Blog do Márcio d'Ávila

Tweet

A oferta e variedade no mercado de banda larga do Brasil tem crescido muito. Com isso, aumenta a concorrência, as promoções e ofertas de provedores.

Mas tenha muito cuidado com estas promoções. Os famosos micro preços anunciados “Banda larga por apenas R$ X*” têm sempre o famigerado asterisco no final, que aponta para as reais condições em letras miúdas.

Via de regra, as letras miúdas indicam que aquele preço é promocional apenas nos primeiros 3 — ou no máximo 6 — meses.

Por isso, recomendo fortemente que o usuário avalie o custo real considerando um prazo acumulado de no mínimo 36 meses (três anos).

Veja o que uma pequena comparação de provedores banda Oi Velox (ADSL) em Minas Gerais me revelou (sem o custo do meio de conexão, apenas o provedor de acesso):

Valores encontrados nos URLs apontados na tabela acima, na data de hoje, para acesso Oi Velox residencial em Belo Horizonte, MG.

Análise: Antes de mais nada, não se deixe enganar pelo preço promocional dos primeiros meses. Em seguida, note que dadas as condições promocionais vigentes, até o final do segundo ano (24 meses), algumas promoções podem tornar transitoriamente o preço de alguns provedores mais vantajoso, mas no terceiro ano em diante é que a situação de longo prazo dos custos se define.

Conclusão: A menos que você pretenda usar um provedor por menos de dois anos, ou ficar todo ano horas no telefone renegociando com o provedor (com direito à tradicional ameaça do “quero cancelar!”), avalie os custos acumulados no horizonte de 36 meses ou mais. Acrescente à avaliação de custos outros benefícios oferecidos que podem ser realmente úteis a você, como conteúdo exclusivo, descontos em outros produtos e serviços etc. Estes benefícios adicionais eu não abordei aqui, pois são muito variados e sua relevância é subjetiva, depende de perfil, necessidades e interesses de cada um.

Este artigo não tem a pretensão de ser um comparativo de preços nem avaliação criteriosa. Apenas tomo uma pequena amostra para embasar o seguinte conselho: Não deixe de pesquisar suas opções!

Tweet

Tweet

Revisei meu artigo introdutório PMBOK e Gerenciamento de Projetos, que não sofria alteração desde a primeira revisão em 6 de maio de 2007.

Atualizei um diagrama, incluí a citação de outro (com o devido crédito ao seu autor Mauro Sotille) e fiz constar a nova Quarta Edição do Guia PMBOK. Detalhes a seguir.

Diagrama das Áreas de Conhecimento — A qualidade no centro

Quando concebi o diagrama que ilustra e interrelaciona as nove áreas de conhecimento abordadas pelo PMBOK, coloquei o Escopo no centro de um triângulo ladeado por Tempo, Custos e Qualidade. Minha crença até então era que o Escopo, ou seja, o que deve ser feito no projeto, era o elemento central que realmente interessava.

Hoje, transcorridos alguns anos e várias experiências em gerenciamento de projetos, vejo que o essencial é que todo projeto existe com um objetivo. Escopo é o que deve ser feito no projeto para atingir esse objetivo, mas não necessariamente se confunde com o objetivo em si.

Dependendo de restrições e condicionantes em fatores como disponibilidade de Prazo/Tempo, Orçamento/Custo, de Recursos Humanos e capacidade ou viabilidade de Aquisições, o Escopo pode ser afetado e negociado para se equilibrar com estes demais fatores, diminuindo ou mesmo aumentando, desde que o objetivo do projeto possa ser satisfatoriamente alcançado.

E aí ocorre a palavra chave: satisfatoriamente. A condição de satisfação do objetivo está essencialmente ligada à Qualidade.

A essência da qualidade pode ser entendida como o cumprimento satisfatório das necessidades e expectativas do patrocinador e demais partes interessadas, levando em consideração principalmente o balanceamento da chamada “restrição tripla” de escopo, tempo e custo do projeto.

Portanto, é a Qualidade que agora ocupa o centro da figura, pois ela em geral é decorrência do dimensionamento do triângulo Escopo – Tempo – Custos que a envolve, bem como dos insumos de RH e Aquisições, mantendo viáveis os níveis de risco e comunicações. Ou então há a situação recíproca: os requisitos de Qualidade necessários para a satisfação do objetivo do projeto determinam o dimensionamento dos outros fatores.

Os defensores da Qualidade Total e ISO 9000 também verão mais harmonia com “a qualidade no centro de tudo”.

Portanto, uma pequena mudança na figura, mas uma razoável evolução na compreensão e interpretação por trás dela.

Para saber mais:

• Como custo, tempo e escopo podem te ajudar (ou não)?, por Washington Souza, 2010-05-10, no Blog CMMI & MPS.BR.

Quarta Edição do Guia PMBOK

Em 31 de dezembro de 2008, o PMI lançou versões atualizadas de quatro de seus padrões globais, incluisive A Guide to the Project Management Body of Knowledge – PMBOK ® Guide — Fourth Edition. A versão em português brasileiro do Guia PMBOK 4ª Edição (Um Guia do Conhecimento em Gerenciamento de Projetos) foi publicada em outubro 2009 (o PDF já fora disponibilizado aos membros do PMI em junho).

