O que muda para o cidadão com a nova lei de crimes cibernéticos?

Para nós, profissionais da área de segurança, a falta de legislação específica sempre foi um fator que impediu a punição dos responsáveis por atos considerados ilícitos. Atuamos bem no âmbito da tecnologia, mas quando finalmente conseguimos encontrar os culpados, parece que todo o trabalho foi em vão.

Tirando alguns casos de sucesso, o que reina no mundo digital é uma sensação de impunidade quanto ao “crime digital”. Quando esse “crime digital” evolui para um “crime no mundo real”, punir os agressores se torna menos complexo, entretanto, quando ele acontece apenas no âmbito digital a coisa muda de figura.

As provas de perícia passam a ser fundamentais nestes casos e, mesmo assim, em muitos aspectos, existem falhas nas tecnologias que usamos em nosso dia a dia. As mesmas podem ser utilizadas para propiciarem dúvidas às referidas provas.

As novas leis trazem um horizonte diferente para esta questão específica, tratando de forma objetiva muitos dos temas que discutimos. Os principais pontos que foram alterados com a nova legislação e que devem ser observados são:

a) Passa a ser crime o simples ato de interromper (os nossos conhecidos DDOS) os serviços de utilidade pública em mídias disponíveis na Internet. Mas atenção: se sua empresa for atacada, você deve provar que o serviço prestado é de utilidade pública;

b) Os cartões de crédito e débito passam a ser um documento particular. Ações como roubo, adulteração ou falsificação dos mesmos passam a ser regidas por lei já existente;

c) Indicada a criação de setores e equipes especializadas no combate à ação delituosa em rede de computadores, dispositivo de comunicação ou sistema informatizado nos órgãos da polícia judiciária, propiciando a médio e longo prazo o aprimoramento do tema dentro destas instituições;

d) Inclui também a possibilidade de bloqueio de transmissões ou publicações em qualquer meio no intuito de praticar, induzir ou incitar a discriminação ou preconceito de raça, cor, etnia, religião ou procedência nacional;

e) O simples fato de invadir um dispositivo e obter informações privadas, com ou sem intenção de utilizá-las de forma ilícita, passa a ser crime também. Assim, senhas, documentos sigilosos, conversas particulares e correspondência, se forem encontrados de posse de terceiros, sem autorização, já são indicados como crime, independente de serem ou não utilizados para algo ilícito;

f) Desenvolver e distribuir softwares de grampo, escutas ou controle remoto para fins ilícitos também passam a ser considerados crime.

Em resumo, “crime digital”, que ocorre apenas no meio digital, já começa a ser considerado como “crime real” (Na verdade, eu nunca gostei desta diferenciação, pois para mim, o “virtual” ou “digital”, não diferem do “mundo real”, são apenas meios diferentes, regidos pelas mesmas regras humanas).

Estas modificações somadas trazem uma perspectiva nova para os profissionais de segurança de TI. Antes, nossos limites eram balizados única e exclusivamente pela ética, moral e caráter. Entretanto, isso esta mudando gradativamente.

Não só o Brasil, mas outros governos, começaram a fazer ações no intuito de apertar o cerco aos criminosos digitais, desde o grande ataque de DDOS orquestrado pelo grupo Anonymous.

Mudanças de legislação, criação de grupos de resposta e acordos internacionais teem se intensificado.

Os atos dos profissionais de TI tendem, cada vez mais, a serem regidos por normas rígidas e, nesse momento de transição, podem surgir algumas situações estranhas na aplicação da lei. Observemos algumas situações existentes atualmente:

a) Existem muitos softwares no mercado que fazem operações de armazenagem de senhas em áreas temporárias, seja em memória ou disco, para facilitar o uso de sistemas e velocidade - as mesmas senhas que deveriam ser secretas ou armazenadas em dispositivos seguros ou pessoais;

b) Softwares de controle remoto são utilizados por equipes de manutenção para agilizar atendimentos - os mesmos softwares que podem ser utilizados para fins ilícitos;

c) Softwares fazem armazenamento de paginas WWW e outros protocolos (aceleradores de WAN, por exemplo) para melhorar performance - dados que podem ser privados e que não poderiam ser armazenados em outros dispositivos;

d) Sistemas de registro (log) de operação são utilizados para armazenar históricos de operação para avaliação de sistemas – lista de ações que podem ser privadas e que não poderiam estar armazenadas em outros dispositivos;

e) Softwares de invasão e controle são desenvolvidos em universidades para testes de segurança - os mesmos utilizados por hackers para invadir sistemas;

f) Instituições financeiras, governos e instituições privadas que ainda tem bancos de dados de senhas em claro por causa dos sistemas legados - senhas utilizadas em conjunto com cartões que passaram a ser documentos privados;

g) E para variar, os sistemas em nuvem (cloud) que estão no exterior - onde a legislação pode não ser aplicada.

