Fabricantes de dispositivos médicos devem investir em cibersegurança

Alerta é da FDA, após relatos de vulnerabilidades em alguns dispositivos dedicados

Os fabricantes de dispositivos médicos devem seguir novas medidas para proteger seus produtos contra malware e ataques cibernéticos ou enfrentar a possibilidade de não terem seus equipamentos aprovados para uso pela FDA (Food and Drug Administration), agência reguladora de alimentos e medicamentos dos EUA.

A organização liberou novas recomendações de ciber segurança para os dispositivos médicos na quinta-feira (13), depois de alguns relatos de que alguns dispositivos foram comprometidos.

Vulnerabilidades recentes envolvendo monitores fetais da Philips e em softwares da Oracle utilizados em máquinas de análise de fluidos corporais estão entre os incidentes que levaram a agência a emitir as novas recomendações, disse um porta-voz da FDA.

Em um caso relatado em outubro, um malware comprometeu monitores fetais usado em mulheres com gravidez de alto risco em um hospital de Boston. Em outro caso ocorrido em janeiro, a FDA divulgou um alerta sobre um software da Oracle que pode permitir a crackers o acesso remoto às bases de dados de dispositivos de análise da Roche Cobra, disse o órgão.

Representantes da Philips e da Oracle não responderam imediatamente aos pedidos para comentar sobre as recomendações da FDA.

“Muitos dispositivos médicos contêm ​​sistemas de computadores configuráveis integrados que podem ser vulneráveis ​​a violações de segurança cibernética”, disse a FDA em suas recomendações. “Como os dispositivos médicos estão cada vez mais interligados, via Internet, às redes hospitalares, outro dispositivo médico e smartphones, há um aumento do risco de violações de segurança, o que poderia afetar a forma como um dispositivo médico opera.”

De acordo com as regras propostas, a agência recomenda que os fabricantes de aparelhos forneçam junto com seus dispositivos, planos para atualizações e patches, disse Erica Jefferson, porta-voz da FDA.

Empresas estão despreparadas para enfrentar violações de dados

Cerca de 68% dos entrevistados disse que tem elevado seu foco em segurança da informação para aumentar a proteção na chamada “guerra cibernética”

De acordo com a Pesquisa de Segurança e Privacidade 2013 da Protiviti, diversas empresas não estão adequadamente preparadas para enfrentar uma violação de dados em uma crise de segurança em TI, apesar do reconhecimento de que as ameaças cibernéticas estão mais predominantes.

Mais de dois terços (68%) dos entrevistados disse que tem elevado seu foco em segurança da informação para aumentar a proteção na chamada “guerra cibernética”.

No entanto, quando perguntadas se as organizações têm um plano de resposta à crise formal e documentada para seguir após uma violação de dados ou incidente de hacking, 21% afirmou que as organizações não possuem um plano de conduta, e 13% não sabia confirmar se a empresa possuía algum plano.

O diretor de gestão da Protiviti, Cal Slemp, disse que os resultados da pesquisa foram pouco encorajadores. ”A cibersegurança deve continuar a ser um foco importante para as empresas, especialmente à luz das violações de segurança recentes de alto perfil”, disse ele em um comunicado.

“Enquanto nós estamos vendo um número maior de empresas de uma ampla gama de indústrias dedicar mais atenção e recursos para melhorar a abordagem para a segurança de dados, ainda há uma série de organizações suscetíveis a ataques.”

De acordo com a pesquisa, um dos maiores problemas de segurança que as  organizações enfrentam é o fato de que elas não possuem políticas fundamentais de dados.

A pesquisa também mostra que muitas empresas são ineficazes em gerenciar dados por meio da retenção adequada e políticas de armazenamento, incluindo a classificação de dados sigilosos.

Aproximadamente 22% das empresas não têm uma política de segurança da informação escrita (WISP), e 32% não têm uma política de criptografia de dados, disse a Protiviti.

A empresa de consultoria acrescentou que as empresas não têm clareza sobre o que constitui um dado sensível, confidencial ou público, e apenas 63%dos entrevistados relatou que suas organizações têm em vigor um sistema para classificar corretamente os dados. ”Os resultados sugerem que muitas empresas são ineficazes para assegurar os dados mais importantes ou tentar proteger todos os dados em vez de focar recursos em dados que apresentam o maior risco, se expostos por meio de uma violação”, disse Slemp.

A boa notícia
Apesar dos fatos, Slemp disse que houve um crescimento ano a ano, no percentual de empresas que apostaram em programas e políticas detalhadas para classificar os seus dados – o que ele descreveu como a chave para a compreensão e garantir a proteção de informações mais sensíveis em uma organização.