Aproveito para resumir a seguir as principais diferenças da Terceira para a Quarta edições do PMBOK:

1. Todos os nomes de processos agora estão no formato verbo-substantivo. Antes alguns nomes de processo seguiam este formato, como “Realizar o controle da qualidade”, enquanto outros usavam o substantivo da ação e foram padronizados, por exemplo: Planejamento da qualidade se tornou Planejar a qualidade, e assim por diante: “Controle” por “Controlar”, “Definição” por “Definir”, “Estimativa” por “Estimar” etc.
2. O número de processos foi reduzido de 44 para 42. Dois processos foram excluídos, dois foram adicionados e seis foram reconfigurados em quatro processos na área de conhecimento em Gerenciamento das Aquisições do Projeto. A saber:
   • Eliminado 4.2 – Desenvolver a declaração do escopo preliminar do projeto, já que o termo de abertura do projeto contém vários dos objetivos preliminares e já que esses objetivos são elaborados na declaração de escopo.
   • O 4.7 – Encerrar o projeto foi renumerado e alterado para 4.6 – Encerrar o projeto ou fase.
   • 5.1 – Planejamento do escopo foi substituído por 5.1 – Coletar os requisitos.
   • 9.4 – Gerenciar a equipe do projeto mudou de um processo do grupo de Controle para o grupo de Execução.
   • Adicionado 10.1 – Identificar as partes interessadas.
   • 10.4 – Gerenciar as partes interessadas foi alterado para Gerenciar as expectativas das partes interessadas e passou do grupo de Controle para o de Execução.
   • 12.1 – Planejar compras e aquisições e 12.2 – Planejar contratações foram unificados como 12.1 – Planejar as aquisições.
   • 12.3 – Solicitar respostas de fornecedores e 12.4 – Selecionar fornecedores foram unificados como 12.2 – Realizar as aquisições.
3. A fim de proporcionar maior clareza, uma distinção foi feita entre o plano de gerenciamento do projeto e os documentos do projeto usados para gerenciá-lo.
4. Foi empregada uma abordagem padrão à discussão de fatores ambientais da empresa e de ativos de processos organizacionais.
5. Foi empregada uma abordagem padrão à discussão de mudanças, ações preventivas e corretivas e reparos de defeitos.

Para saber mais:

• Novidades no PMBOK 4ª Edição – 2008, por Marcio Eduardo Corrêa Sampaio, 10 de março de 2008, no portal Administradores.com.br.
• As principais novidades encontradas no PMBOK quarta edição, por Rossano Tavares, 23 de abril de 2009, Revista Mundo PM.
• PMBOK® – 4a Edição – O que há de novo, por Wilson Freitas, 15 de janeiro de 2009, em seu blog.
• Pmbok 4 Edição – Resumo das Mudanças, apresentação por Felipe Muller, maio de 2009, disponível em SlideShare.
• PMBOK, 4th edition e project management glossary (ambos em inglês), por Tom, 11 de janeiro de 2009, no portal Project Management Knowledge.

Diagrama dos processos de gerenciamento de projeto

O artigo abordava resumidamente as nove áreas de conhecimento do PMBOK e os cinco grupos de processos do gerenciamento de projetos. Faltava porém fazer um breve visão geral dos processos em si, correlacionando-os com os grupos em que são organizados e com as respectivas áreas de conhecimento relativa a cada um.

Um diagrama do professor Mauro Afonso Sotille, da PM Tech Capacitação em Gerenciamento de Projetos, cumpre essa lacuna de forma simples, clara e brilhante. Assim, incluí a reprodução e referência de uma versão deste diagrama, já atualizada para a 4ª Edição do PMBOK. Muito obrigado e parabéns, caro Mauro!

Direitos autoriais e de uso

Contudo, termino este post com uma triste e indignada constatação de que os brasileiros na internet ainda não compreendem a seriedade e importância de respeito aos direitos autorais.

Há mais de 15 anos eu mantenho um web site onde escrevo e publico considerável volume de conteúdo, compartilhando conhecimento e informação com toda a internet.

Todo o material que crio em meu site e em meu blog está publicamente disponível, contudo, tanto no blog quando no rodapé de todos os artigos do site há uma simples e clara indicação dos direitos autorais e condições de uso:

© Márcio d’Ávila, mhavila.com.br, direitos reservados. O texto e código-fonte apresentados podem ser referenciados, distribuídos e utilizados, desde que expressamente citada esta fonte e o crédito do(s) autor(es).

A licença formal que escolhi para reger os direitos reservados é a simples e liberal Creative Commons BY-SA versão 2.5, cujos termos não são nada burocráticos, jurídicos ou incompreensíveis. Pelo contrário, são muito simples e claros em bom português:

Você tem a liberdade de:

• Compartilhar — copiar, distribuir e transmitir a obra.
• Remixar — criar obras derivadas.

Sob as seguintes condições:

• Atribuição — Você deve creditar a obra da forma especificada pelo autor ou licenciante (mas não de maneira que sugira que estes concedem qualquer aval a você ou ao seu uso da obra).
• Compartilhamento pela mesma licença — Se você alterar, transformar ou criar em cima desta obra, você poderá distribuir a obra resultante apenas sob a mesma licença, ou sob uma licença similar à presente.

E não é que ainda assim encontro na Internet reproduções de meus textos feitos com um descarado copiar-e-colar sem as duas coisas tão simples que peço: citar minha autoria e a referência à página original? Francamente!…

Só sobre este artigo, eis dois maus exemplos:

• PMBOK e Gerenciamento de Projetos, postado por Renato Rigo em 2008-08-16 no blog Papo de Obra – muito além da obra.
• Gerências ou Áreas de Conhecimento, postado por “Cão” em 2009-07-10 no blog Certifica PMI.

Tweet

Tweet

A fórmula é a mesma de sempre.

Combine elementos instigantes de história, ciência, religião e misticismo para formar um grande segredo secular. Um crime envolve inesperadamente um acadêmico simbologista em uma trilha de mistérios que vão sendo desvendados em clima de aventura e suspense policial, tendo como cenário cidades famosas do Mundo, até um epílogo surpreendente.

