Categoria: Ensaios

O fundo do poço da terceirização

by

1 de outubro de 2009

4:34

4 comentários em O fundo do poço da terceirização

Ensaios, Gestão, Software, Tecnologia

O artigo que recomendo é de 11 de setembro, mas a tragédia que ele descreve não é a das torres gêmeas.

Fala da crise na relação entre empresas e seus fornecedores de serviços de desenvolvimento e manutenção de sistemas, que nunca foi muito harmonioso, mas parece estar chegando ao fundo do poço.

Leia o artigo No Fundo do Poço, por Paulo F. Vasconcellos (*), em seu blog Finito. Estou certo que, se você é profissional de TI/software — contratante ou fornecedor — o relato ilustrativo da crônica vai soar no mínimo plausível, quiçá familiar.

Acrescento a seguir minha reflexão sobre o tema.

Terceirização de TI é um caminho de fluxo intenso nas empresas. Já foi do desenvolvimento de software ao SaaS, da consultoria em infraestrutura ao cloud computing.

As motivações mais comuns são economia — de dinheiro, tempo, ou pessoal. Já as mais nobres incluem busca por flexibilidade, eficiência e até agregar valor ao negócio. Mas os resultados concretos muitas vezes são recheados de casos de problemas, frustrações e insucessos.

Para as empresas contratantes, creio que o mais importante é perceber que terceirização não é uma válvula de escape nem eliminação de um trabalho, mas sim a troca de um modelo de trabalho — baseado em produção interna — por outro — baseado em contratação.

Se por um lado libera a empresa da execução interna de uma série de atividades que passam a ser realizados por terceiros, por outro lado cria ou intensifica outras.

A terceirização exige que a empresa invista internamente na inteligência e análise de negócios, no estreitamento das relações da TI com as áreas demandantes e suas reais necessidades — o que costuma ser sintetizado pela expressão “alinhamento estratégico” — e na gestão de projetos e contratações.

O ambiente empresarial propício da contratante ainda suscita boa padronização e maturidade dos seus processos de trabalho (pelo menos das áreas que demandam a TI). E ao lidar com fornecedor, por mais “parceiro” que este seja, deve-se sempre seguir o princípio “confiar mas vigiar”.

Se na terceirização de TI, especialmente em software, não houver a devida preocupação e investimento da empresa contratante nestes aspectos que citei, essa troca corre o sério risco de não ser vantajosa, não colher a economia, a melhoria ou o produto esperados.

(*) Paulo F. Vasconcellos é consultor e palestrante com mais de 20 anos de experiência em projetos de tecnologia da informação, pioneiro na Formação de Analistas de Negócios (FAN).

Pessoas com deficiência e a inclusão social e digital

by

16 de setembro de 2009

7:15

6 comentários em Pessoas com deficiência e a inclusão social e digital

Cotidiano, Cultura e Entretenimento, Ensaios

Um tema que sempre me interessa é o da inclusão e acessibilidade às pessoas com deficiência.

Um marco global rumo a inclusão das pessoas com deficiência foi a Declaração dos Direitos das Pessoas com Deficiência, publicada pela Assembleia Geral da Organização das Nações Unidas (ONU) em 9 de dezembro de 1975. “Em respeito à dignidade humana, estas pessoas têm os mesmos direitos fundamentais, civis e políticos que o resto de seus concidadãos e os demais seres humanos”.

A “Convenção Interamericana para a Eliminação de Todas as Formas de Discriminação contra as Pessoas Portadoras de Deficiência” — aprovada pelo Congresso Nacional do Brasil no Decreto Legislativo nº 198, de 13 de junho de 2001, e promulgada pelo Decreto Federal nº 3.956, de 8 de outubro de 2001 — define assim Deficiência:

O termo “deficiência” significa uma restrição física, mental ou sensorial, de natureza permanente ou transitória, que limita a capacidade de exercer uma ou mais atividades essenciais da vida diária, causada ou agravada pelo ambiente econômico e social.

A Convenção sobre os Direitos das Pessoas com Deficiência da ONU, editada em 6 de dezembro de 2006 e assinada pelo Brasil em 30 de março de 2007, considerou o termo pessoa com deficiência mais adequado para denominar as pessoas que possuem deficiência. Outros termos e expressões foram abolidos e considerados inadequados. São termos que podem segregar mais que incluir, ou mesmo serem ofensivos ou pejorativos.

  • O substantivo “deficiente” generaliza ou caracteriza a deficiência como o todo de uma pessoa, ou seja, passa a impressão de que a pessoa inteira é deficiente, quando na verdade a deficiência é apenas uma parte ou característica (adjetivo) dessa pessoa.
  • “Portador de deficiência” também soa inadequado, porque “portador” pode dar a impressão de hospedeiro ou transmissor como em uma doença, e deficiência não é doença. Mesmo considerando o significado literal de portador, a pessoa com deficiência não porta, transporta ou transmite deficiência, ela a possui.
  • A mais ridícula é “pessoa com necessidades especiais”, um eufemismo hipócrita criado na onda do “politicamente correto” surgida nos Estados Unidos, que é apenas uma fuga para não se dizer que uma pessoa tem deficiência. Mas deficiência é só uma restrição, não é uma aberração, e não deve assim ser motivo de vergonha ou embaraço nem para quem possui nem para nenhum interlocutor. Além do mais, se a diversidade é característica dos seres humanos, somos todos diferentes. E quem não precisa de determinadas coisas, situações e emoções para se sentir bem, completo, feliz? Somos todos pessoas com necessidades especiais.