Outra notícia positiva, acrescentou Slemp, é que mais CIOs estão assumindo a responsabilidade pela estratégia de governança, fiscalização e execução de dados dentro de suas organizações.

A Protiviti disse que as empresas com planos de crise documentada liberados em resposta a uma violação de dados ou hacking já começaram a envolver os seus CIOs muito mais do que antes.

Por exemplo, em 2012, apenas 58% das empresas relataram que seu CIO estava envolvido na abordagem tais incidentes, em comparação com 72% em 2013, disse a Protiviti.

“O papel do CIO está se tornando mais importante nas organizações, em parte, por causa da importância dos dados, tanto em termos de avanço da empresa, quanto em gestão de risco”, disse Slemp. “A realidade é que, a medida que dados continuam a evoluir como um ativo extremamente importante, eles devem ser geridos de forma diferente e mais eficaz do que outros ativos.”

Microsoft lança Windows Embedded Compact 2013

Com foco na internet industrial sistema operacional é indicado para captura de dados de controles lógicos programáveis e de painéis de interface homem-máquina

Com um olho na Internet industrial, a Microsoft apresentou ao mercado na última sexta-feira, 14/6 a nova versão do sistema operativo Windows Embedded CE: o Windows Embedded Compact 2013.

“É essencial para as empresas hoje explorarem o vasto potencial dos dados ao redor, diz Kevin Dallas, gestor-geral do Windows Embedded na Microsoft.

O Windows Embedded CE é um sistema operacional modular, em tempo real, com um núcleo (“kernel”) especializado, que pode ser executado em menos de 1 MB de memória. Chegou ao mercado em 1996 como uma solução para ligar computadores muito pequenos e dispositivos embarcados (“embedded”) – por exemplo, dispositivos industriais e dispositivos de eletrônica de consumo, como “set-top boxes” e consoles de jogos.

“Desde então, este pequeno OS evoluiu da pequena categoria-alvo – os “handheld” – para um sistema integrado de propósito generalista capaz de gerir desde minúsculos controles até a terminais POS, no varejo, ou ao máquinas de automatização industrial”, diz Colin Murphy, gestor de programa técnico do Windows Embedded.

“O Windows Embedded Compact continua a diferenciar-se dentro da Microsoft, e dentro do ecossistema maior, como um sistema operativo visando pequenos dispositivos que precisam de desempenho em tempo real e de flexibilidade no silício”, diz Murphy.

A Microsoft diz que a nova versão é ideal para dispositivos industriais, como controladores lógicos programáveis e painéis de interface homem-máquina utilizados para monitorar processos de fabricação, ou scanners de RFID em ambientes de varejo, máquinas de ultra-sons portáteis e equipamentos de laboratório e diagnóstico.

Ao ligar esses dispositivos aos sistemas de “back-end” através danuvem , a Microsoft diz que o sistema inteligente resultante gera dados que podem ser aproveitados e analisados para a obtenção de conhecimentos práticos.

Fornecedores de cloud dos EUA enfrentarão tempos difíceis após Prism

Escândalo de espionagem nos EUA vai resultar em mais empresas optando por fornecedores locais

Os fornecedores de cloud europeus acreditam que o escândalo de espionagem nos EUA vai resultar em mais empresas optando por alternativas locais para serviços como os Amazon Web Services e Rackspace, apesar de estarem convencidos destas empresas não terem participação em programas como o PRISM.

O debate sobre o acesso dos EUA a dados em nuvem que o Patriot Act ajudou a incentivar voltou a ser um tema quente na sequência das revelações sobre os programas de vigilância, como o PRISM, em que o governo dos EUA disse ter acesso aos dados em servidores fornecidos pela Google, Facebook, Microsoft, Yahoo, Apple e Skype.

“Acho que vai ser muito prejudicial para as empresas americanas em termos de competição no exterior. Isso não é algo que tenhamos usado até na venda dos nossos serviços, mas é um fato que os clientes vão discriminar”, disse Robert Jenkins, CEO da empresa suíça CloudSigma.

Em geral, as notícias sobre o PRISM e outros programas terá um grande efeito na confiança das pessoas no uso da Internet, de acordo com Johan Christenson, CEO da sueca City Network.

“Há um monte de clientes que vêm até nós porque querem armazenar os seus dados na Suécia. Os clientes não sabem que têm de fazer isso, mas não querem aborrecimentos. Há agora um pequeno factor de confiança”, disse.

Christenson costumava pensar que a questão da confiança iria desaparecer em três ou quatro anos, mas o que aconteceu na semana passada estabeleceu que ese processo irá demorar um longo tempo, disse ele.