A verossimilhança dos fatos e locais, muitos deles reais, descritos em riqueza de detalhes — às vezes com alguma sacação ou exagero — fazem a ficção parecer um documentário de aventura. A narrativa eletrizante, em capítulos que costumam intercalar cenas simultâneas e em geral terminam bem na hora de algum clímax, ajudam a prender ainda mais a atenção do leitor.

A descrição que acabei de fazer pode se aplicar perfeitamente a qualquer dos três romances do escritor americano Dan Brown (site oficial em inglês) que tem como personagem principal o professor Robert Langdon, simbologista da universidade de Harvard.

Seja pelo entretenimento travestido de cultura, seja modismo ou simplesmente um bom passatempo, os livros de Brown são best seller na certa, e quando transpostos para o cinema, se tornam block busters. Em bom português, sucesso garantido! E pelo menos na minha opinião, diversão garantida também.

Foi assim com Anjos e Demônios, com O Código da Vinci, e agora, com o recém lançado O Símbolo Perdido.

Um termômetro da popularidade dos romances de Brown é a quantidade de livros lançados sobre o tema — criticando, desmentindo, explicando, comentando, ou simplesmente pegando carona no sucesso. Para O Código da Vinci, surgiram “Quebrando o Código da Vinci”, “Decifrando o Código da Vinci”, “A Verdade e a Ficção em O Código da Vinci”, “Revelando o Código da Vinci”, “Rough Guide do Código da Vinci” e por aí vai.

O mesmo está ocorrendo com O Símbolo Perdido: “Os Segredos de O Símbolo Perdido”, “Filosofia de o Símbolo Perdido”, “A Verdade por Trás do Símbolo Perdido”, “Decifrando o Símbolo Perdido”… Tem até um romance chamado O Símbolo Secreto, de um tal de Patrick Ericson, que além da capa super parecida e, aparentemente, abordar o mesmo tema do livro quase homônimo, ainda tem o descaramento de estampar na capa a frase “Tão eletrizante quanto o melhor livro de Dan Brown”.

Espero que o roteiro de O Símbolo Perdido também vá parar em Hollywood e Tom Hanks aceite mais uma vez o papel do professor Robert Langdon!

Tweet

Tweet

Desde 1996, fui cliente fiel da Bookpool.com, a livraria virtual americana inaugurada em 1994, que vendia livros técnicos de informática muito baratos — raríssimamente Amazon ou Borders batiam algum preço. Não obstante, Bookpool sempre teve a mais eficiente, infalível e rápida entrega internacional que já vi, através da DHL, tal que os livros chegavam dos Estados Unidos à porta de minha casa religiosamente em apenas três dias úteis!

Enquanto até hoje alguns sites de compra ainda pecam em quesitos básicos, a compra através do site da Bookpool há mais de 10 anos já era intuitiva, precisa e segura — design limpo e organizado, informações e passos claros e objetivos, sempre apresentando detalhes e confirmações, uso de HTTPS, envio de e-mails de notificação, rastreamento de entrega internacional, histórico de pedidos, lista de compras futuras.

O controle de estoque de cada livro era preciso, com a disponibilidade já exibida mesmo antes da compra. Quando uma compra era fechada contendo pelo menos um livro fora de estoque, o pedido ficava em espera. Durante essa espera, podia-se editar o pedido já concluído, adicionando ou excluindo livros.

Longa história

A Bookpool praticava descontos sobre o preço de capa (aquele sugerido pela editora, que nas editoras dos EUA costuma ser impresso na capa junto ao ISBN do livro) em geral entre 30 e 40%. Mas todo mês havia uma (às vezes mais) editora da qual os livros estavam em oferta especial, com descontos que já vi chegar a 51%.

A O’Reilly é a editora americana especializada em tecnologia da qual mais comprei livros, através da Bookpool.com. Os livros da O’Reilly costumam ter um animal como tema da capa, o que os geeks apelidam carinhosamente de “coleção parmalat” (lembra daquela promoção de bichinhos de pelúcia que fez muito sucesso no Brasil?).

O frete inicial para entrega no Brasil era de aproximadamente 30 dólares, caro para comprar apenas um livro. Mas o frete a cada livro adicionado ao pedido era pequeno (dependia do peso), de forma que com um pedido em torno de 8 a 10 livros o frete médio rateado já costumava ficar perto de 7 dólares por livro.

Assim, bastava reunir um grupo de fiéis amigos nerds, ver quem queria quais livros e fazer um pedido “conjunto” para, em poucos dias, estarmos todos nos deliciando com algum livro técnico recém lançado nos Estados Unidos, a um custo em geral mais barato que livros no Brasil, sem esperar lançar tradução nem muito menos sofrer com traduções horrorosas e falhas. O sonho de qualquer nerd, hehe.

A Bookpool recomendava, para pedidos ao Brasil, que não fosse ultrapassado o valor total 500 dólares em um único pedido (incluindo frete), para evitar problema com a alfândega brasileira. Na época áurea em que o dólar estava pareado com o real, a turma de nerds era grande e as novidades de livros tech eram muitas, chegamos a pesquisar no site da Receita Federal e descobrir que a isenção de impostos na importação de livros era até o limite de 3000 dólares por remessa, e fizemos um pedido que ultrapassou mil dólares! O difícil era a logística de distribuir os livros e de cobrar de todos da turma.

O fim

Fazia mais de um ano que eu não comprava na Bookpool.com. E o último email de ofertas que eu havia recebido deles fora em janeiro de 2009. Eis que hoje fui acessar o site e… tive uma infeliz surpresa: A loja virtual Bookpool.com se foi!

Pesquisando na internet, descobri neste post de Marc Hughes que o site foi subitamente desativado em 23 de março de 2009. Pelo cache do Google vi que o dono da Bookpool Chris Perleberg pos o domínio bookpool.com à venda em novembro e acabou por leiloá-lo entre os dias 08, 09 e 10 de dezembro passado.

