Segurança Corporativa - Melhores Práticas de Conduta e Conformidade para Colaboradores e Parceiros de Negócios

2. Objetivo O objetivo inconteste deste manual é o compartilhamento com nossos colaboradores e parceiros dos valores, princípios e procedimentos, especialmente no que tange a ética, a legalidade e a transparência do nosso negócio. De forma específica, esperamos: - Construir um discurso uníssono entre colaboradores e parceiros, de forma a evidenciar nossos valores; - Consolidarmo-nos no mercado como uma empresa segura, ética e de vanguarda em nosso segmento. 3. Quem somos A GMG INTERNET SERVICE LTDA. - é uma empresa sediada na Av. Emilio Trevisan 655, conjunto 303, Bairro Bom Jardim, CEP 15.084-067, na cidade de São José do Rio Preto, estado de São Paulo. Detentora da plataforma e softwares: 1. Gmg Ambiental é ecossistema de softwares próprios integrados em uma única plataforma própria e desenvolvida no Brasil pela GMG INTERNET SERVICE LTDA., a Gmg Ambiental é uma plataforma SaaS - Software as a service ou software como um serviço, acesso por login e senha, que roda alicerçada ao software Gomapsgo, que é um sistema de Informações Georreferenciadas - SIG, formato web (em nuvem), com apoio de mapas fornecidos por rede de satélites integrados via API, com objetivo de gerar produtos destinados as seguintes soluções: 1.1. Monitoramento e Análise de Incêndios: É um Sistema de monitoramento e georreferenciamento de focos de queimadas e incêndios em propriedades rurais. Funcionalidade: Essa solução permite que toda a área do cliente seja monitorada por meio de satélites. Quando identificamos um foco de incêndio, com a ajuda de algoritmos, determina-se rapidamente as coordenadas do local exato na propriedade. A partir desse momento é enviado um alerta ao cliente, orientando a tomada de decisão para o combate ao fogo; 1.2. Monitoramento Climático para o Campo: É uma solução de monitoramento climático referente aos seguintes recursos - “Velocidade e Direção do Vento”, “Previsão de temperatura”, “Chuva Acumulada Diária”, e “Alerta Triplo 30”: “Velocidade e Direção do Vento”: Esse recurso entrega muito mais segurança, afinal, ele apresenta a direção e a velocidade do vento. Assim, se houver incêndios em áreas vizinhas, pode-se calcular se existem possibilidades de que ele atinja a área monitorada, auxiliando nas providências que deverão ser tomadas. Vantagens: Maior segurança; e Brigada de Incêndio melhor informada para tomada de decisão.