A lista é enorme! A distância entre o que a tecnologia oferece como segurança para uso comum e as necessidades informacionais da sociedade crescem a cada dia. A necessidade de comunicação ainda prevalece sobre a segurança.

No final das contas, tudo dependerá de como os juristas interpretem a aplicação da lei. Juristas que em primeiro momento, não tem conhecimento dos aspectos técnicos e dos limites da tecnologia. Vai ser, no mínimo, interessante e curioso observar este processo evolutivo.

Com certeza, ainda vamos avançar muito, mas já demos os primeiros passos. Afinal, já somos uma sociedade digital há algum tempo.

Clique nas leis abaixo e leia na integra.

Lei nº 12.737 - Lei Carolina Dieckmann

Lei nº 12.735 - Lei Azeredo

A qualidade de software como base competitiva

  Em postagens anteriores, tivemos muitas discussões sobre como a qualidade do desenvolvimento de software influencia na segurança da informação. Pensando nisso, estou postando um resumo da tese de especialização que o colega Lucas Pereira elaborou e publicou no site http://testelabs.blogspot.com.
Boa leitura.

Nos dias atuais, com um mercado altamente competitivo, que reúne vários fabricantes e fornecedores de diversos tipos de produtos e serviços, a qualidade deixa de ser um diferencial competitivo e passa a ser um item básico de sobrevivência das organizações, uma necessidade permanente. Desta forma, uma empresa que forneça bens e/ou serviços com baixa qualidade corre um sério risco de ser descartada pelo mercado consumidor.

Devido a esse mercado altamente competitivo, as empresas passaram a se preocupar em adotar as técnicas mais modernas de qualidade e produtividade para combinar os recursos disponíveis de maneira a aumentar o seu volume de negócios, garantindo a satisfação dos seus clientes e suas margens de lucro.

Em contrapartida, se as empresas não entregam novos produtos ou funcionalidades aos clientes, rapidamente se tornam obsoletas. Assim, o grande desafio é equilibrar as ações para entregar constantemente novos produtos com qualidade e custos adequados. 

Esta teoria é facilmente compreendida através da triângulo da qualidade (TRIPLE CONSTRAINT). Uma estrutura para a avaliação de demandas conflitantes, um triângulo em que um dos lados ou um dos cantos representa um dos parâmetros que está sendo gerenciado pela equipe do projeto. (PMI, 2004:375) 

O triângulo trata do gerenciamento de necessidades conflitantes do projeto, como o escopo, o tempo e o custo. No que tange a qualidade do projeto é necessário encontrar o balanceamento desses três fatores.

Para encontrar esse equilíbrio existem diversas ferramentas como, por exemplo, o PDCA (Plan, Do, Check, Action), o KAMBAN e o 05 Porquês, que têm a função de ajudar as empresas a atingir a excelência nos seus projetos, melhorando continuamente e aplicando valor ao seu produto.

Existem inúmeras vantagens para se efetuar testes de qualidade nos softwares desenvolvidos. A principal delas é a satisfação dos clientes, pois reduzindo o número de reclamações deles, o produto passa a ser indicado e a imagem da empresa melhora a cada dia. Com isso, surge a fidelização em relação aos produtos, a maturidade e estabilidade dos softwares passam a ser atingidas rapidamente e os custos com desenvolvimento e manutenção são reduzidos, gerando maior receita à empresa.

Com base na pesquisa e na observação das empresas estudadas, seguem as recomendações sobre a estrutura organizacional que melhor se adéquam ao departamento de testes de software:

- Não é recomendado que o Departamento de Qualidade e Testes de Software seja coordenado pela mesma gerência da Equipe de Desenvolvimento, pois pode haver conflitos de interesse;

- O departamento de Testes de Software deve estar preferencialmente abaixo de uma diretoria específica de qualidade da empresa;

- A estrutura interna do Departamento de Teste de Software deve seguir os padrões de certificações existentes, citadas anteriormente, que são:

• Líder do Projeto de Testes: responsável pela liderança de um projeto de teste específico, normalmente relacionado a um sistema de desenvolvimento, seja um projeto novo ou em manutenção (RIOS e MOREIRA, 2006);

• Engenheiro/Arquiteto de Teste: responsável pela montagem da infraestrutura de teste, montando o ambiente de teste, escolhendo as ferramentas de teste e preparando a equipe para executar o seu trabalho neste ambiente de teste;

• Analista de Teste: responsável por modelar, especificar e documentar os casos de testes que devem ser realizados, em resumo esta função cria os Planos de Testes que o testador irá executar;

• Testador: responsável por executar os testes e analisar os resultados obtidos, seguindo parâmetros previamente definidos no Plano de Testes.

