No Brasil, 46% dos software usados não são licenciados

bsa_pesquisa.jpg06/06/2018 - Pesquisa global da BSA | The Software Alliance indica que 46% dos softwares instalados em computadores brasileiros não estão devidamente licenciados, o que representa um valor comercial de 1,7 bilhões de dólares. O número é um ponto percentual mais baixo do que o registrado na edição de 2016 do estudo.

Ao longo de 2017, a “Pesquisa Global de Software de 2018: Gerenciamento de Software: Imperativo para a Segurança, Oportunidade de Negócios” quantificou o volume e o valor do software não licenciado instalado em mais de 110 países e mercados, e consultou mais de 23 mil consumidores, colaboradores e CIOs. O estudo é feito a cada dois anos.

“O Brasil progrediu e registrou a menor taxa da América Latina, contudo a queda do índice, em um ponto percentual, foi mais baixa do que a registrada em 2015, de 3 pontos, em comparação com 2013”, explica o country manager da BSA para o Brasil, Antonio Eduardo Mendes da Silva, conhecido no mercado como Pitanga. “O resultado é positivo, mas ainda há muito a ser feito”, completa.

Para Pitanga, contribuiu para o resultado brasileiro campanhas de conscientização promovidas por parcerias entre entidades como a própria BSA e a ABES (Associação Brasileira de Empresas de Software), além da existência de leis específicas sobre propriedade intelectual e sobre software. “Contudo, a redução no índice poderia ter sido maior se tivéssemos mais medidas de repressão”, conta Pitanga.
Na América Latina, o país é seguido por Colômbia e México, que registraram taxas de uso de software não licenciados de 48% e 49%, respectivamente. Os países com os percentuais mais altos foram Venezuela, com 89%, e Paraguai, com 83%. A taxa global aponta 37% de uso de softwares que não estão devidamente licenciados. O índice mais baixo é dos Estados Unidos, 15%, e o mais alto é o da Líbia, com 90% de softwares irregulares.

Um dos principais riscos ligados ao uso de softwares irregulares são os ataques cibernéticos. A cada segundo, surgem oito novas ameaças de malware. As empresas podem demorar até 243 dias para identificar um ataque e outros 50 para resolvê-lo. Esses ataques custam em média 2,4 milhões de dólares para a empresa, o que se traduz em uma baixa de 0,8% no PIB global.

Outras conclusões da pesquisa:

O uso de softwares não licenciados, embora tenha tido uma leve queda, ainda é muito abrangente. Os softwares não licenciados ainda são usados em todo o mundo a taxas alarmantes, representando 37% dos softwares instalados em computadores pessoais - uma queda de apenas 2% em relação a 2015.

CIOs relatam que softwares não licenciados são cada vez mais arriscados e caros. Os malwares de softwares não licenciados custam às empresas em todo o mundo quase US$ 359 bilhões por ano. Os CIOs relatam que evitar furto de dados e outras ameaças de segurança oriundas dos malwares é a principal razão para garantir que suas redes sejam totalmente licenciadas.
Melhorar a conformidade com os softwares é agora um facilitador econômico, além de um imperativo para a segurança. Quando as empresas tomam medidas pragmáticas para melhorar o gerenciamento de softwares, os lucros podem aumentar em até 11%.

As organizações podem tomar medidas significativas hoje mesmo para melhorar o gerenciamento de softwares. Estudos mostram que as organizações podem usufruir de até 30% de economia nos custos anuais com softwares ao implementarem um robusto programa de otimização de licenças de software e SAM.

Através de uma análise aprofundada, a pesquisa mostra que as empresas podem implementar medidas fortes, incluindo programas de SAM, para melhorar a maneira como gerenciam softwares, aumentando os lucros, diminuindo os riscos de segurança e ampliando as oportunidades.

O estudo completo está disponível aqui: https://we.tl/JzbNRCVDN4

 

Comentário (0) Hits: 6588

A inteligência de ameaças é necessária?

threat_research.jpg*Por Derek Manky
02/05/2018 - O compartilhamento de informações é um dos elementos mais importantes de qualquer estratégia de segurança. A possibilidade de comparar e analisar o dispositivo ou a rede que você está tentando proteger levando-se em conta as ameaças atualmente ativas é um recurso inestimável para implementar os recursos e as medidas apropriados para eliminar o alvo.