Para complementar, recomendo o pequeno e instrutivo texto “Toques aos jornalistas“, da Secretaria dos Direitos da Pessoa com Deficiência, Governo do Estado de São Paulo.

Conceito ainda mais amplo é de Acessibilidade, que significa a promoção do amplo e igualitário acesso às oportunidades, atividades, produtos e serviços, por todas as pessoas. É considerar e respeitar a diversidade humana. Acessibilidade é prover meios visando oferecer igualdade ou equivalência de condições não só às pessoas com deficiência, mas também à pessoa idosa, crianças e adolescentes, enfim a quaisquer seres humanos que necessitem de precauções, adaptações ou cuidados específicos em certas situações.

Acessibilidade é um elemento chave na inclusão social da pessoa com deficiência. E na era do computador e da internet, integra também a inclusão digital. Também existe legislação de amparo no Brasil, em especial a “Lei da Acessibilidade”, Lei Federal nº 10.098, de 19 de dezembro de 2000.

A Secretaria Especial dos Direitos Humanos (SEDH) da Presidência da República do Brasil é o õrgão governamental que trata, entre os vários temas de inclusão, Pessoas com Deficiência e Acessibilidade.

Fazem parte da estrutura da SEDH a Coordenadoria Nacional para Integração da Pessoa Portadora de Deficiência – CORDE e o Conselho Nacional dos Direitos da Pessoa Portadora de Deficiência – CONADE, ligados ao Ministério da Justiça.

Muito mais do que leis, normas, convenções e mobilizações da sociedade civil, a prática da inclusão e acessibilidade às pessoas com deficiência não é trivial.

Ela começa por uma evolução de mentalidade e de atitudes. Quem não tem deficiência tem que começar pelo difícil exercício de se colocar no lugar da pessoa com deficiência, de perceber e compreender suas restrições, e as consequências e efeitos destas, bem como as dificuldades e limitações envolvidas. Tem que considerar sempre a diversidade humana em seu pensamento e em suas ações, e o fazer de forma sensata e efetiva. Tratar tudo isso como algo natural, como realmente o é. E tem que ter ideias e colocar em prática soluções para eliminar, minimizar ou contornar as deficiências. Isso é o que leva à acessibilidade e à inclusão.

O assunto é muito extenso. Mas a você que está lendo, já me basta por ora se você começar a refletir sobre isso.

E para ajudar, segue um monte de referências que vão ajudá-lo a se aprofundar no assunto, além dos links já citados ao longo do texto:

Para terminar, um vídeo muito instrutivo e inspirador, que eu adoro, dura pouco mais de 10 minutos mas vale muito a pena. “Acessibilidade Web: Custo ou Benefício?”, por Acesso Digital, Brasil. Fala especificamente sobre acessibilidade na web (internet), mas creio que permite compreender a importância e relevância do tema como um todo:

Segurança das aplicações web

by

10 de setembro de 2009

19:46

1 comentário em Segurança das aplicações web

Arquitetura TI, Ensaios, FAQ, Segurança, Software, Tecnologia

[Atualizado em 2011-08-21, com referências do OWASP.]

Depois do incidente de segurança envolvendo o portal da operadora Vivo que abordei ontem, um artigo de hoje da IT Web tem tudo a ver: 5 lições de segurança, por Greg Shipley, Tyler Allison e Tom Wabiszczewicz, da empresa Neohapsis especializada em GRC (GRC em inglês), para InformationWeek EUA, 10/09/2009.

No artigo, os especialistas quebram o silêncio típico do mundo corporativo sobre segurança e trazem uma síntese de sua experiência em observação direta das brechas de segurança do mundo real onde realizaram investigações forenses, para ajudar as empresas a entender como essas brechas acontecem e o que se pode fazer sobre elas.

Eles ressaltam: “Após centenas de casos, podemos afirmar, sem sombra de dúvidas, que os ataques estão mais sofisticados do que nunca. Com agilidade, eles exploram controles de segurança falhos e práticas operacionais negligentes e, munidos com ferramentas comuns para gerenciamento de rede, adaptam malwares. Táticas e tecnologias de segurança da informação também progrediram, mas não no mesmo ritmo.”

O mais admirável é que os recursos para mitigar as brechas de segurança são métodos razoáveis e bem conhecidos. O que é preciso é um esforço para que esses métodos sejam implementados e continuamente praticados de forma mais ampla e efetiva pelas corporações.

Problema – vulnerabilidades e ameaças nas aplicações

O Website de uma empresa geralmente serve como porta de entrada para os ataques. Aplicativos web são a porta preferida dos invasores.

Isso porque equipes de TI em geral investem apenas em segurança do perímetro e do tráfego da rede, incluindo proteções clássicas como firewall, antivírus, antispam, IDS/IPS, SSH, HTTPS e VPN. E mesmo nestes casos, não fazem um monitoramento proativo e contínuo, nem tem um plano de resposta a incidentes consistente e efetivo. Por outro lado, mantém sistemas desatualizados e ignoram aplicativos falhos que podem, facilmente, ser explorados.