Para o profissional, temos algumas certificações no mercado. São elas:

Para as empresas desenvolvedoras temos:

Bullying, mais uma ameaça à segurança das corporações.

A palavra bullying apareceu em nosso país há pouco tempo. Em épocas passadas – as quais remontam à minha infância – ser chamado de gordinho, narigudo, magrelo ou baixinho causava no máximo uma chateação temporária e em poucos casos levava a traumas incuráveis. Então, o que exatamente fez uma brincadeira sem graça transformar-se em bullying?

Imagem: meioambientetecnico.blogspot.com.br

Note, vez ou outra, todos nós corremos o risco de fazer uma brincadeira infeliz e acabar desagradando alguém, seja propositalmente ou não. Quando percebemos o incômodo do outro, a maioria de nós pede desculpas. Entretanto, há pessoas que continuam insistindo na mesma brincadeira de forma agressiva e sistêmica, isso é bullying. 

Essa insistência caracteriza uma intenção de humilhar e prejudicar o outro em situações que vão além do contexto da brincadeira. Foi o que aconteceu com a inspetora escolar Karen Klein. Vítima de insultos por parte dos alunos, sua história repercutiu na Internet e causou grande comoção.  

O aumento progressivo dessas situações de violência levou as autoridades, inclusive, a tomar algumas atitudes mais severas. No Distrito Federal, por exemplo, já existe uma iniciativa legal para combater esse tipo de comportamento dentro das escolas. 

No ambiente corporativo, episódios de desrespeito também tendem a ocorrer cada vez mais, afinal o estudante de hoje é o profissional de amanhã. Muitos casos têm chegado à Justiça e denunciam profissionais que ameaçam divulgar informações da empresa, como áudios de reunião ou fotos/vídeos de chefia em situações comprometedores, caso sejam demitidos. Essas situações podem ser flagradas entre colaboradores ou entre chefes e subordinados.

A atual facilidade de se disponibilizar um dado (áudio ou vídeo) pela Internet passou a trazer prejuízos maiores às empresas.  Isso porque o conteúdo do material divulgado nem precisa ser altamente relevante à corporação para causar problemas, basta que a informação esteja contextualizada de modo a prejudicar a empresa ou a pessoa.   

Por exemplo, se o presidente de uma determinada marca de bebida for fotografado tomando uma bebida do concorrente, esta foto pode ser facilmente utilizada como mecanismo de pressão. Caso vá para a Internet, o dano será do ocupante do cargo, mas atingirá também a empresa, em consequência da exibição pública de seu principal diretor consumindo o produto do concorrente.

Do ponto de vista da segurança da informação, essa mudança no comportamento social obriga as empresas a adotar medidas preventivas em relação a determinadas atitudes. Já que, agora, a exposição do indivíduo pode afetar diretamente o negócio, comprometendo tanto a imagem da corporação quanto as relações internas. 

Então, o que as empresas podem fazer para evitar certos transtornos? Trabalhos realizados com o intuito de minimizar a fofoca ou estabelecer comportamentos adequados dentro das instituições devem ser ampliados pela equipe de RH, principalmente no que diz respeito às mídias sociais e o impacto direto delas no trabalho de cada um. Campanhas de conscientização e normatização sobre o assunto precisam ser inseridas nas cartilhas. É necessário que o problema seja tratado corporativamente, de forma que, caso algo aconteça, as vítimas possam sentir-se seguras e informar suas chefias. 

Se a empresa ficar ciente de algum episódio interno que possa ser considerado bullying, ela deve tomar ações imediatas para conter o problema, levando-o às autoridades competentes. É preciso ter em mente que mesmo que o caso tenha apenas repercussão interna, as vítimas podem processar a empresa por conivência, assim a normatização e o registro documental imediato do ocorrido devem ser providenciados.  

Desenvolvimento aberto e backdoors

Recentemente, tive uma dessas discussões apaixonadas sobre desenvolvimento aberto – das quais já não costumo mais ter paciência para participar.  Aprendi com o tempo que a área de tecnologia não deve ser movida por paixões, mas por decisões práticas e objetivas, que levem em consideração o ambiente ao redor. E partindo desse princípio, pode-se dizer que a grande maioria das técnicas e tecnologias é aplicável. 