A meta é ir além do bloqueio de um ataque antes de atingir a rede e impedir que chegue ao objetivo final. Isso significa que sua estratégia de segurança também deve incluir a visualização e a interrupção de um ataque em qualquer momento da estrutura do ataque, desde a exploração inicial do sistema, passando pela penetração na rede, até a extração final dos dados. A inteligência também deve fornecer informações e contexto sobre as metodologias de ataque, como as ferramentas usadas para encobrir uma invasão, como um ataque se esconde no tráfego da rede ou evita a detecção, os tipos de dados que estão sendo roubados ou malware implementado e como um ataque se comunica com seu controlador. Por fim, a inteligência de ameaças precisa ser utilizada para responder a um ataque, seja para fornecer análise de investigações para uma recuperação completa ou para atribuir e processar os invasores.

Tipos de inteligência de ameaça

Para usar este tipo de inteligência, as organizações devem acessar várias fontes de inteligência de ameaças, que incluem:

1. Inteligência viabilizada compartilhada pelos fabricantes: Este é o tipo mais comum de inteligência de ameaças, na maioria das vezes obtida nas atualizações de segurança periódicas dos fabricantes, geralmente na forma de assinatura que pode detectar uma ameaça conhecida. Por exemplo, o Fortinet FortiGuard fornece análise e detecção de inteligência de ameaças para ficar à frente do cenário de ataque em rápida expansão.

2. Inteligência coletada de dispositivos e sistemas locais: Estabelecer uma linha básica do que seria o comportamento normal da rede permite determinar se alguma parte da rede está se comportando de maneira inadequada. Picos de dados, um dispositivo tentando entrar em contato com dispositivos com os quais não se comunica normalmente, aplicativos desconhecidos ou não reconhecidos em execução na rede ou dados coletados e armazenados em um local improvável são formas de inteligência local que podem ser usadas para identificar um ataque e quais dispositivos foram afetados.

3. Inteligência coletada de dispositivos e sistemas distribuídos: Esse tipo de inteligência pode ser coletado de outras partes da rede. Com a expansão das redes, novas oportunidades são criadas para a infiltração de ameaças na rede. Porém, como ambientes de rede diferentes, como redes virtuais ou ambientes de nuvem pública, geralmente executam ferramentas de segurança e rede separadas e geralmente isoladas, é essencial configurar um processo para a coleta centralizada e a correlação desses diferentes segmentos de inteligência.

4. Inteligência coletada de feeds de ameaças: A assinatura de feeds de ameaças públicos ou comerciais permite que as organizações aprimorem os dados coletados de seu próprio ambiente com informações em tempo real recebidas de uma atividade regional ou global. Muitos desses feeds podem fornecer inteligência específica desenvolvida para uma infraestrutura de segurança em particular. O Threat Intelligence Service (TIS) da Fortinet, por exemplo, adiciona informações de segurança personalizadas no Security Fabric, que fornece informações sobre o atual cenário global de ameaças e conecta essa inteligência ao ambiente de segurança específico de uma organização para determinar melhor como priorizar os recursos de segurança para enfrentar essas ameaças.

5. Inteligência compartilhada entre organizações do setor: Existem vários grupos que compartilham inteligência de ameaças, incluindo os ISACs (Centros de Compartilhamento e Análise de Informações) e os ISAOs (Organizações de Compartilhamento e Análise de Informações), que compartilham inteligência de ameaças entre organizações do mesmo setor, mercado vertical ou região geográfica. Essa inteligência é muito útil para analisar tendências e ameaças que afetam organizações do mesmo setor e que podem afetar a sua organização também.

6. Transferência de inteligência: Para que a inteligência de segurança seja eficaz, as organizações precisam de ferramentas que operem com os protocolos STIX e TAXII, que são a parte central do fornecimento desses feeds. O protocolo STIX pode ser usado com feeds brutos e personalizados e o protocolo TAXII atua como a camada de transporte.

7. Inteligência compartilhada entre fornecedores de soluções de segurança: O público nunca vê os compartilhamentos mais importantes de inteligência de ameaças. Como membro fundador da Cyber Threat Alliance (CTA), a Fortinet e outras organizações compartilham sua inteligência, seu conhecimento humano e suas estratégias para aumentar o nível de segurança. Embora não pareça intuitivo, esse esforço cooperativo é um testemunho da importância de compartilhar inteligência de ameaças. Essas organizações entendem que a oportunidade de reduzir o número de ameaças que colocam todos em risco é mais valiosa do que qualquer vantagem de manter esses dados somente para uso próprio.

