janeiro 29, 2021

[Cidadania] Dia da Visibilidade Trans

Hoje, 29/01, é o Dia da Visibilidade Trans, uma data criada em 2004 para promover a cidadania e o respeito aos homens e mulheres transexuais e travestis.

Eu considero muito importante destacar essa data, pois acredito que a população trans é uma das que mais sofrem de preconceito e que mais tem dificuldade de ser respeitada e aceita pela nossa sociedade. Isso envolve não só a dificuldade de auto aceitação e acolhimento pela família, mas também uma grande dificuldade de inclusão no mercado de trabalho. As pessoas transexuais são tão marginalizadas que, infelizmente, sua expectativa de vida é de 35 anos, apenas.

Felizmente, algumas pessoas trans conseguem emprego formal e progredir na carreira, mas os casos de sucesso são tão poucos que fica até difícil listar alguns exemplos. No mercado de segurança, que infelizmente ainda é muito machista, eu conheço apenas um caso de trans que atingiu um status importante no mercado global, e aqui no Brasil, eu sei de apenas 3 pessoas trans que trabalha em nosso mercado :(

Aqui no Brasil, um exemplo muito legal de pessoa trans que é amada e respeitada pelo seu excelente trabalho é a cartunista Laerte.


Vale a pena ler e conhecer:

janeiro 28, 2021

[Segurança] A ANPD no Dia Internacional de Privacidade de Dados

Hoje, 28 de Janeiro, quando comemoramos o Dia Internacional da Privacidade de Dados, a nossa Autoridade Nacional de Proteção de Dados (ANPD) publicou seu primeiro vídeo no novo canal da agência no YouTube.


No vídeo, que a ANPD chamou de Dia Internacional da Proteção de Dados, eles destacam que essa data reforça a importância da proteção de direitos fundamentais de liberdade e privacidade, relacionados ao uso de dados pessoais. Também lembram que este é o nosso primeiro ano em que comemoramos a data com a plena vigência da Lei Geral de Proteção de Dados Pessoais (LGPD) e com a atuação da ANPD.

Aproveitando essa data, a ANPD também publicou a Portaria nº 11 de 2021, com a agenda regulatória da entidade, que elenca 10 temas prioritários para os próximos dois anos (2021 e 2022), estabelecendo se serão regulados por portaria, resolução ou eventual orientação por guia de boas práticas - estabelecendo prazos de acordo com três fases distintas.

#DataPrivacyDay #DiadaPrivacidadeDeDados

[Segurança] Dia Internacional da Privacidade de Dados

Hoje, 28/01, é o dia Internacional da Privacidade de Dados (o "Data Privacy Day", em inglês). Que tal aproveitar esta oportunidade para revisar como está a sua exposição na Internet e cuidar um pouco mais da sua privacidade pessoal?


Eu separei algumas dicas e coloquei logo abaixo:
  1. Cuidado com o que você compartilha nas redes sociais!
    1. De uma revisada no seus posts e publicações nas redes sociais, verifique se você não está expondo muitas informações desnecessárias sobre você mesmo, sua família ou informações e opiniões polêmicas, que você possa se arrepender futuramente;
    2. Jamais compartilhe fotos e dados de transações bancárias e financeiras;
    3. Lembre-se que alguns hábitos e opiniões pessoais podem não ser bem vistas em um ambiente profissional, e é muito comum as empresas procurarem informações sobre candidatos na Internet, durante processos seletivos. Se você achar necessário, crie um perfil profissional separado do pessoal - principalmente se você for um autônomo ou microempresário (pois, nesses casos, a sua imagem pessoal está muito mais próximos do seu dia-a-dia profissional);
    4. Muitas redes sociais tem recursos para limitar quem pode ver seus posts (por exemplo, selecionar todo mundo, só os amigos ou um grupo restrito), e vale a pena sempre pensar bem antes de publicar informações sobre você nas redes sociais;