Imagem: slashgear.com

Desenvolvimento aberto (código aberto e software livre são utilizados popularmente como sinônimos, o que não exatamente apropriado) é uma forma de desenvolvimento de software, nada mais. Nem é preciso entrar nos meandros da discussão, porque ela agrega muito pouco no quesito segurança e nada, nos paradigmas fundamentais da programação. 

O desafio atual da segurança no desenvolvimento reside naquela clássica questão de se saber o que realmente um código está fazendo (por exemplo, se ele está ou não em looping), um problema sem solução.

Hoje, temos ferramentas que “fiscalizam” as melhores práticas de programação, capazes de detectar, em tempo real, um bom nível de erros de codificação. Mas no que diz respeito ao problema apresentado, são incompletas em sua funcionalidade. No final das contas, pressupõe-se que a intervenção humana ainda é necessária. 

O principal argumento da suposta segurança dos sistemas abertos baseia-se na abertura e na visualização do código por milhões de pessoas. A alegação apresenta um componente de obviedade tentador. Afinal, algo visto e validado por milhões de pessoas deve ser mais seguro do que aquilo que ficou restrito a duas ou três. Mas a realidade é outra. 

O código aberto não é nenhuma novidade, existe há muito tempo. Um exemplo clássico foi o bug da pilha TCP/IP que atingiu 100% dos Sistemas Operacionais, há mais de 10 anos.  Ou seja, todos os fornecedores tinham o mesmo bug. Isso significa que utilizaram o mesmo código, fatalmente derivado de um BSD, que era aberto, livre para uso. 

Ainda que o código tenha sido visto por milhões de pessoas de diferentes corporações, o bug existiu por muito tempo. Então, por que, ao olharem para o código, não viram o bug?

Muitas pessoas confundem a velocidade na correção de um problema de segurança com a inexistência dele.  Um grande equívoco! Já que a agilidade em corrigi-lo está vinculada diretamente ao compromisso do fornecedor em fazê-lo, seja ele aberto ou fechado. 

Assim, conclui-se que o sistema não está livre de problemas de segurança, já que os fornecedores, abertos ou fechados, têm esses mecanismos de fornecimento.

Então, onde estão os analistas de código? Por que o código aberto não é mais seguro?

Se oferecesse maior segurança, o software livre (baseado em desenvolvimento aberto) não teria bugs. Todos podem visualizar o código, entretanto 99,9999% dos bugs são descobertos em tempo de execução na maioria dos sistemas, e não com análise de código.  

Analisar o código, aliás, é algo mais complexo do que desenvolver o próprio código. Não existe um processo de automação que diga o que um código está fazendo. Além disso, já se tem poucas pessoas desenvolvendo código em comparação às pessoas que usam os produtos e, talvez, praticamente ninguém verificando.

Podemos até fazer uma analogia com os processos de compra do Governo. Todos eles são públicos e estão disponíveis para a população verificar. Nem por isso o número de problemas apresentados na televisão em relação a esses procedimentos diminui. A população em geral que tem acesso a tais processos não tem capacidade de avaliá-los, apesar de pagar por eles e usufruir de seu resultado.

Para piorar (no que diz respeito à segurança), temos as bibliotecas de terceiros, amplamente usadas, as BIOS de computador e os sistemas de apoio embarcados para processamentos especializados (FPGA, por exemplo). Todos, livres ou não, com possibilidades de backdoors. O mercado sempre foi colaborativo, não se esqueçam desse ponto. Bibliotecas, integrações e compartilhamento de código entre sistemas sempre existiram. Todas essas camadas de apoio, que são ligadas à execução de um sistema, podem esconder brechas de segurança.

Quantas vezes você, leitor, verificou o código aberto de alguma aplicação para ver se existe algo suspeito nele? Será que este “IF” esconde um backdoor? Quantas pessoas você conhece que já fizeram isso? Eu não me lembro de nenhuma nos últimos 15 anos – pelo menos que tenha descoberto algo  relevante. Conheci muita gente que o fez para corrigir um problema ou aprender como se faz algo, mas nunca para tirar conclusões sobre aspectos de segurança ou corretude do sistema.

Como se já não bastasse a dificuldade técnica na avaliação de um código feito por outra pessoa (em ambientes de desenvolvimento essa é uma reclamação constante de novos programadores que entram na equipe), ainda existe a possibilidade de estarem escondidas entre os códigos, ações não tão óbvias.

Lembro de um campeonato que existia na época de faculdade, cujo objetivo era desenvolver um programa em C que parecia fazer algo específico, mas, na verdade, escondia outras operações. Havia também uma competição que premiava o programa em C mais “confuso”, de modo que, ao ser lido, o leitor não pudesse saber o que ele fazia. Um dos requisitos desses campeonatos era que o programa fosse pequeno, capaz de ser analisado por uma pessoa. 