A adoção de um processo eficaz de coleta e compartilhamento de inteligência de ameaças é um componente essencial de uma estratégia de cibersegurança; é tão importante quanto o firewall que você instalou na borda da rede ou a solução de segurança de dispositivos de usuários que você instalou nos computadores da sua empresa. Embora a inteligência seja importante, assim como o compartilhamento de ameaças, o acesso à inteligência viabilizada em tempo real ainda é essencial, aumentando o nível da inteligência de ameaças dessa maneira e compreendendo as ameaças tanto da sua rede distribuída quanto das fontes e pontos de vista de inteligência global. Porque compartilhar sua própria inteligência de ameaças com os outros aumenta a segurança de todos.

*Por Derek Manky é estrategista de segurança global da Fortinet

Comentário (0) Hits: 9064

PGR defende que ICMS sobre software é legal

contas.jpgLuís Osvaldo Grossmann, Convergência Digital
26/03/2018 - A Procuradoria Geral da República alinhou-se aos estados e defende como legal e constitucional a cobrança de ICMS na venda de programas de computador, inclusive as realizadas "por meio de transferência eletrônica de dados". A manifestação se deu em uma das três ações diretas de inconstitucionalidade, no caso contra Minas Gerais, que abordam o ICMS sobre o software no Supremo Tribunal Federal.

Para a procuradora Raquel Dodge, "se o software é posto para venda no comércio (seja por meio físico ou digital), incide ICMS. Se for desenvolvido por encomenda do adquirente, incide o ISS. A legislação mineira questionada, ao tratar de ICMS em operações com software não afasta essa conclusão".

No processo, a Confederação Nacional de Serviços alega que ao "exigir o ICMS sobre operações com software, sejam as realizadas por meio de transferência eletrônica de dados ou não, o estado de Minas Gerais, além de incorrer em nítida bitributação, criou nova hipótese de incidência do imposto".

O governo mineiro rebate e defende a constitucionalidade da incidência do ICMS sobre o "software de prateleira", seja por meio físico ou por transferência digital. A PGR replicou o mesmo argumento. "Operações envolvendo aquisição de softwares disponibilizados a consumidores em geral (por meio físico ou por transferência eletrônica de dados) se faz por ICMS e não por ISS. Logo, não há invasão de competência municipal por parte do estado de Minas Gerais. É, por conseguinte, infundada a alegação de bitributação do mesmo fato gerador por ISS e ICMS".

Comentário (0) Hits: 8059

ASSESPRO-SP: ”novo ICMS" sobre software é negativo

contas.jpgPor redação
28/02/2018 - A partir de abril de 2018, o governo de São Paulo pretende começar a cobrar ICMS sobre softwares produzidos por empresas do estado. A medida, que é decorrência de um decreto de inciativa do governador, promulgado sem a participação do legislativo estadual, poderá entrar em vigor, caso a proposta não seja revertida junto ao STF (Supremo Tribunal Federal). A ASSESPRO-SP (Associação Das Empresas Brasileiras de Tecnologia da Informação – regional São Paulo) tem se mobilizado juntamente com outras associações do setor para promoverem uma ação coletiva para apoiar no STF as duas ADIN’s (Ação Direta de Inconstitucionalidade), que a Confederação Nacional de Serviços (CNS) já está patrocinando junto ao Supremo contra a cobrança do ICMS sobre a comercialização de software.

A ASSESPRO-SP e das demais empresas unidas pela causa têm se mobilizado para provar que a cobrança do chamado “novo ICMS” sobre o software é inconstitucional, já que seu vigor acarretaria em uma bitributação, uma vez que a arrecadação executada sobre a produção de software é conduzida pelo ISS (imposto sobre serviços).

As pricipal alegaçação é a de que as empresas que pagam o ISS (imposto municipal) não devem recolher ICMS (tributo estadual). Com ambos impostos incidindo sobre o mesmo fato gerador, a bitributação é inconstitucional”, comenta Jeovani Ferreira Salomão, presidente da ASSESPRO NACIONAL.

Inconstitucionalidade

De acordo com o advogado Adriano Mendes, especializado em Direito Digital, Tecnologia e Empresarial, desde o ano passado o governo do estado de São Paulo começou a ressuscitar teses jurídicas e argumentos de que podem existir diferenças entre os programas de computador que são vendidos em larga escala e os que são feitos sob encomenda ou que necessitam de instalação e customização para o seu correto funcionamento. Embora em seu discurso, o foco do governo de São Paulo seja os aplicativos que estão disponíveis para download nas plataformas da Google Play e Apple Store, não é possível admitir mais de um imposto incidindo sobre o mesmo fato gerador.

Segundo Mendes, até 2.004 havia muita discussão jurídica se alguns tipos de software, chamados de “prateleira”, deveriam pagar ICMS ou ISS. Toda essa discussão caiu por terra com a edição da Lei Complementar 116, que está no mesmo nível da Constituição Federal.