A CloudSigma e a City Network vendem ambos infraestrutura-como-serviço (IaaS). Os seus concorrentes americanos estão neste momento emitindo apenas breves declarações em sua própria defesa.

Tanto a Amazon como a Rackspace não participam do programa PRISM, disseram as duas empresas por e-mail.

Criação de data centers no país é uma forma de preservar a privacidade

Se os dados dos usuários brasileiros fossem armazenados aqui mesmo, no país, denúncias de monitoramento de comunicações nos EUA não preocupariam tanto o governo

O ministro das Comunicação, Paulo Bernardo, defendeu, durante congresso da Associação Brasileira de Provedores de Internet e Telecomunicações (Abrint), realizado em São Paulo, que a criação de data centers no Brasil para que os dados dos usuários brasileiros sejam armazenados aqui mesmo,no país, é uma forma de resguardar a privacidade dos cidadãos brasileiros.

A medida também foi defendida pelo presidente da Abrint, Basílio Perez, para quem as denúncias de que órgãos de inteligência do governo dos Estados Unidos tinham acesso direto ao banco de dados de empresas de internet e telefonia de usuários da rede mundial de computadores deve motivar governos de vários países a discutir meios de preservar a privacidade de seus cidadãos.

“Temos que criar leis para proteger essas informações. Assim, se as empresas enviarem para os Estados Unidos os dados dos usuários brasileiros, o Brasil poderá tomar alguma medida. Infelizmente, do jeito que as coisas parecem ter acontecido, as empresas [supostamente envolvidas] apenas seguiram a lei norte-americana. De qualquer forma, isso tudo é um sinal de alerta de que algo tem que ser feito”, disse Perez, explicando que, mesmo que o monitoramento das informações pessoais dos usuários não represente um perigo imediato, trata-se de uma violação de privacidade e de algo moralmente errado.

“Esperamos que não haja um uso indevido das informações, mas há situações muito críticas”, disse ele. “Imaginemos que alguém, por qualquer motivo, tenha passado, por e-mail, uma senha de acesso ao sistema da empresa em que trabalha. E que essa mensagem foi parar nos Estados Unidos. Como não temos controle do que foi feito, para onde foi e quem teve acesso à mensagem, não podemos saber o que vai acontecer. É um perigo muito grande”.

Seis dias após as denúncias sobre a existência de um programa que permite aos serviços de segurança dos Estados Unidos monitorar telefonemas e e-mails virem a público, o assunto dominou os debates no congresso da Abrint. O ministro das Comunicações, Paulo Bernardo, disse que o governo brasileiro está preocupado com a questão e que há uma série de aspectos que o governo e as empresas norte-americanas citadas no escândalo precisam esclarecer, Bernardo defendeu a liberdade na internet e o direito de seus usuários à privacidade.

“Para o governo brasileiro essas notícias são muito preocupantes”, disse Paulo Bernardo. “Não vou me meter nas questões dos Estados Unidos, que tem suas preocupações com segurança, como nós aqui também temos. Acho, contudo, que há uma série de questões que precisam ser respondidas”.

Referindo-se à Internet como um “grande ambiente de convivência e de negócios”, o ministro disse que, confirmadas as denúncias de que as empresas do setor de internet e de telefonia entregavam, “em massa”, dados de registros de seus usuários a órgãos do governo norte-americano, será difícil justificar tal prática.

“Se fizermos uma pesquisa, todos nós, provavelmente, temos conta nessas empresas e usamos seus serviços. Por que nossas contas têm que ser entregues [ao governo norte-americano]?”, questionou o ministro, lembrando que, na semana passada, no Brasil, foi necessário que o Superior Tribunal de Justiça (STJ) determinasse que a Google Brasil cumprisse uma ordem judicial para quebrar o sigilo das comunicações feitas, por e-mail, por usuários do serviço que estejam sendo investigados por crimes de formação de quadrilha, corrupção passiva e ativa, fraude à licitação, lavagem de dinheiro, advocacia administrativa e tráfico de influência.

Em sua defesa, a empresa declarou não poder cumprir a primeira ordem judicial de quebra de sigilo das comunicações porque os dados em questão estão armazenados nos Estados Unidos e, por isso, estão sujeitos à legislação daquele país, que considera ilícita a divulgação.

“O STJ, evidentemente, disse que uma empresa que tem escritório e que funciona no Brasil tem que se submeter à legislação brasileira”, destacou o ministro. Bernardo considera que o assunto deve provocar reflexões a respeito da relação entre privacidade na internet e segurança nacional e mudanças também no Brasil. Uma das medidas defendidas pelo ministro é a construção de mais centros de processamentos de dados (data centers) no país, o que, segundo Bernardo, permitirá que as informações de usuários brasileiros fiquem armazenadas no Brasil, submetidas à legislação brasileira.