  2. No seu celular:
    1. Como estão as configurações de privacidade das suas contas nos seus aplicativos do seu celular? Dê uma revisada e aproveite para limitar o acesso a suas publicações, alertas e, principalmente, as suas informações pessoais somente para quem realmente precisa visualizá-las;
    2. Cuidado redobrado com o compartilhamento de sua localização: evite indicar sua localização em fotos e posts em redes sociais;
    3. Periodicamente revise as suas mensagens no celular e apague o que não for necessário. Suas mensagens de texto (SMS) e nos apps de comunicação (como o WhatsApp) podem incluir informações privadas, então é recomendado apagá-las para evitar que alguém veja, se conseguir acesso ao seu celular;
    4. Revise as configurações de alertas e notificações do seu celular, para que informações e mensagens privadas não apareçam na tela do seu aparelho, mesmo quando bloqueado;
  3. Aproveitando... nudes? Evite tirar e mantê-los em seu celular;
  4. Abra o seu navegador com uma aba anônima e faça uma busca no Google pelo seu nome e seu e-mail. Assim você pode ver o que existe publicado e compartilhados sobre você na Internet;
  5. Verifique as suas senhas para que nenhuma delas contenha seus dados pessoais. Não use, por exemplo, datas de nascimento e datas comemorativas nas suas senhas numéricas. Também evite usar palavras relacionadas a você, seus gostos, e seus hobbies. Sempre que possível, use segundo fator de autenticação.
Atualizado em 28/01:

O pessoal da TrendMicro compartilhou um infográfico bem objetivo sobre o assunto:


Achei esse vídeo bem legal, simples e objetivo: "Privacidade é dia a dia | Dia Internacional da Privacidade | 28.01.2021":



Veja também essas 6 dicas que o C6 Bank compartilhou no LinkedIn (atualizado em 03/02).

#DataPrivacyDay #DiadaPrivacidadeDeDados

janeiro 27, 2021

[Cidadana] Dia Internacional da Lembrança do Holocausto

Hoje, 27/01, é o Dia Internacional da Lembrança do Holocausto, ou Dia Internacional em Memória das Vítimas do Holocausto. Essa é uma data criada para lembrarmos das vítimas do Holocausto e o terrível marco que isso representa na história da humanidade.

Esse genocídio cometido pelos nazistas durante a II Guerra Mundial levou a prisão e morte de milhões de pessoas em campos de concentração, incluindo não só o povo judeu, mas também presos políticos, ciganos, poloneses, soviéticos, comunistas, homossexuais, testemunhas de Jeová, pessoas portadoras de deficiência física e mental, entre outras. Tudo fruto de um regime baseado na intolerância e na segregação. 

Esse dia foi escolhido por marcar a liberação do maior campo de extermínio nazista, o famoso campo de Auschwitz-Birkenau, pelas tropas soviéticas em 27 de janeiro de 1945.


É importantíssimo aproveitar essa data para lembrar o que pode acontecer quando uma sociedade se rende ao discurso da intolerância e extremismo.

Recentemente, o ator Arnold Schwarzenegger publicou um vídeo aonde comparou invasão ao Capitólio, sede do congresso dos EUA, à violência nazista. Como ele mesmo diz, ele nasceu na Austria (aliada ao regime nazista) no início do pós-guerra, e sua infância foi marcada pelas marcas causadas por esse regime. Esse vídeo viralizou e teve alguns trechos que me chamaram a atenção, incluindo quando falousobre uma lembrança “nunca compartilhada tão publicamente antes”:

"Ao crescer, eu era rodeado por homens destroçados, que se embriagavam por causa da culpa de sua participação no regime mais  maligno da história."
"Meu pai chegava em casa bêbado, uma ou duas vezes por semana, e gritava e batia em nós, e assustava a minha mãe. Eu não o culpo totalmente, porque o nosso vizinho estava fazendo a mesma coisa com a família dele, assim como o próximo vizinho. Eu ouvia com meus ouvidos e vi isso com meus próprios olhos. Eles sofriam dores físicas devido aos fragmentos em seus corpos e sofriam dores psicológicas devido ao que viram ou fizeram.”
Ele segue com uma frase, que se aplica muito bem aos dias atuais, infelizmente:
"Tudo começou com mentiras e mentiras e mentiras e intolerância. Sendo da Europa, eu vi em primeira mão como as coisas podem sair do controle."