De acordo com o adbogado, a única forma das empresas de software passarem a pagar ICMS por suas vendas é através da modificação da Lei Complementar 116/2004, que inclui expressamente que o licenciamento, cessão de direitos e outras atividades de TI são sempre classificadas como serviços e não mercadorias. “Enquanto a Lei Complementar não for modificada, as empresas de software continuam obrigadas às declarações para a prefeitura e pagamento do ISS. A cobrança adicional de outro imposto pelo mesmo fato gerador é considerada uma bitributação, proibida pelas nossas leis”, afirma Mendes.

Consequências para o setor

“Infelizmente, pelo que temos acompanhado, o governo de São Paulo pretende mesmo iniciar a cobrança, mesmo sem o correto amparo legal. Isto deve gerar uma enxurrada de ações judiciais aonde as empresas terão que depositar os valores em juízo para que seja analisado para qual ente e qual imposto deve ser pago”, explica o advogado Adriano Mendes.

Outra consequência possível é que o Estado pode começar a gerar fiscalizações e autuações, incluindo empresas de software no CADIN (Cadastro Informativo de créditos não quitados) e iniciando execuções fiscais que deverão ser defendidas por entender – de forma errada – que os impostos que criou não foram recolhidos.

“Entretanto, nenhuma empresa deve pagar o ICMS sobre o licenciamento de programas de computador para que não sofra autuações das respectivas prefeituras. A recomendação é que não se deve deixar de pagar o ISS. As empresas deverão verificar se as ações das associações e entidades de classe já propostas também servem para lhes proteger ou se será necessário entrar com algum pedido ou ação individual”, explica Mendes.


Comentário (0) Hits: 3472

Palo Alto Networks lança solução de segurança

magnifier_2.jpg29/01/2018 - A Palo Alto Networks, fornecedora de segurança da próxima geração, anuncia o Magnifier, uma aplicação baseada em nuvem, como serviço por assinatura, com recursos comportamentais analíticos fornecidos pelo Palo Alto Networks Application Framework , que permite às organizações identificar e prevenir ameaças rapidamente.

Como parte da Palo Alto Networks Next-Generation Security Platform, o Magnifier aplica recursos de machine learning para redes, endpoints e dados na nuvem, detectando de forma precisa e prevenindo ataques, abusos internos e comprometimento de endpoints na rede.

Invasores que acessam as redes corporativas podem roubar, modificar ou destruir dados sensíveis enquanto atuam como usuários legítimos. Frequentemente, eles também podem se infiltrar nas organizações e acessar as redes por meses e até anos, sem serem detectados. Além disso, o volume de alertas que os sistemas de gerenciamento legados produzem e a urgência de atuar com produtos em múltiplos pontos da rede para resolver os problemas de segurança criam sérios desafios para as equipes de cibersegurança, que tentam combater e atuar manualmente com todo esse cenário complexo de ataques e invasões.

Segundo relatório publicado pelo instituto de pesquisas Forrester em dezembro de 2017, "Five Steps to a Zero Trust Network," dos analistas Stephanie Balaouras, Chase Cunningham e Peter Cerrato, "as operações de segurança feitas manualmente retardam as respostas aos ataques e a detecção de brechas, deixando dados e sistemas vulneráveis e dando aos invasores tempo extra pra extrair mais dados e causar sérios danos nas redes".

O Magnifier é a primeira solução que aplica recursos e comportamentos analíticos baseados em nuvem, que identificam e previnem automaticamente os ataques às redes. Integrado à plataforma Next-Generation Security Platform e ao Palo Alto Networks Logging Service, ele garante recursos altamente precisos de detecção que são totalmente escaláveis, ágeis e baseados em machine learning na nuvem.

"A inclusão do Magnifier na Next-Generation Security Platform da Palo Alto oferece uma abordagem efetiva e escalável para comportamentos analíticos e identificação de ameaças. A partir de agora, podemos encontrar ciberameaças que não eram detectadas antes e fazer a prevenção correta antes que elas impactem os negócios". - John Woods, vice-presidente, Information Security, PDX Inc.

"O Magnifier, desenvolvido sobre a infraestrutura da Palo Alto Networks, irá melhorar a detecção de ameaças e a resposta aos incidentes de maneira ordenada. Os recursos comportamentais analíticos irão ajudar os CISOs a introduzir avanços na automação dos processos operacionais de segurança e a ganhar com os benefícios dessa integração, sem precisar fazer toda o processo sozinhos". -Jon Oltsik, analista principal sênior do Enterprise Strategy Group.