Não encontrei explicação para o súbito encerramento do site. Pelo sucesso que tinha entre os aficcionados de informática no mundo afora, talvez até um dos gigantes como Amazon ou Barnes&Noble se interessaria em comprar o negócio da Bookpool. Os donos devem ter lá suas razões, paciência.

Então, como mais um dos inúmeros fãs — muito além de simples clientes — órfãos que a Bookpool deixou mundo afora, expresso aqui meu sincero obrigado pelo tempo em que operou com eficiência e seriedade, e meu saudoso adeus, Bookpool.com!

Tweet

Tweet

Um pouco de história

Creio que nada foi tão importante para a cultura, o avanço do conhecimento humano e a preservação da história da humanidade quanto a evolução da escrita. Das pedras da pré-história, ao papiro (Egito, terceiro milênio A.C.) e ao pergaminho, e daí chegando ao papel (China, século II).

Veio então a mecanização com a imprensa de Gutenberg (século XV) como veículo de massa, seguida da máquina de escrever (século XVIII) que tornou essa mecanização pessoal. No final dos anos 1940 a fotocópia (xerografia) popularizou a cópia fiel de documentos e o fax (facsimile) introduziu até a transferência remota de documentos através da rede telefônica.

E finalmente chegou a era dos computadores no século XX. No início, acreditava-se que o consumo de papel diminuiria bastante, pois ele teria ficado obsoleto. No entanto, na prática tem ocorrido o inverso: a cada ano, o consumo de papel tem sido maior. A máquina de escrever foi substituída pela dupla computador e impressora, e isso só aumentou a escala de uso do papel.

Junto com a era digital evoluiu toda a multimídia, inclusive áudio e vídeo. As fotos e imagens já se popularizaram fortemente no meio digital, e o filme de fotografia já está obsoleto. Mas o livro eletrônico e o papel digital ainda não são realidade para as massas.

A cultura do papel

Em tempos de sustentabilidade ecológica e social e da tecnologia como instrumento de aceleração do progresso, há forte motivação para redução do papel: A preservação das árvores (fonte da matéria prima celulose); a desburocratização e o imenso acúmulo de papel em instituições privadas e governamentais; a velocidade e a praticidade do meio digital como forma de armazenamento, recuperação e transmissão de informação.

No Brasil, já temos imposto de renda eletrônico via internet, o voto eletrônico, a nota fiscal eletrônica, o processo judicial eletrônico, o e-CPF e o e-CNPJ. Convenhamos, as iniciativas rumo à sociedade digital são muitas.

Mas cultura e os hábitos do papel, ampla e profundamente entranhados na humanidade há milhares de anos, não mudam fácil.

O correio eletrônico é a carta digital, mas ainda hoje muita gente imprime uma mensagem de e-mail ou outro texto digital apenas para ler, pois “é mais cômodo ler no papel do que na tela do computador”.

A tecnologia da assinatura digital, que permite dar validade oficial, legal e/ou jurídica a documentos eletrônicos já existe e está bem estabelecida desde o final da década de 70, mas ainda é tão desconhecida quanto cabeça de bacalhau para a grande maioria das pessoas. E mesmo a maioria dos que conhecem e usam ainda desconfiam.

Caminho tortuoso

Nas ferramentas digitais, há o scanner para digitalização. Em tese, o scanner é uma forma fácil de tornar digital qualquer legado existente em papel. Na prática, estabelecer um processo de trabalho e uma cultura adequados à lida com documentos digitais tem muito mais peso. O scanner pode se tornar um elemento a mais no emaranhado de ferramentas e recursos que, não raro, acabam por confundir as pessoas e/ou complicar o cenário de lidar com informação e documentos digitais.

Hoje, a maior parte dos documentos é confeccionado digitalmente em um editor de texto, no computador. Mas pode seguir caminhos estranhamente tortuosos a partir daí, como ser impresso, assinado no papel, transmitido por fax (e impresso de novo no destino), fotocopiado e, até, eventualmente, digitalizado para voltar ao computador, quem sabe daí ser transmitido por e-mail como uma imagem ou um arquivo PDF. Chega-se até ao luxo de recorrer ao OCR, a tecnologia de reconhecimento ótico de caracteres em documentos digitalizados como imagem, para converter em… texto como nasceu na origem, naquele editor de texto onde foi confeccionado, lembra?

Pesquisa recente da AIIM, associação internacional independente que promove o gerenciamento de documentos e de conteúdo, perto de 51% dos documentos em papel escaneados pelas organizações nascem digitais, tendo sido impressos diretamente de uma aplicação em computador. O estudo também apontou que 25% dos documentos digitalizados foram fotocopiados antes de ser enviados ao scanner, e que só 31% do total foram destruídos após digitalizados.

Além de comprovar que a situação tortuosa que descrevi, apesar de parecer ridícula, está bem perto do real, a pesquisa retrata objetivamente a relutância e dificuldade das organizações em lidar com o documento digital e em perder de vista (fisicamente falando) os seus documentos importantes.

Há ainda questões controversas sobre o documento digitalizado — a partir de original em papel — não ser legalmente presumido autêntico, tal que o papel possa ser eliminado. A Lei Federal nº 11.419/2006, que instituiu o processo judicial eletrônico no Brasil, teve que definir condições específicas em que os documentos produzidos eletronicamente serão considerados originais para todos os efeitos legais (Art. 11 e seus parágrafos), prevendo inclusive a destruição de citação, intimação ou notificação praticada em papel e digitalizada (Art. 9º § 2º).

Preservação e futuro

E como preservar o documento digital? O papel (e seus antecessores) tem permitido preservar o conhecimento e a história da humanidade por milhares de anos. Mas em um mundo da tecnologia em constante ebulição, ainda é um desafio para especialistas, governos e organizações garantir padrões, condições e recursos para a preservação e efetividade do conteúdo digital por centenas e milhares de anos.