Eu já tive a oportunidade de visitar dois museus sobre o Holocausto, uma vez em Washington (EUA) e também em Londres (UK), e é terrível ver as atrocidades realizadas por homens descontrolados, contaminados pelo discurso de ódio e que perderam o respeito ao próximo. Pessoas foram mortas aos milhões, pelo simples fato de não pertencerem ao padrão ideal estabelecido arbitrariamente pelo regime dominante.

janeiro 25, 2021

[Segurança] Cuidado com o golpe que promete Pix em dobro

Um novo tipo de golpe se popularizou rapidamente entre diversos fraudadores brasileiros: a promessa de que um bug no PIX faria com que a pessoa recebesse em sua conta o dobro do valor transferido para uma conta via PIX.

Tudo começou no final de semana do dia 16/01, quando surgiram comentários em fóruns criminosos de que um bug no aplicativo bancário do SuperDigital, do Santander, faria com que qualquer tentativa de transferência via PIX para contas com a chave PIX bloqueada não seria realizada, e por isso o cliente receberia o estorno da transação duas vezes. Tudo indica que o bug era real, pois o app do SuperDigital ficou indisponível, em manutenção, por alguns dias.


Essa reportagem do Tecmundo resume a treta que aconteceu com o Santander. Segundo relatos, os ciber criminosos conseguiram fraudar muito dinheiro graças a esse bug.

Depois que surgiu a notícia desse bug específico no app bancário SuperDigital, isso deu origem a uma sequência de boatos que começou a ganhar maiores proporções. Surgiram golpistas espertinhos que começaram a divulgar vídeos fakes (editados) e mensagens em redes sociais dizendo que se você mandasse dinheiro para uma determinada chave PIX (a chave deles, claro), você receberia de volta esse valor em dobro. E muita gente acabou caindo nesse golpe, mandando dinheiro diretamente para a chave PIX do fraudador.

Esses vídeos prometendo dobrar o saldo de quem fizer transferências via PIX, em geral, não são verdade! São apenas um novo golpe que surgiu recentemente. Lembre-se: Sempre desconfie de mensagens prometendo ganho de dinheiro fácil.

Rapidamente, o pessoal do Nubank correu e publicou um post no blog deles alertando para esse golpe. O post destaca que os fraudadores editam os vídeos para enganar suas vítimas:
"Os vídeos que costumam acompanhar esse tipo de mensagem são editados ou contém truques. Para mostrar a transferência “em dobro” funcionando, por exemplo, basta que os próprios golpistas realizem duas transferências – mas mostrem apenas uma na hora de filmar."
Vale reforçar que, claro, qualquer software ou transação é sujeito a bugs. Como o PIX foi implementado pelos bancos brasileiros a toque de caixa, seguindo prazos determinados pelo Banco Central, pode realmente acontecer que ainda existam bugs em alguns bancos. Por exemplo, essa reportagem mostra que o Itaú teve uma falha grave na sua implementação do Pix, no passado, que fez com que ele transferisse por engano quase R$ 1 milhão para contas em outros bancos.

janeiro 13, 2021

[Segurança] Guias Operacionais para adequação à LGPD

O portal do governo brasileiro publicou um conjunto bem legal de materiais para adequação a LGPD, disponíveis gratuitamente online. Além de um "Guia de Boas Práticas - Lei Geral de Proteção de Dados (LGPD)", publicado em Abril de 2020 e atualizado recentemente, o portal de Governança de Dados do Governo Digital oferece diversos "Guias Operacionais" que incluem guias de boas práticas, apresentações, templates e estudos de caso relacionados a etapas da conformidade com a LGPD:
  • Programa de Governança em Privacidade
  • Inventário de Dados Pessoais:
  • Termo de Uso
  • Avaliação de Riscos
  • Adequação de Contratos
  • Relatório de Impacto de proteção de dados - RIPD
  • Resposta à Incidentes
Esse é um ótimo material para consulta, mas não podemos nos esquecer que é voltado para a administração pública federal - logo, merece uma lida criteriosa e cuidadosa para quem desejar usar esse material em uma empresa privada.



janeiro 11, 2021

[Carreira] Como turbinar o seu perfil no LinkedIn

O perfil dos DevCansados no Twitter publicou uma sequência bem legal com algumas dicas de como melhorar o seu perfil no LinkedIn e, assim, ajudar na busca por oportunidades de carreira. Afinal, o LinkedIn é uma rede social profissional muito utilizada no mercado de tecnologia, e que serve tanto para se conectar com colegas como para você se destacar no mercado. Ele é a sua "vitrine profissional", e deve transmitir seriedade na medida certa (mas também não precisa ser super formal).