Se é possível esconder códigos em programas pequenos, pense agora no volume de códigos existentes atualmente! 

Um backdoor pode ser apenas uma atribuição errônea de uma variável ou um conjunto de 03 linhas de código, bem diferente de milhares de linhas de código, como ocorreu no FLAME. 

Resiliência: Os backdoors vieram para ficar, sejam por erros de programação ou inserção proposital.

Espiões virtuais, Flame e Stuxnet - o que isso muda para o seu negócio?

Imagem: g1.com.br

Comecei a estudar e trabalhar na área de informática há algum tempo, e, logo no início, ficava admirado com a forma com que os vírus e trojans se comportavam. Sem nem mesmo saber como “aquilo” funcionava, não era difícil imaginar as potenciais aplicações desses dispositivos para espionagens e grampos. De forma acadêmica e experimental, nossa turma de computação da UNB (Universidade de Brasília) já desenvolvia projetos de vírus não detectáveis, de grampos em rede Novell e outras ferramentas computacionais, antes mesmo desse assunto vir a público, em meados de 1995.

A espionagem e os grampos não são novidades. Ganharam muita força no decorrer da Guerra Fria em função do avanço da tecnologia e do volume das informações trafegadas.

Quando comecei a proferir palestras sobre tecnologia de segurança nacional, há mais de 15 anos, sempre incluía um ou dois slides sobre backdoors de aplicação e utilização de vírus para espionagem e controle de maquinário. As reações eram diversas. No âmbito militar, a possibilidade era considerada, mas a maior preocupação ainda era a criptografia das comunicações. Para o público civil no Brasil, o anúncio soava mais como uma teoria da conspiração, algo próximo à ficção. No fundo, gerava um desconforto ao ouvinte admitir a hipótese de uma aquisição de tecnologia com backdoor proposital ou qualquer outro tipo de furo de segurança inserido “já de fábrica”. Nosso parque de segurança digital ainda é hoje massivamente dominado por produtos estrangeiros, sem nenhum controle de entrada no país.

A incapacidade dos antivírus de detectar esse tipo de invasão é conhecida há muito tempo pelo meio especializado. Um pouco pela questão tecnológica e um pouco pelo desejo do usuário de ter a liberdade de utilizar seu dispositivo sem restrição. É a máxima da segurança versus a liberdade.

Bem, creio que a suposta teoria da conspiração não seja mais teoria, ou alguém tem alguma dúvida?

Flame e Stuxnet são um marco na segurança da informação, porque mostram à sociedade civil aquilo que sempre comentamos: a era dos espiões digitais chegou para ficar.

A ficção vira realidade. O Grande Irmão (Big Brother - livro 1984, George Orwell) digital está agora em computadores e smartfones, não mais apenas nas câmeras das estradas e prédios. Como em Jogos de Guerra (WarGames, filme de ficção científica de 1983 – Lawrence Lasker e Walter F. Parkes – no qual um estudante invade um sistema via modem e é capaz de disparar mísseis e começar uma 3ª grande guerra), hoje uma série de dispositivos, desde elevadores a centrífugas nucleares, pode ser controlada por software.

Flame e Stuxnet não são brinquedos desenvolvidos por estudantes curiosos, magricelas de óculos de “fundo de garrafa” ou gordinhos viciados em video game. São armas de combate bem estruturadas e direcionadas, não coincidentemente, ao mundo árabe.

    Imagem: g1.com.br

A estrutura desses vírus tem pontos em comum, o que sugere projetos desencadeados por uma mesma equipe ou uma demanda de um mesmo cliente. Sua capacidade de esconder-se de sistemas de segurança, multiplicar-se apenas em alvos pré-estabelecidos através de comandos remotos e sua modularidade para adicionar novas funções pressupõem uma equipe organizada e um projeto bem estruturado, com manutenção constante, já que os softwares de defesa mudam o tempo todo.

Não me causaria espanto se descobríssemos que esses dois sistemas (já não considero que sejam apenas vírus, como alguns meios de comunicação tentam convencer o público leigo) fazem parte de uma iniciativa governamental, alocando uma força tarefa não-oficial (até porque seria muito ruim ter funcionários de carreira envolvidos nesse tipo de desenvolvimento). Também não ficaria surpreso se encontrássemos “contribuições diversas” de empresas que hoje fornecem soluções de segurança para a sua corporação, inclusive.

Afinal, o que o mercado corporativo tem a ver com tudo isso?