Códigos de software com pouca ou nenhuma preocupação com segurança desde sua concepção — o que passa inclusive pela escolha de tecnologias que já englobem conceitos e mecanismos nativos de segurança, robustez e proteção — escancaram brechas de segurança por todos os pontos das aplicações.

Nas aplicações corporativas internas, as maiores preocupações costumam ser com vazamento de informações e com uso e permissões indevidos — até mesmo maliciosos, no caso de colaboradores insatisfeitos ou despreparados, negligentes, imprudentes.

Mas quando as aplicações são externas, especialmente em portais, sítios e serviços web abertos à Internet, o universo de ameaças subitamente se expande para o mundo todo, para qualquer pessoa no planeta com acesso internet, algum tempo disponível e intenções que podem ir da curiosidade inconsequente ao crime.

Aplicações sem segurança tipicamente expõem vulnerabilidades amplamente conhecidas — do conhecimento de qualquer hacker de plantão — e graves como:

  • Autenticação vulnerável, com usuários e senhas fracas, pouco ou nenhum controle a tentativas de acesso “força bruta” etc.
  • Baixa granularidade de permissões, de forma que um vez acessado com usuário legítimo muitas vezes se permite acessar alguns serviços ou situações que não seriam efetivamente necessárias ou mesmo devidos àquele usuário.
  • Ausência de validação, consistência e crítica de dados no lado servidor, quando um usuário está com JavaScript desativado ou defeituoso no lado cliente.
  • Ausência de validação de condições limite nos tipos, formatos, valores e tamanhos recebidos em dados ou parâmetros fornecidos pelo usuário, permitindo ataques como Estouro de buffer e de pilha, Corrupção de memória, Negação de serviço (DoS).
  • Ausência ou insuficiência de tratamento robusto, inteligente e proativo de exceções na aplicação. Muitas vezes a maior parte das inúmeras situações de erro ou exceção possíveis são esquecidas, descartadas ou subestimadas pelos programadores.
  • Ausência de mecanismos de rastreabilidade e auditoria, como gravação de registros de log/históricos de acessos e ações do usuário e do próprio sistema.
  • Mecanismos de proteção (integridade e privacidade) de dados com criptografia ausentes, simplórios/precários, ou mal implementados.
  • Não evitar Injeção de código, Injeção de SQL, Injeção de HTML e Cross site scripting (XSS) nas entradas de dados e parâmetros fornecidos pelo cliente/usuário.
  • Utilizar ou permitir a Inclusão de arquivos locais (ou remotos).

A lista de possibilidades comuns poderia se estender. Mas por aí já se percebe que boa parte das aplicações na web são “queijos suíços” em potencial, em se tratando de abundância de furos de segurança.

Solução – informação e ferramentas desde o início

Ao abordarem que se deve levar segurança de TI a sério, os peritos apontam o caminho: “A melhor defesa de uma empresa é a integração da segurança no ciclo de vida de desenvolvimento de aplicativos. A criação de códigos com poucas falhas de segurança oferece um retorno maior do que se tentar reparar aplicativos em uso.”

A organização internacional Web Application Security Consortium (WASC) reúne um grupo de especialistas e praticantes de segurança e representantes de comunidades de código aberto, voltada para intercâmbio de idéias e organização e promoção de melhores práticas, em segurança de aplicação na World Wide Web. WASC consistentemente lança informação técnica, artigos, guidelines de segurança e outras documentações úteis sobre segurança de aplicações web.

Entre o material da WASC, destaco uma compilação com descrição de mais de 50 ameaças e vulnerabilidades em aplicações web, o Glossário de Segurança Web e o padrão de referência para avaliação de vulnerabilidades de aplicações web, Web Application Security Scanner Evaluation Criteria (WASSEC). O material é aberto, público e gratuito (em inglês).

Outra entidade dedicada a promover a melhoria da segurança em aplicações de software é a comunidade internacional Open Web Application Security Project (OWASP). Todas as ferramentas, documentação, fóruns e capítulos criados e mantidos pelo OWASP são livres, abertos e isentos.

Entre os projetos e material de referência mantidos pelo OWASP, destacam-se: Enterprise Security API (ESAPI), Development Guide, Ruby on Rails Security Guide, Secure Coding Practices – Quick Reference Guide, Application Security Verification Standard (ASVS), Code Review Guide, Testing Guide, OWASP Top Ten, AppSec FAQ Project, How To’s and Cheat Sheets, Software Assurance Maturity Model (SAMM), Comprehensive, Lightweight Application Security Process (CLASP).

Para a varredura e análise de vulnerabilidades em aplicações existem ferramentas para auxiliar e prover alguma automação e agilidade nos trabalhos. Há desde softwares livres como o Wapiti – Web application vulnerability scanner / security auditor e o OWASP Zed Attack Proxy, até produtos comerciais como IBM Rational AppScan e HP WebInspect / Application Security (veja também Web Application Scanners Comparison).

Também o padrão internacional ISO/IEC 15408: Information technology — Security techniques — Evaluation criteria for IT security é um conjunto de normas disponíveis gratuitamente.

O padrão ISO 15408 é baseado no Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC). Este, por sua vez, é originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido).

CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI. O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, denominados Security Assurance Requirements (SARs).