Nesse cenário, meu sonho de consumo, como adepto fervoroso da tecnologia, é ver toda essa tecnologia, cultura e hábitos do conteúdo digital estabilizada, disseminada e aceita na cabeça e no dia-a-dia de todos, de forma simples, efetiva, duradoura e natural.

Tweet

Tweet

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai – na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

Segurança

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

• Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 – Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
• Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
• Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
• Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
• Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.

Tweet

Tweet

Hoje assisti uma palestra da Rita Mulcahy no 4º Congresso Brasileiro de Gerenciamento de Projetos, que está ocorrendo em Belo Horizonte, MG, promovido pelos Capítulos Brasileiros do PMI, sob a coordenação do Capítulo Minas Gerais (PMI-MG) e do PMI – Project Management Institute.

Rita é autora do mais conceituado treinamento e material didático preparatório para a certificação PMP (no Brasil, sua empresa RMC tem a Project Lab como representante).

Mas a palestra, super divertida e inusitada, não foi nada sobre certificação ou os assuntos usuais das disciplinas do gerenciamento de projetos.

Fazendo um gancho com sua nova marca de material Tricks of the Trade, Rita falou sobre como o gerente de projetos deve lidar com problemas.

Algumas coisas que ela falou vem de encontro a algo que eu gostaria de abordar há algum tempo aqui no blog.

Rita Mulcahy ressaltou que gasta-se muito tempo e energia para lamentar um problema. Também fez a sua definição sobre o que ela entende ser problema. Em uma tradução livre, é mais ou menos isso: “Problema é a diferença negativa entre o que se deseja/espera o que se (ob)tem.” Rita afirma que o mais importante não é o problema em si, mas como você o percebe e aborda.

Mais do que lidar com problemas, eu vou além. Uma capacidade valiosa do profissional de hoje é ter o foco na solução.

Como disse a Rita, lamentar problemas consome muito tempo e energia preciosos. E de forma infrutífera. E acrescento, com pesar: Em qualquer situação na vida pessoal ou no trabalho, em geral é fácil encontrar pessoas que apontam, criticam e amarguram problemas à exaustão. Algumas chegam a ter o senso aguçado de antever e detalhar as mais remotas consequências prováveis de um problema, falha, risco, receio ou até mera especulação.

O que estas pessoas não percebem é que focar com tanta intensidade as energias no problema — talvez momentaneamente tentando servir como desabafo? — não ajuda em nada a resolvê-lo. O foco no problema é uma atitude profundamente negativa. Só aumenta o estresse.

Realmente útil é a qualidade magistral de ter o foco na solução. Para mim, focar na solução é, tão logo se identifique um problema — e preferencialmente também sua(s) causa(s) — imediatamente concentrar toda a energia, tempo e intelecto em buscar uma solução para esse problema! É ser positivo, de forma prática e pragmática.

Parece simples, mas minha experiência pessoal mostra que infelizmente ainda são raras as pessoas que “treinam e calibram” sua mente para manter o foco em soluções.

Seja em uma reunião de trabalho ou familiar, e até em volta de uma mesa de bar, a maioria das pessoas tende a uma postura crítica e negativa ao discutir qualquer assunto, com foco no problema. E custa haver um iluminado que seja para engrenar qualquer ideia ou sugestão rumo à solução.

Rita Mulcahy também dá dicas que ajudam a orientar o foco na solução: Liste os problemas, para trazer clareza e objetividade ao cérebro. Liste também as coisas que estão indo bem, para retomar serenidade e ânimo. E trate de começar a buscar soluções!

Tweet

Tweet

O artigo que recomendo é de 11 de setembro, mas a tragédia que ele descreve não é a das torres gêmeas.

Fala da crise na relação entre empresas e seus fornecedores de serviços de desenvolvimento e manutenção de sistemas, que nunca foi muito harmonioso, mas parece estar chegando ao fundo do poço.

Leia o artigo No Fundo do Poço, por Paulo F. Vasconcellos (*), em seu blog Finito. Estou certo que, se você é profissional de TI/software — contratante ou fornecedor — o relato ilustrativo da crônica vai soar no mínimo plausível, quiçá familiar.

Acrescento a seguir minha reflexão sobre o tema.

Terceirização de TI é um caminho de fluxo intenso nas empresas. Já foi do desenvolvimento de software ao SaaS, da consultoria em infraestrutura ao cloud computing.

As motivações mais comuns são economia — de dinheiro, tempo, ou pessoal. Já as mais nobres incluem busca por flexibilidade, eficiência e até agregar valor ao negócio. Mas os resultados concretos muitas vezes são recheados de casos de problemas, frustrações e insucessos.

Para as empresas contratantes, creio que o mais importante é perceber que terceirização não é uma válvula de escape nem eliminação de um trabalho, mas sim a troca de um modelo de trabalho — baseado em produção interna — por outro — baseado em contratação.

Se por um lado libera a empresa da execução interna de uma série de atividades que passam a ser realizados por terceiros, por outro lado cria ou intensifica outras.

A terceirização exige que a empresa invista internamente na inteligência e análise de negócios, no estreitamento das relações da TI com as áreas demandantes e suas reais necessidades — o que costuma ser sintetizado pela expressão “alinhamento estratégico” — e na gestão de projetos e contratações.

O ambiente empresarial propício da contratante ainda suscita boa padronização e maturidade dos seus processos de trabalho (pelo menos das áreas que demandam a TI). E ao lidar com fornecedor, por mais “parceiro” que este seja, deve-se sempre seguir o princípio “confiar mas vigiar”.