Sem exageros, podemos dizer que atualmente o LinkedIn já substituiu o tradicional "Curriculum vitae" (CV).



Veja abaixo uma transcrição das dicas deles, com alguns comentários extras meus:
  • Nome: Coloque seu nome e sobrenome reais, com a primeira letra em maiúscula, por favor. Não coloque nomes zoeira, nem apelidos. Certo: Devs Cansados Errado: devscansados / Sommelier de Bugs;
    • É "cafona" colocar suas certificações ao lado do nome. Não seja esse tipo de pessoa - a menos que você tenha feito um doutorado ou PHD foda, em uma Universidade mega-foda. Mesmo assim, não faria mal mostrar humildade;
  • Foto: Coloque uma foto de perfil legal, mas que pareça mais sério, sem efeitos. Não precisa ser uma foto de terno e gravata, basta uma foto normal, com aspecto neutro, e de preferência, centralizada. Bem iluminada, sério ou levemente descontraído;
  • Perfil: Esse é o coração do que deve destacar em seu perfil. É muito importante oferecer o máximo de informações relevantes sobre a sua carreira e educação. Cuide direitinho da sessão "Experiência Profissional", a mais importante de todas!! Aqui, você vai colocar todas as suas experiências profissionais relevantes - aqui o DevCansados sugere incluir "mesmo que tenha alguma que não seja na área", mas isso fica a seu critério. Eu só incluiria se fosse para demostrar que tenho mais tempo de experiência profissional além do tempo que atuo na área, ou se for algo que complemente ou valorize a minha experiência atual. É importante detalhar toda a experiência sua, colocando ferramentas, linguagens, metodologias usadas e etc… Dessa forma, por exemplo, se você for um dev Java, você evita uma oferta de QA, por exemplo, e ajuda os recrutadores de cada área;
  • Educação: Nessa seção, coloque somente educação de nível técnico para cima. Cursos e certificações possuem outra sessão. Se você passou por diferentes áreas (ex: biomedicina e TI), não coloque o curso de biomedicina, pois é uma informação irrelevante para vagas de TI;
  • Competências: Coloque todas relevantes para sua profissão, e 3 das mais fortes para ficar em destaque. Elas vão ser exibidas em todas as visitas do seu perfil. Coloque apenas as competências de sua área. Se você é dev, não faz sentido colocar “cozinheiro”. Você também pode conquistar uma medalha do Linkedin dessa competência. Na nossa área, tem diversas medalhas, java, node, agile… É uma prova de 15 questões, e se você passar, esse emblema é mostrado no seu perfil. Se vc errar, não mostra e você pode tentar novamente;
  • Licenças e Certificações: Aqui é sua hora de brilhar! Coloque todos os cursos e certificações relevantes que tiver. Se tiver credencial, se tiver link, coloca também. São suas informações complementares, mas também são oportunidade para se destacar!
  • Idiomas: Fala mais de uma língua? Você pode adicionar essa informação na sessão de conquistas, além de poder criar seu perfil do Linkedin nessa língua também. Ou seja, se você configurou em Português e Inglês, um recrutador com o Linkedin em Inglês, vai ver seu perfil em Inglês;
    • Escrever o perfil em Português ou Inglês? Na verdade, use a língua que você domina. Preferencialmente, escreva sua bio e suas informações em inglês (se você domina a língua), assim mais gente vai poder visualizar o seu perfil. Mas, se você não é fluente, tudo bem em deixar tudo em Português. O importante é que não tenha erros gramaticais!
  • URL do perfil: pode configurar a URL também, para não ficar aquela URL gigante e você mesmo pode criar uma personalizada. É uma boa dica;
  • Recomendações: É bom ter algumas recomendações de colegas e antigos gestores em seu perfil, mas sem exageros. Peça recomendação somente para pessoas com quem você trabalhou e teve uma experiência positiva. É melhor ter poucas recomendações sinceras do que muitas que não dizem nada com nada;
  • Participação em eventos: Se você assistiu um evento, não coloque, pois isso não é relevante. Na minha opinião, esse é um erro muito comum. Só inclua informações sobre isso se você palestrou ou organizou um evento;
  • Aproveite para publicar posts e, até mesmo, artigos em seu perfil no LinkedIn. Compartilhe informações relevantes, que mostrem seus conhecimentos e que você está antenado no mercado.
Mesmo sendo uma rede social profissional, o mais importante é que seu perfil reflita quem você é e também a sua personalidade. Não deixe isso escapar por conta de regras ditadas por outras pessoas.