“Acho que a questão tem que merecer de todos nós uma grande reflexão. Inevitavelmente, vamos ter que discutir alguma política para que os dados dos usuários do Brasil sejam guardados aqui mesmo, no país. Não que, com isso, essas empresas deixem de guardar essas informações lá fora, mas tem que ter data centers aqui. Há tempos falamos que queremos fazer uma política de incentivo à construção de mais data centers e de uso de armazenamento”, concluiu o ministro.

Data centers
Desde meados de março empresas prestadoras de serviços de telecomunicações que desejarem investir na ampliação ou modernização de suas redes de telecomunicações e na construção e ampliação de data centers que suportem serviços de cloud computing, contando com os benefícios do Regime Especial de Tributação do Programa Nacional de Banda Larga (REPNBL), já podem apresentar projetos ao Ministério das Comunicações.

Além do aspecto da segurança, o governo acredita que os data centres e a computação em nuvem são elementos fundamentais para o desenvolvimento da banda larga. Quanto mais data centres a gente tiver no país melhor serão as nossas conexões da banda larga e menores serão os custos das conexões internacionais.

Como há grande concentração de cabos submarinos chegando em Fortaleza, e já existem projetos de matriz energética limpa na região (especialmente energia eólica), o governo acredita que muitas empresas terão interesse na instalação de data centers na região nordeste, no médio prazo. Há inclusive a possibilidade de criação de uma zona de benefícios fiscais no nordeste, por conta da proximidade dos cabos submarinos e da possibilidade de melhoria de qualidade da energia. Isso abriria a possibilidade do Brasil passar a desempenhar um papel de relevância no mundo no fornecimento de serviços de computação em nuvem.

Como funciona o REPNBL
O Regime Especial foi criado pela Lei 12.715, sancionada pela presidenta Dilma Rousseff em setembro de 2012 e faz parte do Programa Brasil Maior e vai valer para aquisição de bens e serviços até 31/12/2016. Somente poderão apresentar projetos a sociedade empresária prestadora de serviço de telecomunicações de interesse coletivo, com outorga da Anatel.

Os projetos deverão ser apresentados ao ministério até 30/06/2013 e fruirão benefícios fiscais até 31/12/2016. Para investimentos em redes de acesso móvel 3G, o benefício é antecipado para 30/04/2015. Os projetos também deverão cumprir percentuais mínimos de aquisição de equipamentos e componentes de rede com PPB e Tecnologia Nacional.

A desoneração fiscal prevista pelo governo até 2016 chega a cerca de R$ 3,8 bilhões. Segundo o ministro Paulo Bernardo, o governo espera a adesão maciça das empresas do setor para os projetos de expansão de telecomunicações. Ele avalia que elas retardaram seus investimentos na expectativa da decisão anunciada hoje, que foi postergada depois que o Tribunal de Contas da União publicou acórdão fazendo considerações sobre a perda de receita com as desonerações.

Isso inclui inclusive investimentos na novas redes 4G. A expectativa do secretário de Telecomunicações do Ministério das Comunicações, Maximiliano Martinhão, é de que em 2016 as empresas de telecomunicações já estejam preparadas para operar com a tecnologia 4G.

Na opinião do ministro, o empresários, agora, deverão antecipar seus investimentos além do que fazem normalmente, acelerando a construção de infraestrutura de telecomunicações por fibra ótica, redes de rádio, serviços de provimento de internet por satélite, e TV por assinatura – que vem associada à internet. Tudo isso deverá acirrar a concorrência, provocando melhora de preços para o consumidor.

Segurança digital deve movimentar US$ 67 bilhões em 2013

As maiores influências sobre os gastos estão agora na crescente complexidade dos ataques, que aumenta o volume de dados necessários para a detecção, diz o Gartner

O mercado global de segurança e serviços deve crescer para 67,2 bilhões de dólares em 2013, com crescimento ainda maior em 2016 – quando pode chegar a 86 bilhões de dólares, de acordo com analistas da Gartner.

Ano a ano, 2013 verá um crescimento de 8,7% em comparação com 2012, que teve vendas de 61,8 bilhões de dólares.

As maiores influências sobre os gastos estão agora na crescente complexidade dos ataques, que aumenta o volume de dados necessários para a detecção, disseram os pesquisadores. Isso requer melhores equipamentos e serviços de apoio.

Os invasores também estão se tornando não só mais difíceis de detectar com camadas únicas de defesa (como firewalls), mas também mais difíceis de se livrar por completo, uma vez que contornam as defesas graças a métodos criados para roubar as credenciais.