Se na terceirização de TI, especialmente em software, não houver a devida preocupação e investimento da empresa contratante nestes aspectos que citei, essa troca corre o sério risco de não ser vantajosa, não colher a economia, a melhoria ou o produto esperados.

(*) Paulo F. Vasconcellos é consultor e palestrante com mais de 20 anos de experiência em projetos de tecnologia da informação, pioneiro na Formação de Analistas de Negócios (FAN).

Tweet

Tweet

Um tema que sempre me interessa é o da inclusão e acessibilidade às pessoas com deficiência.

Um marco global rumo a inclusão das pessoas com deficiência foi a Declaração dos Direitos das Pessoas com Deficiência, publicada pela Assembleia Geral da Organização das Nações Unidas (ONU) em 9 de dezembro de 1975. “Em respeito à dignidade humana, estas pessoas têm os mesmos direitos fundamentais, civis e políticos que o resto de seus concidadãos e os demais seres humanos”.

A “Convenção Interamericana para a Eliminação de Todas as Formas de Discriminação contra as Pessoas Portadoras de Deficiência” — aprovada pelo Congresso Nacional do Brasil no Decreto Legislativo nº 198, de 13 de junho de 2001, e promulgada pelo Decreto Federal nº 3.956, de 8 de outubro de 2001 — define assim Deficiência:

O termo “deficiência” significa uma restrição física, mental ou sensorial, de natureza permanente ou transitória, que limita a capacidade de exercer uma ou mais atividades essenciais da vida diária, causada ou agravada pelo ambiente econômico e social.

A Convenção sobre os Direitos das Pessoas com Deficiência da ONU, editada em 6 de dezembro de 2006 e assinada pelo Brasil em 30 de março de 2007, considerou o termo pessoa com deficiência mais adequado para denominar as pessoas que possuem deficiência. Outros termos e expressões foram abolidos e considerados inadequados. São termos que podem segregar mais que incluir, ou mesmo serem ofensivos ou pejorativos.

• O substantivo “deficiente” generaliza ou caracteriza a deficiência como o todo de uma pessoa, ou seja, passa a impressão de que a pessoa inteira é deficiente, quando na verdade a deficiência é apenas uma parte ou característica (adjetivo) dessa pessoa.
• “Portador de deficiência” também soa inadequado, porque “portador” pode dar a impressão de hospedeiro ou transmissor como em uma doença, e deficiência não é doença. Mesmo considerando o significado literal de portador, a pessoa com deficiência não porta, transporta ou transmite deficiência, ela a possui.
• A mais ridícula é “pessoa com necessidades especiais”, um eufemismo hipócrita criado na onda do “politicamente correto” surgida nos Estados Unidos, que é apenas uma fuga para não se dizer que uma pessoa tem deficiência. Mas deficiência é só uma restrição, não é uma aberração, e não deve assim ser motivo de vergonha ou embaraço nem para quem possui nem para nenhum interlocutor. Além do mais, se a diversidade é característica dos seres humanos, somos todos diferentes. E quem não precisa de determinadas coisas, situações e emoções para se sentir bem, completo, feliz? Somos todos pessoas com necessidades especiais.

Para complementar, recomendo o pequeno e instrutivo texto “Toques aos jornalistas“, da Secretaria dos Direitos da Pessoa com Deficiência, Governo do Estado de São Paulo.

Conceito ainda mais amplo é de Acessibilidade, que significa a promoção do amplo e igualitário acesso às oportunidades, atividades, produtos e serviços, por todas as pessoas. É considerar e respeitar a diversidade humana. Acessibilidade é prover meios visando oferecer igualdade ou equivalência de condições não só às pessoas com deficiência, mas também à pessoa idosa, crianças e adolescentes, enfim a quaisquer seres humanos que necessitem de precauções, adaptações ou cuidados específicos em certas situações.

Acessibilidade é um elemento chave na inclusão social da pessoa com deficiência. E na era do computador e da internet, integra também a inclusão digital. Também existe legislação de amparo no Brasil, em especial a “Lei da Acessibilidade”, Lei Federal nº 10.098, de 19 de dezembro de 2000.

A Secretaria Especial dos Direitos Humanos (SEDH) da Presidência da República do Brasil é o õrgão governamental que trata, entre os vários temas de inclusão, Pessoas com Deficiência e Acessibilidade.

Fazem parte da estrutura da SEDH a Coordenadoria Nacional para Integração da Pessoa Portadora de Deficiência – CORDE e o Conselho Nacional dos Direitos da Pessoa Portadora de Deficiência – CONADE, ligados ao Ministério da Justiça.

Muito mais do que leis, normas, convenções e mobilizações da sociedade civil, a prática da inclusão e acessibilidade às pessoas com deficiência não é trivial.

Ela começa por uma evolução de mentalidade e de atitudes. Quem não tem deficiência tem que começar pelo difícil exercício de se colocar no lugar da pessoa com deficiência, de perceber e compreender suas restrições, e as consequências e efeitos destas, bem como as dificuldades e limitações envolvidas. Tem que considerar sempre a diversidade humana em seu pensamento e em suas ações, e o fazer de forma sensata e efetiva. Tratar tudo isso como algo natural, como realmente o é. E tem que ter ideias e colocar em prática soluções para eliminar, minimizar ou contornar as deficiências. Isso é o que leva à acessibilidade e à inclusão.

O assunto é muito extenso. Mas a você que está lendo, já me basta por ora se você começar a refletir sobre isso.