janeiro 07, 2021

[Segurança] WOMCY em 2020

A Andréa Thomé, líder do capítulo brasileiro da WOMCY (LATAM Women in Cybersecurity), publicou um post em seu perfil no LinkedIn aonde apresentou números que mostram como a WOMCY foi super ativa em 2020, com diversas atividades realizadas, sempre promovendo a participação de mulheres maravilhosas no mercado de segurança.

Os números mostram o sucesso da WOMCY:
  • +6000 participantes alcançados
  • +400 voluntários e membros
  • +100 mentorias entregues (através de evento próprio e com a FESA Group)
  • +69 eventos e lives próprias
  • +62 participações em painéis, lives, podcasts e entrevistas como convidados
  • +60 líderes para programas e equipe
  • +17 palestras em universidades
  • +15 programas executados
  • +15 apoiadores
  • +8 patrocinadores
  • +6 painéis no aniversário de um ano comemorado com as parceiras CyberSecurityGirls BR
  • +3 ações educacionais - (i) Academia CISCO, com +700 inscritos, (ii) curso de Linux com +30 inscritos


Atuando no Brasil há pouco mais de um ano, o capítulo Brasileiro está bem ativo graças a liderança inspiradora da Andréa e da ajuda de diversas voluntárias, membros, apoiadores e patrocinadores.

Parabéns a todas as pessoas envolvidas nessa iniciativa!!!

Conheça mais sobre o projeto no site www.womcy.org.

janeiro 06, 2021

[Carreira] Júnior, Pleno, Sênior ou Zumbi?

O Igor Rincon publicou recentemente um vídeo muito legal em seu story no Instagram aonde ele explica a diferença entre níveis Júnior, Pleno e Sênior na carreira, e dá um exemplo bem criativo: como cada um reagiria se tivesse uma arma com 1 bala e 3 Zumbis em sua direção.

Júnior, Pleno e Sênior são três nomenclaturas muito usadas em todo o mercado para definir o nível de uma pessoa em uma determinado ponto da carreira. Normalmente, Júnior é aquele profissional em início da carreira, que ainda tem muito o que aprender. O Pleno é o profissional no meio da carreira enquanto o Sênior representa o profissional experiente, com ótimo nivel de conhecimento e que, em poucas palavras, "se vira sozinho".

Na verdade, existem mais níveis em um plano mais completo de carreira, além de existirem vários caminhos alternativos, como as famosas "carreiras em Y" e a mais moderna e não tão famosa ainda, "carreira em W". As nomenclaturas e requisitos podem variar um pouco em cada empresa ou segmento de trabalho, mas a grosso modo, o mercado costuma considerar pelo menos os níveis abaixo:
  • Estagiário ou Trainee
  • Júnior (Jr.)
  • Pleno (Pl.)
  • Sênior (Sr.)
  • Especialista
  • Coordenador
  • Gerente
  • Diretor
Quando falamos em "Carreira em Y", a empresa considera que o funcionário pode se desenvolver tecnicamente sem obrigação de assumir um cargo de gestão - o que é ótimo, pois existe muita gente que não tem interesse ou skills para ser um bom gestor, e prefere seguir uma carreira mais operacional. Então, o cargo de Coordenador (normalmente já é uma função de gestão) tem o equivalente ao "Líder Técnico", e o "Principal Engineer" pode ser o equivalente ao Gerente ou Diretor, dependendo de como a empresa estabelece seu plano de carreira.

É comum encontrar empresas que possuem um plano de carreira em que cada nível acima é dividido em 3 subníveis, I, II e III (ou seja, tem o Júnior I, Júnior II, Junior III, etc). Algumas empresas subdividem a carreira de Especialista em Jr, Pl e Sênior.

Os requisitos para você passar de nível em sua carreira variam muito de empresa para empresa. Basicamente o nível depende de quanto maior forem as suas competências específicas ("hard skill", ou conhecimento técnico) e suas competências profissionais ("soft skills", como por exemplo, trabalho em equipe, liderança, independência, quociente emocional, etc).