Na realidade, essa tecnologia já está disponível mercadologicamente. São os famosos SPY Software, que podem ser baixados aos montes pela Internet. Seus grandes pontos falhos são a falta de sofisticação, o amadorismo no seu desenvolvimento e a falta de automação. O esforço e risco para se chegar no nível do Flame e do Stuxnet, em um mercado ainda não dimensionado, é alto, apenas tateado por visionários com muito tempo e dinheiro para gastar. 

Como toda tecnologia, o preço tende a cair com o tempo e as técnicas tendem a se tornar populares e disponíveis. Logo aparecerão novos Flames e Stuxnets por aí, focados em roubar informações específicas de empresas e instituições, com um grau de automatização razoável.

Isso afetará diretamente a forma como as empresas lidarão no futuro com seus móbiles e demais ativos de informática. O risco de ter suas informações roubadas, de forma massiva e automatizada, é uma realidade, o final de um filme de tragédia. Agora, temos que pensar em como mudar esse desfecho, transformando a tragédia em comédia.

Quanto ao Flame e ao Stuxnet, como no final de toda boa teoria da conspiração, talvez algum “hacker” apareça, acusado de ser o autor dessa façanha, a fim de evitar qualquer incidente internacional. Seria, no mínimo, um grande final cinematográfico, digno de James Cameron.  

Gerações X e Y nas empresas

Nos últimos meses temos apresentado várias palestras sobre segurança em mídias sociais e o foco de uma dessas apresentações é a Geração Y.

A Geração Y, grosso modo, refere-se às pessoas nascidas entre meados da década de 70 e o início dos anos 90. Na prática, é a 1ª geração que está usufruindo desde cedo de todos os benefícios da tecnologia, principalmente a relativa à comunicação como: TV, Internet e dispositivos móveis. Resumindo, não estão habituados com o uso de fax ou de fitas cassete. Não viveriam sem e-mails e redes sociais.

Alguns estudiosos dizem que a Geração Y não existe, pois anseiam pelas mesmas coisas que todas as outras gerações. (*)  Mas, então, o que muda? Acredito que essa diferença seja sutil e não dramática, afinal somos seres humanos e temos necessidades semelhantes. Podemos constatar que a maior diferença está na forma de atender a esses anseios. São pequenos detalhes que, somados, confundem a cabeça das pessoas e dificultam a condução dos projetos.

Observamos que, no ambiente de trabalho, os “Ys” tendem a não utilizar, nem gerar manuais. O processo de aprendizagem é baseado na tentativa e erro. Além disso, muitas vezes, não planejam suas atividades, buscando o improviso com certo grau de impaciência em relação aos resultados e ao tempo necessário para atingi-los.  

Tal ansiedade e impaciência (características da juventude), talvez sejam geradas em função de uma necessidade de ter voz ativa nas corporações e também por não gostarem de autoritarismo. Como a maioria das empresas segue modelos antiquados de gestão, baseados na hierarquia e no autoritarismo, essas características acabam sendo vistas como defeito e não como qualidade.

Outros pontos que distinguem a Geração Y são a grande familiaridade com a tecnologia e, principalmente, a maior proximidade com os pais. Essa geração fica mais tempo morando com os pais. Eu, por exemplo, saí de casa aos 18 anos e hoje percebo profissionais de 30 ou 35 anos, com relacionamentos estáveis, que ainda moram com os pais.

Vale ressaltar que as datas atribuídas ao surgimento das Gerações X e Y podem variar de país para país. Note, existem dois fatores preponderantes nesse aspecto: econômico (crescimento econômico e capacidade de consumo elevada) e tecnológico (aderência à tecnologia e boa infraestrutura de comunicação).  

Assim, em diferentes partes do globo podemos encontrar períodos distintos de transição de X para Y. Podem existir locais no mundo onde a Geração X ainda nem surgiu, não? Por exemplo, não esperem uma Geração Y em um país predominantemente agrícola, com baixa aderência à tecnologia e pouca infraestrutura de comunicação. Podem até existir indivíduos com características semelhantes às dos membros da Geração Y, mas para o fenômeno ser relevante nas relações de trabalho deve existir uma massa crítica.

No Brasil, o tema ganhou força a partir de 2005, justamente porque estamos vivendo um momento econômico de crescimento. Melhor infraestrutura de comunicação é um aspecto fundamental neste caso. Isso significa que existe mais espaço para ser um Y. As ofertas de emprego e salário aumentam e o preço da tecnologia cai. O acesso à informação fica melhor e tudo isso passa a ser mais acessível para um volume maior da população.

Entretanto, em países onde a crise é forte, a Geração Y está tendo, pela primeira vez, que lutar para conseguir o que quer. Agora, pode ser preciso aceitar empregos e salários não desejados, abrindo mão de algumas facilidades e de algumas de suas premissas.