Até eu dou modestas contribuições de informação sobre boas práticas que podem garantir um código de aplicação mais segura, nos artigos: Eficiência e segurança com SQL parametrizado e Senhas armazenadas com segurança.

Não faltam informação e recursos livremente disponíveis, em abundância e muitas delas de alta qualidade e fácil utilização, para que as empresas e instituições comecem a praticar e adotar a construção de aplicações seguras.

Essa preocupação é especialmente crítica na web, que cada vez mais se apresenta como um veículo de serviços e aplicações em larga escala e abrangência.

Empresas do meu Brasil (e do mundo!), cuidem seriamente da segurança de suas aplicações e serviços, especialmente na internet!

Para saber mais:

  • Referências sobre Segurança Digital e Privacidade, incluindo Informação sobre segurança, Entidades e centros, Criptografia, Infraestrutura de chaves públicas (ICP), Malware, Segurança de e-mail, Firewall, Prevenção e detecção de intrusos, Padrões, Protocolos e aplicações, Privacidade, Bibliografia e outros tópicos relacionados.

Mais um cliente insatisfeito Oi

by

17 de agosto de 2009

23:37

11 comentários em Mais um cliente insatisfeito Oi

Cotidiano, Ensaios

É fato notório que as empresas de telefonia, fixa e móvel, encabeçam rankings de maior índice de insatisfação e reclamação dos consumidores.

Segundo matéria do O Imparcial Online, de 2009-07-27, Empresas de telecomunicações são alvo de 1/3 das reclamações: um relatório sobre o setor de telecomunicações preparado pelo Sistema Nacional de Informações de Defesa do Consumidor (Sindec) — que reúne Procons de 23 estados, mais o Distrito Federal — e divulgado pelo Departamento de Proteção e Defesa do Consumidor (DPDC), do Ministério da Justiça afirma que, entre 2005 e 2009, o setor de telecomunicações foi responsável por 32,95% do total das demandas levadas aos Procons, sendo os maiores problemas nas áreas de telefonia celular (10,63%) e telefonia fixa (10,6%). No total, foram 607.746 demandas no período.

Dados do Boletim Nacional Sindec de 2008 mostram os assuntos telefonia móvel (10,8%) e fixa (10,3%) e aparelho de celular (8,4%) somados representando 29,5% do total de 724 mil demandas recebidas pelos procons de 23 estados e do Distrito Federal no ano, superando em muito as reclamações de cartão de crédito (11,1%), que figura em primeiro na lista. Os dados do Boletim foram também comentados na notícia do Sindec em 2009-03-10, Cartão de crédito e telefonia encabeçam demandas nos Procons.

Em Belo Horizonte, MG, as ações judiciais nos Juizados Especiais (“pequenas causas”) relativas a telefonia são tão comuns que, enquanto um juizado especial comporta todas as demais causas de relações do consumo, os processos envolvendo telefonia têm que ser conduzidos a outra unidade, o Juizado Especial Cível Gutierrez.

Pois é. Dessa vez fui eu a sofrer na pele o que a estatística já mostrava.

Em abril de 2008, depois que a Oi havia comprado a empresa de TV por assinatura e internet a cabo Way TV em Minas Gerais, renomeou o serviço para Oi TV e alardeou a convergência ao ser a primeira empresa brasileira a oferecer pacotes quadri-play no País, incluindo telefonia fixa, móvel, internet e TV, com o plano Oi Conta Total TV.

Seduzido pelas insistentes propagandas de convergência, praticidade e economia do Oi Conta Total TV — nas contas Oi do início de agosto 2009 foram veiculados, pela milhonésia vez, anúncios do plano — acabei buscando mais informações sobre o plano.

Já tendo o Oi Velox a cabo (da antiga Way) e dois celulares oi, eu queria compartilhar os celulares em um plano “família” (ligações livres entre os dois e franquia unificada de minutos) e agregar a TV a cabo.

No início de agosto, em uma loja Oi, informaram que primeiro era necessário solicitar uma linha de telefone fixo Oi e, cinco dias depois de instalado, retornar à loja ou ligar para a Oi solicitando a migração para o serviço Oi Conta Total TV, integrando os serviços. Algo meio absurdo, já que eu não precisava nem queria telefone fixo. Mas não tinha jeito: tudo começava por ele.

No dia 3 de agosto, solicitei a tal instalação da linha de telefone fixo. Como sempre, “a ligação sendo gravada para minha segurança”. Recusei todas as ofertas “cheias de recursos e benefícios” do atendente para a nova linha fixa. Expliquei que só precisava da dita cuja para o plano de convergência e por isso queria o plano fixo mais barato que houvesse. Vencido, o operador finalmente pôs o Plano Básico (obrigatório ser oferecido).

Depois de um primeiro contato por telefone de um técnico a serviço da Oi, e de alguns contatos infrutíferos depois tentando marcar uma visita para instalação, finalmente o rapaz foi à residência no dia 12 de agosto último, quarta-feira, e colocou a linha fixa funcionando.

Hoje, dia 17, passados os tais 5 dias da orientação que recebemos lá no início, procuramos o tão esperado Oi Conta Total TV no link da oi.com.br/oicontatotaltv divulgado nos anúncios. Estranho. Nada falando de TV, só falava do plano Oi Conta Total (fixo, móvel e internet). Voltamos à mesma loja Oi e… surpresa. Um funcionário informou que o plano Oi Conta Total TV deixou de ser oferecido há quatro dias!