Como uma regra geral, até alguns anos atrás considerava-se que um profissional poderia demorar uns 3 anos em cada nível (antigamente, esse número mágico poderia ser de 5 anos até estar apto a mudar para o próximo nível). No mercado de tecnologia essa regra de tempo de trabalho não funciona, entretanto, devido principalmente a característica de auto-didatismo e foco na entrega, além da pressão do mercado causada pela falta de profissionais e alta competitividade. Assim, é comum encontrar profissionais que conseguem galgar rapidamente postos na carreira.

Mas não podemos nos esquecer que, quanto maior o nível de senioridade na carreira, também maior será a pressão por resultados e espera-se uma maturidade pessoal e profissional correspondente. Ou seja, uma pessoa com pouca experiência no mercado, mesmo que consiga um cargo de "sênior", terá dificuldade em seu dia-a-dia, pois não terá a maturidade que a empresa e colegas esperam dela.

Voltando ao exemplo do Igor Rincon, como um profissional reagiria se fosse atacado por três zumbis e só tivesse uma bala na arma? #WalkingDeadFeelings


Na minha opinião (parecida com a do Igor), o cenário seria mais ou menos o seguinte:
  • O Estagiário entraria em desespero e sairia correndo, gritando e pedindo ajuda (ops, com os gritos, ele iria atrair mais zumbis, aumentando o tamanho do problema!);
  • O Analista Júnior não saberia usar a arma. No desespero, ele ira tentar atirar e, possivelmente, erraria o tiro e desperdiçaria a bala. Com sorte, acertaria um zumbi. Se tiver azar, acertou o tiro no próprio pé e, assim, não conseguiria nem fugir;
  • O Analista Pleno iria atirar nos Zumbis. Provavelmente acertaria um deles, mas ainda teria que se virar com os outros 2 restantes;
  • O Analista Sênior iria analisar a situação, avaliar as possibilidades de fuga e de pedir ajuda. Se possível, ele pediria ajuda para, com trabalho em equipe, conseguir matar os três zumbis. Se isso não fosse possível, ele iria atirar e matar o Zumbi que apresenta maior risco (o mais ágil e/ou o mais perto) e fugiria dos outros 2, ou mataria eles de outra forma;
  • O Especialista iria preparar uma armadilha para os três Zumbis, matar um com uma bala e os demais com alguma outra arma ou com um simples cabo de vassoura, e sairia ileso, calmamente;
  • O "Principal Engineer" daria um único tiro, sem olhar, e com apenas uma bala mataria os três Zumbis.


janeiro 05, 2021

[Segurança] Previsões para 2021 (com memes)

Depois de um ano m* como foi 2020, qualquer previsão para 2021 pode se resumir em "espero que não piore".

   

OBS (adicionado em 08/01): Xi, já tem gente pedindo o rollback! Parece que 2021 é, na verdade, a Temporada 2 de 2020 !!!

   



A expectativa otimista de todos é que a pandemia possa ser controlada com o avanço da vacinação contra o COVID-19 ao redor do mundo. Talvez em meados de 2021 possamos voltar a uma vida mais próxima ao normal.