“Mitigar a ameaça de ATAs [ataques direcionados avançados] exige uma estratégia de defesa em profundidade em diversos controles de segurança”, disse o diretor de pesquisa da Gartner, Lawrence Pingree.

“As organizações devem empregar um modelo de abordagem de defesa em profundidade, em camadas. As organizações devem continuar a definir a segurança maior, alcançando muito além da segurança existente e das exigências de conformidade, a fim de prevenir ou detectar esses ataques recém-emergentes e estratégias de penetração persistentes “, argumentou.

As tendências como BYOD também mudam a ênfase de dispositivos para aplicações de segurança, dando a prestadores de serviços de segurança a oportunidade de “capturar” alguns dos orçamentos destinados à segurança de endpoint tradicional.

Tudo isso implica em mudanças no pessoal e nas habilidades necessárias presentes na demanda de profissionais de segurança, com o surgimento de analistas de dados – cientistas da informação, se você preferir – aparecendo em mais organizações.

“Para suportar a crescente necessidade de analistas de segurança, mudanças na equipe de segurança da informação, tecnologias, métodos e processos de integração serão necessárias – incluindo o armazenamento de dados de segurança e capacidades de análise, e um papel emergente para os analistas de segurança de dados dentro das grandes organizações empresariais”, disse o diretor de pesquisa da Gartner, Eric Ahlm.

Três formas de melhorar a comunicação com profissionais da geração Y

Para consultora especializada em capacitação de líderes, jovens entre 18 e 30 anos endereçam novos desafios que só podem ser solucionados por uma estratégia baseada em interação constante

Atualmente, muitos líderes convivem com o mesmo problema: a falta de preparação para gerenciar os jovens profissionais que entram no mercado de trabalho. Na área de TI, isso reflete em uma dificuldade de muitos CIOs conseguirem obter o máximo de resultados das suas equipes.

Para a co-fundadora da consultoria Core Ideas Communications – empresa norte-americana especializada em preparar líderes – Loraine Antrim, a única forma possível de transpor essa barreira de comunicação é por meio de uma estratégia de comunicação adequada aos jovens que fazem parte da Geração Y (conceito para definir as pessoas que nasceram a partir da década de 80). Como? A partir do uso de recursos interativos.

Loraine pontua três questões que precisam ser repensadas pelos líderes de TI que quiserem ter sucesso na gestão de equipes compostas por profissionais da Geração Y:

1. Consiga envolvê-los – “A melhor tática não é criar uma comunicação ‘para’ e, sim, ‘com’ os funcionários da Geração Y. Já que esse perfil de profissional adora compartilhar e colaborar”, afirma a co-fundadora da Core Ideas.

Para aproveitar essa mentalidade colaborativa, os líderes precisam criar ferramentas voltadas a compartilhar ideias – como wikis (conjunto de documentos e informações online que podem ser acessados e modificados por diversos usuários) e portais colaborativos.

Melhor do que implementar soluções prontas é o gestor desafiar sua equipe a desenvolver suas próprias plataformas de comunicação colaborativa, aconselha a especialista. “Esta geração [Y] é movida a inovação e criatividade”, destaca Loraine.

2. Elogie sempre – Qualquer pessoa gosta de reconhecimento e no caso da Geração Y isso não é diferente. O gestor da área de TI, por consequência, precisa encontrar um tempo na agenda para dar um retorno sobre a qualidade do trabalho desses profissionais e, principalmente, para elogiar os bons resultados. “E por que não fazer isso de forma digital?”, pergunta a especialista, que aconselha o líder a acoplar uma câmera ao laptop – caso ele ainda não tenha uma – e enviar mensagens de vídeo às equipes.

Outra possibilidade, diz Loraine, é enviar mensagens de reconhecimento por meio de MP3. “Crie ainda uma página na internet voltada a destacar os esforços das equipes ou as iniciativas de TI”, cita a especialista, afirmando que, com isso, todos podem enxergar os comentários.

3. Use tecnologias colaborativas – Esta é uma geração nascida na era digital e quanto mais os profissionais sentirem que o CIO está envolvido com recursos de mídia social e Web 2.0 mais à vontade eles tendem a ficar para conversar com ele.

Além de manter um blog, o líder da área de TI deve participar do Twitter (rede social na qual os usuários colocam frases com até 140 caracteres). Além de demonstrar essa facilidade de lidar com novas ferramentas de comunicação, isso vai permitir que o CIO veja o que os profissionais da sua equipe têm falado nas redes sociais e entendam melhor como eles pensam.