Sem ele, a linha de telefone fixo não me servia mais. Imediatamente ligo para cancelar (103 31). O atendente disse que como a linha havia sido instalada há mais de sete dias, seria cancelada, mas a taxa de instalação seria cobrada mesmo assim.

Mais de sete dias? Como assim? O técnico instalou no dia 12, cinco dias atrás, informei. O atendente informou que “consta no sistema que foi instalado dia 04/08/2009”. Ótimo. O sistema fala a verdade, o cliente não! Quando informei que “o sistema” estava errado e eu tinha certeza da data, ele me pediu para esperar a conta chegear no mês que vem, para então solicitar estorno da instalação.

Ótimo, iam me fazer esperar até mês que vem e aí aposto que falariam que os sete dias agora já teriam se passado. Precisei sair do sério para não cair nessa e conseguir que o cidadão do outro lado da ligação, além de cancelar a linha fixa, registrasse minha reclamação de que a data da instalação que “consta no sistema” estava incorreta e que portanto o serviço havia sido instalado há menos de sete dias.

Um press release de hoje da Oi na internet se gaba que “Oi amplia oferta de TV em Minas Gerais e lança serviço por assinatura via satélite“. Lugar nenhum fala que o plano Oi Conta Total TV, anunciado até poucos dias atrás, sorrateira e subitamente deixou de existir.

E eu fui pego no contrapé e fiquei sem o serviço que queria, e ainda tendo que ouvir que teria que pagar pela instalação do telefone fixo que eu nunca quis.

Depois eu conto para os leitores se a infame taxa de instalação veio ou não indevidamente cobrada na primeira-e-última conta que vou pagar para essa empresinha. Pode até ser a maior, mas te cuida, porque me parece ser a pior!

Desculpem o desabafo!

Para saber mais como consumidor:

Para saber mais sobre legislação do SAC:

Investimento em segurança TI tende a crescer

by

29 de abril de 2009

22:54

Leave a comment on Investimento em segurança TI tende a crescer

Ensaios, Notícias, Segurança, Tecnologia

Estudo da GMG Insights encomendado pela Computer Associates (CA) mostra que a crise financeira mundial deve levar a um aumento de gastos em segurança de TI.

A pesquisa revela que 42% das empresas pretendem aumentar os gastos com segurança em TI em 2009. Participaram 400 diretores de TI ou profissionais de cargo superior de empresas de grande e médio porte da América do Norte, Europa, Ásia/Pacífico e América do Sul.

A explicação das empresas está em dois fatores principais:

  1. Segundo 78% das entrevistadas, a crise deve provocar surgimento de mais exigências regulatórias e, com elas, a necessidade da implementação e automação de mais controles, processos e relatórios para garantir conformidade regulatória.
  2. A crise tem forçado diversas empresas a promover reestruturações, muitas vezes com cortes e demissões, e 67% das empresas de médio porte consultadas e 73% das empresas de grande porte acreditam que isso aumentara as ameaças internas dos seus sistemas de TI.

Para os dois casos, o caminho passa por investimento em consultorias, produtos e serviços para segurança da informação e GRC (governança, risco e conformidade).

Atento sempre para o fato das ameaças internas. No senso comum das pessoas, “segurança” traz uma ideia que em geral se assemelha a “proteção contra os perigos que há lá fora”. Muitas vezes as empresas esquecem que os riscos internos são em geral muito mais prováveis, potencialmente muito mais facilmente danosos e, pior, pode ser difícil identificar e se proteger contra as ameaças internas.

A segurança perimetral, ou seja, fortalecer as fronteiras externas contra o mal externo, é uma necessidade óbvia, desde na vida do cidadão comum (pelo menos na maioria das metrópoles do Brasil, infelizmente…) até nas empresas. É a proteção natural do patrimônio. Na segurança física, segurança perimetral é colocar muros, cercas, trancas e cadeados, câmeras, sensores, alarmes, vigias etc. Na segurança de TI, envolve recursos como firewall, sistema de detecção/prevenção de intrusos (IDS/IPS), antivírus/antispam, canais externos seguros (HTTPS, IPSec, VPN, SSH, SFTP etc.), segmentação de redes e zona desmilitarizada (DMZ).

Mas e para o colaborador que se sente insatisfeito ou ameaçado, com más intenções, ingênuo, despreparado ou desleixado? Esse sim, tem muitos mais meios que um ladrão ou “hacker” externo. A ameaça interna tem crachá/identificação, acesso legítimo a dependências e a sistemas, e conhece a empresa, seus processos e mecanismos, as pessoas envolvidas e, quiçá, os pontos fracos. Muitas vezes, a ameaça interna já tem os meios que precisa para fazer danos. Basta haver a oportunidade e/ou o motivo.

Eu me recordo que já na 6ª Pesquisa Nacional sobre Segurança da Informação (PNSI), em 2000, realizada pela empresa brasileira Módulo Security, as ameaças internas já superavam os riscos externos responsáveis por problemas de segurança:

[photopress:6pnsi_ameacas.png,full,centered]

Fonte: 6ª PNSI, Módulo Security Solutions, 29 de junho de 2000.