Mas, falando sobre o nosso mercado de segurança, eu passo abaixo as minhas previsões para o ano de 2021, baseado nas tendências atuais, um pouco de achismo, uma pitada de chutômetro e anos de experiência acumulada de muita procrastinação:
  • Os impactos da Pandemia
    • Consolidação do trabalho remoto como prática dominante no mercado - mas pode ser possível que daqui a alguns meses e nos próximos 1 ou 2 anos comecemos a ver as pessoas querendo voltar para o escritório. Eu acredito que a maioria das empresas vão assumir um modelo de trabalho híbrido, com os times revezando entre alguns dias no escritório e outros dias em casa, trabalhando remotamente. Isso permite reduzir o tamanho dos escritórios atuais, economizando recursos. Também deve ampliar o escopo de contratação de profissionais para além das cidades aonde as empresas mantém suas operações, permitindo o crescimento do mercado de tecnologia e de segurança para além dos grandes centros urbanos;
    • Maior foco em proteção do Endpoint, devido a proliferação do trabalho remoto durante e após a pandemia do novo Coronavírus. No cenário de trabalho remoto e longe das redes corporativas, a proteção dos end points (computadores dos usuários finais) tornou-se fundamental, uma vez que agora nossos funcionários podem (e precisam) trabalhar a partir de qualquer lugar - inclusive a partir de redes locais inseguras. Além do uso obrigatório de tecnologias de autenticação de dois (ou mais) fatores (2FA e MFA), o Zero Trust é um conceito fundamental nesse "novo normal";
    • Ainda teremos muitos golpes e ciber ataques relacionados a COVID-19, pois a pandemia ainda vai dominar a vida de todos nós até, pelo menos, metade do ano. Já estamos vendo surgir, por exemplo, golpes de phishing oferecendo acesso a vacina contra o Coronavírus, além de ciber ataques aos laboratórios e, até mesmo, venda online de vacina falsa;
  • Ransomware corporativo bombando!
    • Os ataques de Ransomware com foco corporativo continuarão bombando e extorquindo milhões de dólares de grandes empresas, graças as técnicas de double e triple extorsion (criptografia e roubo de dados, além de DDoS). Além de aumentar a tendência de ataques direcionados, acredita-se que, graças aos ganhos milionários com resgates exigidos de empresas, os ciber criminosos também possam focar em corromper ou extorquir funcionários para implantarem ransomware na empresa aonde trabalham;
    • Deve ganhar força ações governamentais para criminalizar o pagamento de resgates de ransomwares, fruto da explosão dos ataques de ransomwares aos ambientes corporativos. Na incapacidade de prevenir e combater esse tipo de ciber crime de forma efetiva, o caminho mais fácil para as autoridades é criminalizar o pagamento dos resgates. É possível, por exemplo, surgir esforços para enquadrar tais pagamentos em regulamentações contra a lavagem de dinheiro e financiamento ao crime e terrorismo. Consequentemente, vão surgir empresas de consultoria especializadas em "mascarar" esses pagamentos;
  • A saga da LGPD continua!
    • 2021 será, com certeza, o Ano do LGPD no Brasil (ok, eu disse a mesma coisa no ano passado!), forçando as empresas a se adaptarem a lei, com a consolidação assim que a Autoridade Nacional de Proteção de Dados (ANPD) começar a funcionar realmente. Em Agosto de 2021 também teremos um novo "boom" da LGPD, com o início da aplicação das sanções administrativas. De qualquer forma, começaremos a ver as empresas tratando os dados pessoais com mais cuidados e com mais respeito aos direitos dos titulares;
    • Proliferação, no Brasil, de empresas oferecendo "DPO as a Service" e, por tabela, "CISO as a Service", graças a baixa quantidade de profissionais para suprir a demanda de mercado. Além disso, como A LGPD é aplicada a todos os setores da economia, as empresas de pequeno e médio porte não tem capacidade de manter profissionais dedicados, sendo obrigados a buscar a terceirização dessa função em formato de consultoria;
    • Há quem acredite no surgimento de chantagem pelo sequestro de dados pessoais, por causa das multas da LGPD. Mas eu sou do contra, duvido que isso ocorra. Há uma grande especulação no mercado e segurança de que a entrada da LGPD e suas multas por vazamento de dados vai estimular o mercado criminoso de roubo de dados e extorsão em troca da não divulgação. Isso pode acontecer, claro, pois a criatividade dos criminosos não tem limites, e considera-se que o valor exigido pelos criminosos seria menor do que a potencial multa que a empresa pagaria. Mas eu não acredito que isso realmente vá acontecer em grande escala e que vai ter relevância (embora nunca possamos duvidar da criatividade dos criminosos brazucas), pois até aonde eu sei o mesmo fenômeno não aconteceu na Europa, com a entrada da GDPR há 2 anos atrás;
  • Gestão de acessos a ambientes em Cloud vai ser um tópico quente em 2021 e talvez nos próximos anos, principalmente graças a grande quantidade de dados vazados diariamente - muitos vindos de repositórios em nuvem, sem a devida proteção. CASB vai virar uma buzzword frequente!
  • Novos modelos de eventos, overdose dos eventos online e foco nos eventos presenciais pós-pandemia - As pessoas já estão ficando exaustas dos eventos online, das frequentes lives, webinars e cursos online. O boom de 2020 não vai se sustentar em 2021, pois as pessoas vão ficar cansadas desse modelo, principalmente por causa da quantidade exagerada de lives que vimos em 2020. A flexibilização (e eventual fim) das medidas de isolamento social vai trazer de volta os eventos presenciais, e as pessoas terão a oportunidade de retomar essa interação. O mercado e eventos vai se adaptar, com eventos online mais focados em conteúdo e eventos presenciais focados em networking, com surgimento dos eventos mistos (parte do conteúdo online e parte presencial), juntando o melhor de cada um dos cenários;
  • Mercado Brasileiro
    • Em termos do ciber crime brasileiro, acredito que em breve veremos surgir golpes usando os cartões com aproximação (contactless), que estão se popularizando no Brasil, e também teremos o aumento nas fraudes relacionadas ao uso do PIX, o sistema de pagamentos instantâneo que começou a operar no Brasil no final de 2020. Conforme o PIX se populariza e cai no gosto da população, mais ele também será utilizado por criminosos, de diversas formas: como tema em esquemas de fraude (ex, sites falsos e phishing para acessar credenciais bancárias), como forma de transferência rápida de dinheiro entre contas, etc
    • Eu acredito que vamos ver o mercado de Bug Bounty crescer no Brasil em 2021. Aos poucos, bem aos poucos, as empresas nacionais estão acreditando no bug bounty como uma forma de ajudar a identificar vulnerabilidades. Já temos muitos pesquisadores brasileiros participando de programas de BB mundo a fora, mas ainda falta ver a adesão das nossas empresas.