E para ajudar, segue um monte de referências que vão ajudá-lo a se aprofundar no assunto, além dos links já citados ao longo do texto:

• Wikipédia: Deficiência (em inglês: Disability “desabilidade”; em espanhol: Discapacidad “descapacidade”). Acessibilidade.
• Decreto Federal nº 6.215, de 26 de setembro de 2007 – estabelece o Compromisso pela Inclusão das Pessoas com Deficiência e institui o Comitê Gestor de Políticas de Inclusão das Pessoas com Deficiência – CGPD.
• United Nations (Nações Unidas), em inglês (ou espanhol): Global Issues – Persons with Disabilities. Convention on the Rights of Persons with Disabilities, Final report of the Ad Hoc Committee on a Comprehensive and Integral International Convention on the Protection and Promotion of the Rights and Dignity of Persons with Disabilities [A/61/611 - PDF, 117KB], 6 de dezembro de 2006.
• Office of the United Nations High Commissioner for Human Rights (OHCHR): Human Rights of persons with disabilities.
• Biblioteca do CORDE – Cartilhas: Convenção sobre os Direitos das Pessoas com Deficiência, Brasília, setembro 2007. A Convenção sobre os Direitos das Pessoas com Deficiência Comentada [PDF], Brasília, CORDE, 2008; também disponibilizada pela APAE Brasil.
• Referências sobre Interação, Usabilidade e Acessibilidade de Software.
• IBDD – Instituto Brasileiro dos Direitos da Pessoa com Deficiência. Inclusão social da pessoa com deficiência: medidas que fazem a diferença [PDF], 1ª edição, Rio de Janeiro, 2008.
• A Bengala Legal – Cegos, Cegueira, Acessibilidade e Inclusão. e Acessibilidade Legal – Acessibilidade na Internet. Por Marco Antonio de Queiroz, conhecido também como MAQ, brasileiro diabético, cego, transplantado renal e do pâncreas, que faz um trabalho fantástico em prol da inclusão digital das pessoas com deficiência.
• Ler para Ver, portal dedicado à deficiência visual, mas não se restringe apenas à utilização por parte de pessoas cegas ou com baixa visão, destina-se a todas as pessoas que se interessam pessoal e profissionalmente por esta temática. Por Daniel Serra e António Silva.
• Rede SACI, facilitadora da comunicação e da difusão de informações sobre deficiência, visando estimular a inclusão social e digital, a melhoria da qualidade de vida e o exercício da cidadania das pessoas com deficiência.
• AMPID – Associação Nacional dos Membros do Ministério Público de Defesa dos Direitos dos Idosos e Pessoas com Deficiência.
• CEDIPOD – Centro de Documentação e Informação do Portador de Deficiência – portal da Cidadania da Pessoa com Deficiência.
• AACD – Associação de Assistência à Criança Deficiente e Comunidade (rede social) da AACD.
• CADEVI – Centro de Apoio ao Deficiente Visual – Fundado em 15 de fevereiro de 1984.
• DHnet – Direitos Humanos na Internet.
• Compadres – Conselho Mundial de Pais e Amigos do Deficiente Visual.
• Portal Deficiente Solidário.
• Deficiente Eficiente.
• Deficiente Online – vagas e empregos para o profissional com deficiência.

Para terminar, um vídeo muito instrutivo e inspirador, que eu adoro, dura pouco mais de 10 minutos mas vale muito a pena. “Acessibilidade Web: Custo ou Benefício?”, por Acesso Digital, Brasil. Fala especificamente sobre acessibilidade na web (internet), mas creio que permite compreender a importância e relevância do tema como um todo:

Tweet

Tweet

[Atualizado em 2011-08-21, com referências do OWASP.]

Depois do incidente de segurança envolvendo o portal da operadora Vivo que abordei ontem, um artigo de hoje da IT Web tem tudo a ver: 5 lições de segurança, por Greg Shipley, Tyler Allison e Tom Wabiszczewicz, da empresa Neohapsis especializada em GRC (GRC em inglês), para InformationWeek EUA, 10/09/2009.

No artigo, os especialistas quebram o silêncio típico do mundo corporativo sobre segurança e trazem uma síntese de sua experiência em observação direta das brechas de segurança do mundo real onde realizaram investigações forenses, para ajudar as empresas a entender como essas brechas acontecem e o que se pode fazer sobre elas.

Eles ressaltam: “Após centenas de casos, podemos afirmar, sem sombra de dúvidas, que os ataques estão mais sofisticados do que nunca. Com agilidade, eles exploram controles de segurança falhos e práticas operacionais negligentes e, munidos com ferramentas comuns para gerenciamento de rede, adaptam malwares. Táticas e tecnologias de segurança da informação também progrediram, mas não no mesmo ritmo.”

O mais admirável é que os recursos para mitigar as brechas de segurança são métodos razoáveis e bem conhecidos. O que é preciso é um esforço para que esses métodos sejam implementados e continuamente praticados de forma mais ampla e efetiva pelas corporações.

Problema – vulnerabilidades e ameaças nas aplicações

O Website de uma empresa geralmente serve como porta de entrada para os ataques. Aplicativos web são a porta preferida dos invasores.

Isso porque equipes de TI em geral investem apenas em segurança do perímetro e do tráfego da rede, incluindo proteções clássicas como firewall, antivírus, antispam, IDS/IPS, SSH, HTTPS e VPN. E mesmo nestes casos, não fazem um monitoramento proativo e contínuo, nem tem um plano de resposta a incidentes consistente e efetivo. Por outro lado, mantém sistemas desatualizados e ignoram aplicativos falhos que podem, facilmente, ser explorados.

Códigos de software com pouca ou nenhuma preocupação com segurança desde sua concepção — o que passa inclusive pela escolha de tecnologias que já englobem conceitos e mecanismos nativos de segurança, robustez e proteção — escancaram brechas de segurança por todos os pontos das aplicações.

Nas aplicações corporativas internas, as maiores preocupações costumam ser com vazamento de informações e com uso e permissões indevidos — até mesmo maliciosos, no caso de colaboradores insatisfeitos ou despreparados, negligentes, imprudentes.

