini Mind The Sec em BH, para o público corporativo;
    • 29/06: RoadSec Belo Horizonte (@roadsec) (chamada) - A capital mineira também recebe o Roadsec aberto ao público em geral.
Se você tiver a oportunidade de participar em poucos eventos, a minha recomendação é que, aqui no Brasil, não deixe de ir na BSidesSP, no YSTS (se tiver convite) e na CryptoRave.

Aproveite também para visitar alguns eventos internacionais em 2019. Os principais e mais interessantes eventos são os seguintes:
Aqui tem um artigo bem legal com as principais conferências de segurança desse ano, no mundo: "The Top 20 Information Security Conferences of 2019"
Normalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas:


Aproveite para já reservar sua agenda, planejar viagens, etc.

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS: Veja também as minhas listas com os eventos no 1o semestre e no 2o semestre do ano passado. Eu também fiz um post com a minha opinião pessoal sobre como foram os eventos de segurança em 2018.

Atualização em 05/02: adicionado o TDC de Floripa, ajustes no texto introdutório e incluí a observação com os links para meus posts sobre eventos no ano passado. Pequena correção de um link da Campus Party em 11/02. Atualizado em 22/02 para incluir o GTS e a data do Jampasec. Em 31/03 eu incluí a data da Latinoware e o vídeo promocional do Roadsec 2019. Em 09/04 incluí a data da H2HC. Em 11/04 inclui o GRC Day, o Code{4}Sec e o SBSeg.

Atualizado em 07/06. Data do Security Leaders corrigida em 11/06. Atualizado em 14/06 para incluir a data do GTER e GTS.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.