Para saber mais:

Adicionado em 08/01: Dê uma olhada nesse artigo também: 10 fastest-growing cybersecurity skills to learn in 2021.

Adicionado em 28/01: Vale a pena dar uma lida rápida nesse artigo da Kaspersky: A privacidade digital no futuro: previsões dos especialistas para a próxima década.

Adicionado em 19/02: A HackerOne tem um relatório curto e interessante: Hacker Trends & Security In 2021.

janeiro 04, 2021

[Cyber Cultura] Nota conjunta contra a ação dos Copyright Trolls

Eu considero esse assunto muito relevante, e que merece ser divulgado. Hoje diversos grupos e entidades se uniram para lançar uma nota conjunta denunciando a ação recente de "Copyright Trolls" no Brasil.


Conforme está detalhado na nota, durante os últimos meses de 2020 vários internautas receberam cartas remetidas por um escritório de advocacia especializado em propriedade intelectual com notificações extrajudiciais contendo ameaças e propondo um “acordo” de R$ 3.000,00 em razão de supostos downloads ilegais de filmes, a fim de evitar uma judicialização.

Os grupos e entidades que assinam a nota consideram que "há grandes razões para se acreditar que estamos diante de uma atuação do que se convencionou chamar de #CopyrightTrolls : pessoas ou organizações que realizam ameaças de processo judicial, ou outras atitudes particularmente agressivas, para obter remuneração a partir de questões ligadas à proteção dos direitos autorais. Atuam a despeito de um real embasamento jurídico para sua reivindicação nesses casos, e a notificação se presta a causar terror psicológico pela ameaça de ação judicial que dificilmente resultaria em vitória para quem a ajuizasse".

As entidades que assinam a nota recomendam, como precaução, que as pessoas que receberam essas notificações extrajudiciais simplesmente as ignorem, e não entrem em contato com os números ou endereços eletrônicos indicados nelas, pois consideram que os fundamentos jurídicos e técnicos são dúbios. Por isso, completam: não se intimide, nem siga qualquer instrução destas notificações. Eles também disponibilizaram um endereço de e-mail para quem tiver dúvida e quiser entrar em contato sobre o assunto: copyright@partidopirata.org.

A nota completa está disponível no link https://partidopirata.org/nota-copytrolls/

Assinam a nota: Partido Pirata - Brasil, Creative Commons Brasil, Coalização Direitos na Rede, Grupo de Estudos em Direito Autoral e Industrial - UFPR (GEDAI), Instituto de Pesquisa em Direito e Tecnologia de Recife (IP.rec), Instituto Brasileiro de Defesa do Consumidor (IDEC) e o Grupo de Estudos e Pesquisas em Direito Digital e Direitos Culturais da UFERSA
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.