Mas quando as aplicações são externas, especialmente em portais, sítios e serviços web abertos à Internet, o universo de ameaças subitamente se expande para o mundo todo, para qualquer pessoa no planeta com acesso internet, algum tempo disponível e intenções que podem ir da curiosidade inconsequente ao crime.

Aplicações sem segurança tipicamente expõem vulnerabilidades amplamente conhecidas — do conhecimento de qualquer hacker de plantão — e graves como:

• Autenticação vulnerável, com usuários e senhas fracas, pouco ou nenhum controle a tentativas de acesso “força bruta” etc.
• Baixa granularidade de permissões, de forma que um vez acessado com usuário legítimo muitas vezes se permite acessar alguns serviços ou situações que não seriam efetivamente necessárias ou mesmo devidos àquele usuário.
• Ausência de validação, consistência e crítica de dados no lado servidor, quando um usuário está com JavaScript desativado ou defeituoso no lado cliente.
• Ausência de validação de condições limite nos tipos, formatos, valores e tamanhos recebidos em dados ou parâmetros fornecidos pelo usuário, permitindo ataques como Estouro de buffer e de pilha, Corrupção de memória, Negação de serviço (DoS).
• Ausência ou insuficiência de tratamento robusto, inteligente e proativo de exceções na aplicação. Muitas vezes a maior parte das inúmeras situações de erro ou exceção possíveis são esquecidas, descartadas ou subestimadas pelos programadores.
• Ausência de mecanismos de rastreabilidade e auditoria, como gravação de registros de log/históricos de acessos e ações do usuário e do próprio sistema.
• Mecanismos de proteção (integridade e privacidade) de dados com criptografia ausentes, simplórios/precários, ou mal implementados.
• Não evitar Injeção de código, Injeção de SQL, Injeção de HTML e Cross site scripting (XSS) nas entradas de dados e parâmetros fornecidos pelo cliente/usuário.
• Utilizar ou permitir a Inclusão de arquivos locais (ou remotos).

A lista de possibilidades comuns poderia se estender. Mas por aí já se percebe que boa parte das aplicações na web são “queijos suíços” em potencial, em se tratando de abundância de furos de segurança.

Solução – informação e ferramentas desde o início

Ao abordarem que se deve levar segurança de TI a sério, os peritos apontam o caminho: “A melhor defesa de uma empresa é a integração da segurança no ciclo de vida de desenvolvimento de aplicativos. A criação de códigos com poucas falhas de segurança oferece um retorno maior do que se tentar reparar aplicativos em uso.”

A organização internacional Web Application Security Consortium (WASC) reúne um grupo de especialistas e praticantes de segurança e representantes de comunidades de código aberto, voltada para intercâmbio de idéias e organização e promoção de melhores práticas, em segurança de aplicação na World Wide Web. WASC consistentemente lança informação técnica, artigos, guidelines de segurança e outras documentações úteis sobre segurança de aplicações web.

Entre o material da WASC, destaco uma compilação com descrição de mais de 50 ameaças e vulnerabilidades em aplicações web, o Glossário de Segurança Web e o padrão de referência para avaliação de vulnerabilidades de aplicações web, Web Application Security Scanner Evaluation Criteria (WASSEC). O material é aberto, público e gratuito (em inglês).

Outra entidade dedicada a promover a melhoria da segurança em aplicações de software é a comunidade internacional Open Web Application Security Project (OWASP). Todas as ferramentas, documentação, fóruns e capítulos criados e mantidos pelo OWASP são livres, abertos e isentos.

Entre os projetos e material de referência mantidos pelo OWASP, destacam-se: Enterprise Security API (ESAPI), Development Guide, Ruby on Rails Security Guide, Secure Coding Practices – Quick Reference Guide, Application Security Verification Standard (ASVS), Code Review Guide, Testing Guide, OWASP Top Ten, AppSec FAQ Project, How To’s and Cheat Sheets, Software Assurance Maturity Model (SAMM), Comprehensive, Lightweight Application Security Process (CLASP).

Para a varredura e análise de vulnerabilidades em aplicações existem ferramentas para auxiliar e prover alguma automação e agilidade nos trabalhos. Há desde softwares livres como o Wapiti – Web application vulnerability scanner / security auditor e o OWASP Zed Attack Proxy, até produtos comerciais como IBM Rational AppScan e HP WebInspect / Application Security (veja também Web Application Scanners Comparison).

Também o padrão internacional ISO/IEC 15408: Information technology — Security techniques — Evaluation criteria for IT security é um conjunto de normas disponíveis gratuitamente.

O padrão ISO 15408 é baseado no Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC). Este, por sua vez, é originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido).

CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI. O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, denominados Security Assurance Requirements (SARs).

Até eu dou modestas contribuições de informação sobre boas práticas que podem garantir um código de aplicação mais segura, nos artigos: Eficiência e segurança com SQL parametrizado e Senhas armazenadas com segurança.

Não faltam informação e recursos livremente disponíveis, em abundância e muitas delas de alta qualidade e fácil utilização, para que as empresas e instituições comecem a praticar e adotar a construção de aplicações seguras.

Essa preocupação é especialmente crítica na web, que cada vez mais se apresenta como um veículo de serviços e aplicações em larga escala e abrangência.

Empresas do meu Brasil (e do mundo!), cuidem seriamente da segurança de suas aplicações e serviços, especialmente na internet!

Para saber mais:

• Referências sobre Segurança Digital e Privacidade, incluindo Informação sobre segurança, Entidades e centros, Criptografia, Infraestrutura de chaves públicas (ICP), Malware, Segurança de e-mail, Firewall, Prevenção e detecção de intrusos, Padrões, Protocolos e aplicações, Privacidade, Bibliografia e outros tópicos relacionados.

Tweet