Existe, de fato, no mercado atual, certo “endeusamento” da condição de Y. Assim, todo mundo quer ser Y. É algo mais relacionado à mídia ou moda do que uma necessidade real. Os aspectos da criatividade têm maior relação com uma melhor adaptação à tecnologia do que com o talento em si. Afinal, pessoas talentosas sempre existiram.

Não devemos confundir capacidade técnica e facilidade para utilizar a tecnologia, com capacidade de conduzir um projeto, liderar pessoas e entregar produtos e serviços. Nisso a Geração X é muito boa. Afinal, tudo que a Y usa hoje como ferramenta, foi entregue pela Geração X. (**) Entretanto, se o assunto envolve evolução da tecnologia, novos comportamentos, quebra de paradigmas e geração de novas ideias, talvez a Y seja a mais indicada.

Para os gestores, sejam eles de qualquer geração, o principal desafio é segurar essa moçada e mantê-la na estrada. A primeira coisa a ser feita pelo gestor é se atualizar sobre tudo em relação à tecnologia e à cultura. Isso mesmo, cultura! Música, roupa, estilo e modo de agir e pensar. Assim, a comunicação fica mais fácil. Talvez você, caso seja um X, até goste no final das contas. Se for um Y tem que se manter atualizado, pois hoje as coisas mudam muito rápido e a geração Z logo estará batendo na porta das corporações.

Em modelos de gestão nos quais indivíduos da Geração Y estejam envolvidos, para que você, gestor, tenha sucesso, procure adotar as seguintes ações:

01) Os gestores devem ter clareza e objetividade para liderar esse pessoal. Os “Ys” gostam de informações precisas e técnicas, por isso as instruções devem ser embasadas e diretas;

02) A Geração Y só obedece aqueles que admira, portanto, não adianta impor o modelo de autoritarismo. Mostrar que chefia e subordinados fazem parte da mesma equipe e que juntos atingirão as metas, é o que eles querem;

03) É preciso dar feedback a eles, de maneira informal e clara, sem muitos rodeios. Eles gostam de se sentir a vontade para conversar com o líder;

04) É muito importante que os gestores deem liberdade para os jovens expressarem suas opiniões e ideias. Por que não colocar algumas delas em prática se forem realmente boas? Isso os motiva e eles se sentem prestigiados e valorizados dessa forma.

E se pensarmos também nas colaborações dos usuários “Ys”?

Criando um grupo para auxiliar no planejamento e execução de um projeto, podemos incluir os “Ys” formadores de opinião. Você poderá trazer questões para serem discutidas e decididas pelo grupo. Pode inclusive dar certo grau de poder para o grupo. 

É uma ideia interessante, principalmente se esse grupo permanecer durante a execução ou implementação do projeto. Assim, além de contribuir com o projeto em sua concepção, isso deve melhorar o processo de feedback e minimizar as resistências internas de toda a equipe.

Desta forma, podemos canalizar as características questionadoras e a onda colaborativa que existe hoje no mercado para o bem do projeto.

Acredito que o modelo ideal de equipe é aquele em que conseguimos ter um balanço entre as várias gerações, no qual cada um atue, de acordo com o seu perfil, onde possa ser mais eficiente.

Esse é o grande desafio de hoje.

Notas

(*) Uma pesquisa realizada pelo professor Jean Pralong, da Escola de Negócios, em Rouen, na França (publicado na Revue Internationale de Psychosociologie em 2010), afirma que “não há diferença de gerações entre as atitudes das pessoas no trabalho”. O estudo foi realizado com 400 participantes de formações similares, variando de alunos até trabalhadores assalariados com 60 anos. A pesquisa mostrou que as atitudes no local de trabalho e as ideias sobre carreira da Geração X (nascidos entre 1959 e 1981) são as mesmas da chamada Geração Y. Em tese, isso mostra que, no plano científico, “a Geração Y não existe”, afirma Pralong.

(**) Uma pesquisa do instituto de pesquisa Forrester Research com 2.000 trabalhadores de TI revelou que não é a Geração Y que está fazendo com que os negócios adotem tecnologias colaborativas. A Geração X, aqueles que têm entre 30 e 43 anos, estão liderando a corrida em direção à computação social. A Geração “Y” (os Millenials), aqueles com 29 anos ou menos, ainda não têm influência dentro das organizações para provocar mudanças reais. São os empregados pertencentes à Geração X,  grupo demográfico que mais cresce no Facebook, os responsáveis por fazer com que a gerência aceite novas tecnologias como algo além de uma moda passageira.