O mal pode estar do seu lado…

Para saber mais:

Liberdade com direitos e deveres

by

28 de abril de 2008

1:55

Leave a comment on Liberdade com direitos e deveres

Cultura e Entretenimento, Ensaios, Software, Tecnologia

O software livre e de código aberto é uma grande realidade mundial e em pleno crescimento. Grandes e pequenas personalidades, entidades, projetos e empresas que suportam e adotam este modelo de desenvolvimento não faltam — Projeto GNU, Richard Stallman (stallman.org), Free Software Foundation, Open Source Initiative, SourceForge.net, Apache, Mozilla e tantos outros.

O conteúdo livre e colaborativo também tem sido uma tendência que se estabelece e se concretiza. Talvez baste citar o exemplo da Wikipédia e demais projetos da Wikimedia Foundation.

Liberdade é uma coisa séria. E não deve ser absoluta, pois a liberdade de um termina onde começa a liberdade do outro. Os direitos e deveres regulam as liberdades na vida em sociedade.

Seja em software, seja em conteúdo ou qualquer outra obra de criação intelectual — cultural, científica ou artística, fruto do conhecimento, da inspiração e da criatividade humanas — a liberdade deve ser praticada com a garantia e o respeito total a dois princípios fundamentais:

  • O direito autoral, ou direitos do autor, o crédito de autoria e a prerrogativa patrimonial ao(s) criador(es) de uma obra intelectual.
  • Os direitos de reprodução e distribuição, o copyright, que resulta na licença com a qual o titular do direito autoral permite colocar sua obra à disposição do público.

No caso do software de código aberto (open source), existem muitas licenças de distribuição e uso. O termo copyleft é freqüentemente usado para designar um método legal de tornar um programa em software livre e exigir que todas as versões modificadas e estendidas do programa também sejam software livre. Licenças mais comuns:

Para conteúdo intelectual em geral, como textos (ensaios, documentação, apostilas, apresentações), planilhas, ilustrações, imagens, vídeos, músicas, trilhas sonoras etc., estas são as licenças mais comuns:

No Brasil, a legislação também rege diversos aspectos do direito autoral e de software:

  • Lei 9.610/98, de 19 de fevereiro de 1998: lei dos direitos autorais.
  • Lei 9.609/98, também de 19 de fevereiro de 1998: proteção da propriedade intelectual de programa de computador.
  • Lei 9.279/96, 14 de maio de 1996: lei da propriedade industrial.

Para saber mais:

Criadores de software e de conteúdo que divulgam ou disponibilizam na Internet devem ter cuidado, critério e reflexão ao escolherem a licença de distribuição e uso de sua obra. Devem deixar claros os direitos, deveres e restrições que deseja determinar ao público usuário, oferecendo sua contribuição ao mundo colaborativo ao mesmo tempo que resguarde os seus interesses e objetivos pessoais.

Lembre-se que uma decisão mal tomada pode ser motivo de contrariedade e arrependimento depois. Cito como exemplo recente a controvérsia causada pela mudança de licença na popular biblioteca JavaScript ExtJS no lançamento da versão 2.1, em 21 de abril, da mais liberal LGPL para a GNU GPL v3. (Veja também: Licensing Overview; Licence change; GWT-Ext Forum; Sanjiv Jivan blog; Jack Slocum blog; Georgi Germany blog.)

Usuários de conteúdo público também precisam sempre respeitar os direitos do autor, bem como observar e cumprir os termos de licenciamento ao se beneficiar de uma obra intelectual disponibilizada ao público. Não seja leviano e não faça com os outros aquilo que não gostaria que fizessem com você.

Nota: Antes que alguém pergunte — todos os artigos deste blog são disponibilizados sob licença Creative Commons 2.5 BY-SA, conforme apresentado na página “Sobre”.

Pequenos posts, grandes blogadas

by

28 de janeiro de 2008

23:53

2 comentários em Pequenos posts, grandes blogadas

Cultura e Entretenimento, Ensaios, Internet, Tecnologia

Atualizei hoje o artigo mais lido e comentado deste blog, sobre minha experiência com a configuração de roteamento do Roteador ADSL SpeedTouch 510v6 da Thomson.

Atualizei vários links úteis e destaquei alguns em negrito, mas o principal é o novo link para download do configurador, que mudou com a reformulação recente do portal da Thomson Brasil. As dezenas de comentários existentes também são complemento valioso para o artigo, verdadeiro fórum sobre o assunto. Aproveito para agradecer a ótima participação e as contribuições dos leitores.

Fico bem feliz em ver que um relato da configuração do aparelho ADSL, que resolvi postar no blog com ilustrações de tela em estilo passo-a-passo, acrescido de um apanhado de links, têm ajudado muita gente.

Desde os primórdios de 1991, a Internet tem sido para mim uma fonte espetacular de conhecimento, informação e recursos sobre todo tipo de coisa (mesmo que eu me interesse mais por assuntos de computação e tecnologia). Claro que há informação de todo tipo de qualidade e de credibilidade e é preciso exercitar muito o bom senso, a precaução e a crítica para se navegar na rede. Mas o saldo positivo ainda é enorme.

É por me beneficiar e ficar fascinado com esse fantástico universo de espírito colaborativo da Internet que, desde 1993, eu retribuo e contribuo para este universo o quanto posso. Comecei divulgando meus links favoritos, ainda na Universidade, depois na minha home-page pessoal na iNET. Dez anos depois, com meu próprio domínio em 2003 passei a produzir artigos e, em 2006, este blog.