"O Magnifier automatiza o processo de prevenção de ciberataques ao integrar o melhor das capacidades comportamentais analíticas na plataforma Palo Alto Networks Next-Generation Security. Ele permitirá aos times de segurança uma grande melhora de atuação, enquanto economizam recursos e tempo ao utilizar os benefícios do machine learning e identificar automaticamente potenciais ciberataques que podem ser prevenidos". - Lee Klarich, chief product officer, Palo Alto Networks

As novas habilidades analíticas do Magnifier incluem:

- Precisão e Eficiência: O Magnifier analisa os dados dos firewalls de próxima geração e o serviço de análise de endpoints Pathfinder para definir o perfil dos usuários e o comportamento do dispositivo. Como seus algoritmos de detecção são customizados pelos logs enviados pela plataforma Next-Generation Security , ele pode aplicar precisamente os recursos de machine learning e os algoritmos de detecção de ataques comparados à inspeção genérica de arquivos de logs. Como resultado, o Magnifier gera um número pequeno de alertas que são altamente precisos.

- Investigação automatizada: O Magnifier aumenta os esforços de busca ao interrogar automaticamente os endpoints suspeitos para determinar quais processos são responsáveis pelos comportamentos de ataques. Depois, ele analisa os processos, usando o serviço na nuvem Palo Alto Networks WildFire®, para determinar se eles são maliciosos. A análise de endpoints do Magnifier e os alertas detalhados com informações minuciosas permitem que os analistas de segurança revisem e respondam aos incidentes imediatamente.

- Escala, agilidade e facilidade de implementação: Os clientes da Palo Alto Networks podem implementar os novos recursos analíticos comportamentais simplesmente habilitando a aplicação Magnifier com o serviço baseado em nuvem Palo Alto Networks Logging, usando seus firewalls Palo Alto como sensores para coleta em telemetria de dados das suas redes, sem precisar comprar ou adicionar novos dispositivos à rede ou se conectar à outros servidores.

Disponibilidade

O Magnifier é um serviço baseado em assinatura, que estará disponível em todo o mundo a partir de Fevereiro de 2018.

Comentário (0) Hits: 2537

Vivo reforça segurança contra ameaças digitais

fraude_web.jpg19/10/2017 - Vivo se une a Fortinet para lançar solução completa de segurança que une tecnologia referência do mercado ao time de especialistas da Vivo - responsável pela manutenção e gerenciamento remoto 24 horas por dia, sem custo adicional

A Vivo Empresas – área voltada ao segmento B2B da Telefônica Brasil – lança o Managed Security Services (MSS) Avançado, solução que traz para as pequenas e médias empresas (PMEs), filiais e prefeituras, uma camada de segurança capaz de filtrar todo o tráfego entre a rede da empresa/instituição e a internet.

Além de proteger contra as principais ameaças online, o novo serviço da Vivo possibilita a troca de informações de forma segura com filiais e terceiros por meio de canais criptografados; controla a navegação web impedindo acesso a sites maliciosos; eleva o rendimento dos computadores ao identificar e bloquear vírus na rede e aumenta a qualidade da internet, uma vez que disponibiliza mais banda para sites e aplicações importantes para aumentar o desempenho.

O MSS Avançado é instalado, configurado e gerenciado por um time de especialistas em segurança - sempre atualizado com as últimas novidades do mercado para garantir a melhor proteção - a partir do Centro de Operações de Segurança da Telefônica, exclusivo para clientes B2B, sem nenhum custo adicional.

“Trouxemos o mesmo conceito de proteção utilizado pelas grandes empresas e governos para proteger ambientes de TI complexos para a realidade das pequenas e médias empresas, que muitas vezes se tornam alvos por não contar com nenhuma prevenção de segurança, seja pelo custo ou por falta de profissionais especializados”, explica o diretor de Produtos e Marketing B2B da Vivo Empresas, Ricardo Hobbs.

Com preços competitivos e acessíveis para todos os tipos de negócios, o MSS Avançado chega ao mercado em três versões, que variam de acordo com o tamanho da empresa e custam a partir de R$299 por mês. A instalação é feita por uma equipe especializada o que dá ao cliente a tranquilidade de ter o suporte da operadora fim a fim.

As duas empresas, Vivo e Fortinet, possuem uma parceria estratégica para o fornecimento de soluções tecnológicas avançadas em segurança da informação. A Vivo conta com a certificação Platinum em Managed Security Services no programa de parceria da Fortinet, através da sua unidade global de cyber segurança, a ElevenPaths, reforçando ainda mais o compromisso da empresa na adoção das melhores práticas de mercado.
 

Comentário (0) Hits: 3298

newsletter buton