Referências

Generation Y - From Wikipedia, the free encyclopedia
http://en.wikipedia.org/wiki/Generation_Y

Você S/A - Entendendo as Gerações X e Y
http://vocesa.abril.com.br/desenvolva-sua-carreira/materia/entendendo-geracoes-x-y-500937.shtml

HSM Blog - Todo mundo quer ser Geração Y
http://www.hsm.com.br/blog/2011/07/todo-mundo-quer-ser-geracao-y/

Site WebHolic – Esqueçam a Geração Y
http://webholic.com.br/2009/10/08/esquecam-a-geracao-y/

Redes Sociais. Seja bem-vindo à tribo!

Foto: formad.org.br

O mundo da segurança da informação mudou muito nos últimos dois anos com o fortalecimento das Redes Sociais. Essas novas tecnologias propiciaram agilidade e dinamismo na geração de conteúdo, por vezes pautada no conceito de criação colaborativa. Desta forma, o usuário, que antes era considerado pelos especialistas como o ponto franco da corrente de segurança, tornou-se a própria corrente. Porém, ainda frágil e vulnerável. Este artigo não tem o propósito de enumerar pontos fracos ou fortes de tal processo, tema já amplamente discutido na Internet, mas avaliar as implicações do novo contexto.

Afinal, o que fica para todos nós dessa revolução?

Manter a segurança dos dados de empresas e pessoas, em um mundo onde a informação está distribuída entre vários “responsáveis” (trataremos desta forma os agentes que lidam com a informação), é tarefa que exige esforço e empenho. Via de regra, no processo de manipulação da informação, o fator humano ainda é preponderante.  Computadores ou supercomputadores com recursos suficientes para suplantar o homem – como aquele que venceu o campeão mundial de xadrez – e garantir a segurança da informação ainda são de uso restrito, além terem um custo proibitivo para “responsáveis” comuns (como nós!).  

Quanto mais a informação se espalha, mais difícil fica retomar o controle sobre ela. Para evitar a propagação indesejada e, às vezes, nociva de dados, Redes Sociais e fabricantes de soluções de segurança criaram ferramentas de bloqueio seletivo. Mas será que esses recursos são realmente eficientes ou apenas nos oferecem uma falsa sensação de segurança? Com a rede interconectada, ainda que se tenha um perfil novo e supostamente seguro para um determinado “responsável”, o compartilhamento de dados entre este “responsável” e sua rede de contatos acaba deixando informações expostas.

Recentemente fiz uma experiência, bloqueei e excluí contatos da minha lista em uma Rede Social. Mesmo com os bloqueios ativos, fui capaz de extrair informações desses usuários por meio da rede de contatos em comum. Juntando fragmentos de dados fui capaz de estabelecer correlações e consegui a informação que procurava.  Concluí que restringir um contato ou um grupo de contatos não garante necessariamente que a informação permaneça segura. Além disso, penso que manter o controle do acesso à informação analisando listas cruzadas é trabalhoso e complexo. Algo sempre acaba escapando.

Nesse emaranhado de conexões, tanto as relações pessoais quanto a forma de conduzir negócios estão passando por uma grande mudança. O que antes era facilmente escondido, agora pode vir a público quando menos se espera.  

•       Aquela fofoca entre amigos escapa;
•       O namorado que saiu escondido é flagrado;
•       A estratégia comercial para o fim do ano perde a confidencialidade.

O que acontece é um fenômeno muito comentado nos primórdios da Internet, a tribalização do mundo. Estamos voltando a ser uma tribo, onde, até determinado grau, todos sabemos da vida de todos. Assim, esconder ou omitir algo fica cada vez mais difícil.

Por isso, aspectos como transparência, seriedade, responsabilidade e coerência devem ser cultivados dentro das corporações – principalmente nos relacionamentos pessoais. O reflexo direto se dará nas ações de seus colaboradores. Empresas com modelos de gestão que não fortaleçam esses pontos encontrarão dificuldade para se manter no mercado. O cliente, mais do que nunca, “é o cara”. Desta forma, profissionais desprovidos de compromisso ético não terão vez no mercado de trabalho.

O que as empresas de segurança podem fazer com suas ferramentas é conduzir ou propiciar um ambiente que valorize esses preceitos. Bloqueios de sites, portas, controle de conteúdo, criptografia, detecção de malwares e de ataques são pilares de uma construção que propiciam a implantação não só das políticas de segurança, mas de conduta e transparência, dentro das normativas legais.

Conhecer as limitações de tais ferramentas, no entanto, é fundamental para o êxito de projetos de segurança. Não basta escolher uma tecnologia ou um fabricante sem levar em consideração o que isso representa de fato para a sua empresa. É perder tempo e jogar dinheiro fora.

Bem-vindo à tribo!