Ainda vejo, porém, muita gente — principalmente no Brasil, infelizmente — que vê a internet como uma via de mão única, só com o “venha a nós” ou em termos geek, só no “download”. Pesquisam no Google como se a internet fosse um oráculo escravo com a obrigação de ter todas as respostas. Entram em fóruns, blogs etc. e exigem respostas urgentes para suas questões. (Não deve ser o seu caso, caro leitor, ou dificilmente você ainda estaria lendo até aqui.)

Esses ainda não entenderam o espírito. Não viram que boa parte do oceano da internet é composta de “gotas e poças” aqui e acolá (veja o exemplo maravilhoso da Wikipédia!), além, claro, dos muitos “rios” de informação tradicional. Não sei se essa atitude é por simples desconhecimento, por individualismo (egoísmo?), pelo triste espírito da Lei de Gerson (“bom é levar vantagem em tudo” — será isso uma característica folclórica difundida na sociedade do Brasil?), falta de tempo, preguiça, ceticismo, um pouco de cada… não importa.

Talvez muitos pensem que o dom do conhecimento é coisa para poucos originarem. Tipo “Mas eu não sei/tenho nada para contribuir.” Meu blog comprova uma realidade exatamente contrária. Os três artigos mais visitados, comentados e — portanto — úteis deste blog são em temas simples e nos quais eu tenho mínima experiência. Apenas resolvi compartilhar com os outros um pouco que precisei e consegui: Configurar um roteador ADSL; Exame teórico para renovar CNH; Montar um cubo-mágico de Rubik.

A internet tem o poder quase mágico de fazer florescer uma boa idéia ou opinião, por menor que seja. Bem… infelizmente também pode espalhar aos quatro ventos boatos, fraudes e outros malefícios… mas essa é uma outra história.

Com um simples blog, você pode falar o que pensa para o mundo. Você pode não concordar com parte ou nada do que digo, mas já foi muito válido conhecer meu ponto de vista lendo até aqui (muito obrigado). O importante é que você pensa também, e confesse: você tem lá suas opiniões.

Comece escrevendo um comentário aqui mesmo, continue no seu próprio blog — grátis em Blogger.com, WordPress.com etc. — e experimente essa verdadeira força multiplicativa da comunicação e expressão que levam ao conhecimento ou, no mínimo, a alguma diversão e entretenimento.

Seja um ótimo profissional de TI e Feliz Ano Novo

by

28 de dezembro de 2007

0:01

2 comentários em Seja um ótimo profissional de TI e Feliz Ano Novo

Ensaios, Tecnologia

Termino o ano como um mensagem positiva àqueles que querem ter sucesso na carreira de tecnologia da informação (TI) e sistemas de informação.

A área profissional de TI ainda é um mercado rico em oportunidades, no Brasil e no mundo. Há falta de profissionais em Sistemas de Informação no Brasil. Porém, as oportunidades estão sobrando para os melhores, não para os medianos nem os medíocres.
A falta de pessoal qualificado no país faz multinacionais levarem centros de P&D para Índia e China, segundo Unicamp/USP/Unesp.

Desenvolva sua habilidades técnicas e pessoais. Invista no seu aperfeiçoamento constante, inclusive no domínio da língua inglesa — e se já tiver, considere também o espanhol. Esteja atento às exigências para profissionais em TI.

Mantenha-se atualizado quanto às tecnologias, tendências e ao mercado. Se você é mineiro, por exemplo, leia sobre o panorama das empresas de TI em Minas Gerais traçado pela Fumsoft/Softex. Ou talvez você almeje experiências fora do Brasil. Informação de graça na Internet não falta; bons livros, cursos e revistas também não.

Busque ser um profissional “em forma de Pi”, com conhecimento horizontal (superficial) generalista amplo, mas aprofundado verticalmente em mais de uma especialidade diferente, de preferência uma na área de TI e outra fora dela. O conhecimento multi-disciplinar, como aquele profissional que domina tecnologia da informação e conhece bem uma área de aplicação — legislação/direito, ou gestão/administração, ou finanças/economia, ou comércio/negócios, ou saúde/medicina, ou … — vale ouro!

Se já tiver uma experiência razoável na área técnica, desenvolva também habilidades gerenciais para atingir patameres de salários melhores. As nove áreas de conhecimento do PMI para Gerenciamento de Projetos são uma boa referência. Exerça a liderança e a gestão com pessoas, preocupe-se com resultados, objetivos, custos, prazos do seu cliente e/ou da sua empresa. Assuma e gerencie riscos.

Abrace e gerencie as mudanças e o novo. Trate a mudança como a regra, não como transtorno ou dificuldade.

Existe Futuro na carreira em Tecnologia de Informação. Se você é ou quer ser um ótimo profissional nessa área, invista em você e Feliz 2008!

Créditos: A maioria dos artigos citados neste texto foram dos ótimos blogs Mundo IT, por Yuri Gitahy de Oliveira; Tecnologia da Informação – Desenvolvimento e Educação, pelo prof. Cid R. Andrade; e GR Tips, por Luís Cláudio de S. Alberto.

A blogosfera está pegando você também?

by

11 de agosto de 2007

17:41

Leave a comment on A blogosfera está pegando você também?

Cotidiano, Cultura e Entretenimento, Ensaios, Internet

Cada vez mais, vejo que os blogs estão se tornando um meio de divulgação de idéias, opiniões e notícias direto da fonte, ou seja, providas por qualquer um que seja o autor ou queira ser o difusor da informação em questão.

É claro que não se deve confiar em tudo que se vê e ouve por aí, ainda mais em um meio como a Internet que, de tão democrático, chega a ser anárquico. Mas nem por isso a Internet e em especial a blogosfera (o crescente universo de blogs) perdem o mérito de ser fonte potencial infinda de informação válida e útil, desde que se exercite sempre o bom senso e a crítica como moderadores.

Essa fonte tão “sem intermediários” parece estar incomodando meios de comunicação de massa mais tradicionais, em uma espécie de concorrência. A recente campanha publicitária do jornal Estado de São Paulo na Internet, Estadão.com.br, com o slogan “Por onde você tem clicado, hein?”, tem sido vista por muitos como uma espécie de campanha contra os blogs independentes.

A reação mais interessante que já vi a este marketing do Estadão foi do blog Mundo Tecno, que lançou a Campanha “Não compre jornal, preserve a natureza”.

Eu, como blogueiro que tenho sido há um ano, certamente vi que há muitas pessoas por aí que, como eu, tentam usar o recurso do blog como um meio efetivo de difusão de informação, a partir do pontos de vista pessoais de cada um. Assim como espero que meu blog seja lido e ganhe credibilidade e abrangência, também tenho descoberto muitos e muitos blogs bons que valem a pena ser lidos.

Para encerrar, vi em um blog um teste de “quão viciado em blogar você é?”. O meu resultado está abaixo. E basta clicar na figura para você fazer o seu também…

70%Quão Viciando em Blogging Você É?

Criado por OnePlusYou – Free Online Dating

E reafirmo: Blog bom também é cultura.

REST e a evolução da arquitetura de software

by

7 de julho de 2007

0:24

3 comentários em REST e a evolução da arquitetura de software

Arquitetura TI, Ensaios, Internet, Software, Tecnologia, Web

[Atualizado em 2008-10-18.]

Já ouviu falar em REST?

É o acrônimo para o termo em inglês Representational State Transfer, ou Transferência de Estado Representacional. O termo foi introduzido por Roy Thomas Fielding — um dos principais autores da especificação HTTP e autoridade em arquitetura de redes de computadores — no ano de 2000, em sua tese de doutorado (Ph.D.): Architectural Styles and the Design of Network-based Software Architectures, Universidade da Califórnia, Irvine, EUA. O capítulo 5 da tese versa sobre Representational State Transfer (REST).

De 2000 até agora, o conceito vem se difundido e se popularizando como um estilo de arquitetura de software moderno para sistemas hipermídia distribuídos, em especial as aplicações na World Wide Web (WWW, ou simplesmente web “para os íntimos”).

O conceito de REST e os sistemas RESTful (aderentes aos princípios de REST) refletem, em minha opinião, uma das muitas facetas do aumento da abstração e complexidade na arquitetura das aplicações via Internet.

Desde que a web surgiu no início da década de 1990 — criada por Tim Berners-Lee no CERN — até hoje, acompanhamos seu aumento de abrangência e complexidade. Surgiu como um meio simples e prático de disponibilização de conteúdo hipermídia na Internet.

Ao longo dos anos, por um lado o conteúdo da web se tornou mais rico e multimídia com a introdução de imagem, animações, áudio e vídeo etc. Por outro, sua interatividade cresce em ritmo acelerado, tornando a web um canal de interação, aplicações e serviços cada vez mais amplo.

As aplicações na web também deram os primeiros passos com o protocolo Common Gateway Interface (CGI) até chegarem à era atual dos Web Services (WS), da Arquitetura Orientada a Serviços (Service-Oriented Architecture – SOA) e seu uso nos sistemas de Gerenciamento de Processos de Negócio (Business Process Management – BPM).

Assim, a web deixa de ser a camada de mais alto nível de abstração na pilha das aplicações Internet (WWW → HTTP → TCP/IP). Acima dela se posicionam sistemas complexos que tem a web como “mera” base de infraestrutura. Neste topo entram princípios e mecanismos como REST, WS, SOA e AJAX, bem como os frameworks de aplicação web de alto nível — baseados em componentes — como Java EE (JSF → JSP → Servlets), Microsoft .NET Framework e o Zend Framework do PHP 5.

Isso me traz à mente a comparação com o que li tempos atrás. A constatação — que então me impressionou — de que os mecanismos de Mapeamento Objeto-Relacional e frameworks de persistência como o Hibernate estavam fazendo a linguagem SQL se tornar commodity, vista como uma camada de “baixo nível” na interação com bancos de dados. Concordo. Eis aí mais um exemplo do aumento no nível de abstração e complexidade dos sistemas.

Para saber mais:

REST em Java

Para intergrar a futura plataforma Java EE 6, em fevereiro de 2007 foi proposta a nova especificação JSR 311 – JAX-RS: The Java API for RESTful Web Services, Java Community Process (JCP). A JSR 311 teve sua versão final lançada em 2008-10-10.

Implementações de Web Services RESTful em Java:

Para saber mais (todos em inglês):