​

​

“Previsão de temperatura”: A previsão de temperatura apresenta os dados previstos para o dia seguinte, auxiliando no planejamento diário da safra. Vantagens: Reduz a perda de produtividade; e contribui para a tomada de decisão. “Chuva Acumulada Diária”: O recurso disponibiliza informações referentes à quantidade de chuva dos dias anteriores em milímetros. É possível escolher a data em que se quer acessar a informação, ajudando a compreender os índices de chuva de determinados períodos. Vantagem: Trabalhar de forma estratégica para uma safra produtiva. “Alerta Triplo 30”: O recurso Alerta Triplo 30 é uma tecnologia exclusiva Gmg Ambiental. Ele se organiza tendo como base 3 (três) dados: temperatura, velocidade do vento e umidade. Ou seja, se a temperatura estiver acima de 30º C, a velocidade do vento maior que 30 km/h e a umidade do ar menor que 30%, um alerta será emitido. Sob essas condições, se um incêndio vier a acontecer, ele terá maior probabilidade de difícil combate, oferecendo maiores riscos aos brigadistas. Por isso o alerta de encontro desses três fatores se torna tão importante. Vantagens: Maior segurança; e Brigada de Incêndio melhor informada para tomada de decisão. 1.3. GMG Relatório Cicatriz: O relatório cicatriz é uma espécie de dossiê para defesa contra multas ambientais. O relatório apresenta dados referentes ao dia do incêndio, como: temperatura, umidade do ar, como era a probabilidade de risco de fogo, se existia fator triplo 30, em que local o incêndio teve início e como ele chegou na área do cliente. Todas essas informações ajudam a provar que o responsável pelo fogo não foi o proprietário da área. Vantagens: Ajuda na defesa contra processos ambientais; Reduz a chance de multas; Dados climáticos do dia do incêndio; e Rastreabilidade do fogo. 1.4. GMG Aplicativos para o Campo: “GMG Gestão de campo” - O aplicativo auxilia na gestão de campo. Ele permite que sejam inseridos, principalmente, dados a respeito de incêndios, mas também sobre polícia, mosca no estábulo, check list de aceiro. O aplicativo é personalizável, ou seja, pode ser adaptado para as necessidades de cada cliente. Vantagens: Agilidade de informação; Conectado com o monitoramento; Alerta do foco por notificação; 100% customizável; Trabalha offline; Imagens do combate ao incêndio; e Painel para baixar relatórios em PDF. 1.5. GMG Gestão de Focos: Através da nossa plataforma, é possível extrair relatórios dos focos ocorridos, filtrando por mês, unidade e tipo de preenchimento. Além disso, disponibilizamos um dashboard, onde os gestores de forma rápida conseguem mensurar a assertividade do sistema. Vantagens: Banco de dados com todos os focos que ocorrem nas áreas; Extrair relatórios em gráficos, pdf e excel; e Medir assertividade do sistema através de relatórios. 2. GomapsGo: É um Sistema de gestão e informações de landbank e viabilidade; permite demarcar e georreferenciar uma área, permite baseado na demarcação gerar planilhas com viabilidade de negócios, permite baseado na demarcação obter informações da região como renda per capita dos habitantes, densidade demográfica, estabelecimentos comerciais e outros pontos de interesses, permite criar e cadastrar usuários, gestão dos acessos do usuários, permite criação de pastas para arquivos de conteúdos digitais (PDF, arquivos XML, Vídeos, planilhas);

​

​

​

3.1 Organograma Marcelo Rodrigues Ferraz – CEO - Diretor Executivo 4. Prevenção e Segurança Corporativa O enfoque que será dado a este manual concentra-se em Prevenção. Isto porque, a maioria das fraudes que ocorrem dentro das empresas são descobertas apenas durante os processos de auditoria que constituem-se em processos REATIVOS, isto é, acontecem somente após os desvios terem ocorrido. Diferentemente também de como pensam grandes instituições que delegam a processos informáticos a redução de suas perdas, entendemos que apenas a implantação destes sistemas não resolve a questão das fraudes empresariais, essencialmente porque a ocorrência de crimes dentro das corporações, incluindo os cibernéticos são realizados por colaboradores de todos os níveis hierárquicos. Processos preventivos de segurança sempre devem considerar o fator humano como elemento chave e o mais vulnerável dos recursos corporativos. 4.1 Responsabilidade jurídica das organizações Além das obrigações trabalhistas e tributárias da organização, de acordo com as leis vigentes no país, há, hoje mais uma questão jurídica que deve ser levada em consideração: o uso dos recursos tecnológicos por seus colaboradores. Tecnicamente, cabe esclarecer que, de acordo com o art. 935 do Código Civil Brasileiro, a responsabilidade civil é independente da criminal, porém apenas a primeira poderá ser imputada à pessoa jurídica. Porém nos crimes que envolvem pedofilia e pirataria, utilizando-se de recursos tecnológicos, praticados dentro do ambiente institucional, incorre-se na possível responsabilização do gestor, já que assumiu o risco sabendo da possibilidade do ilícito ocorrer. Ainda de acordo com o Código Civil, art. 932: São também responsáveis pela reparação civil: [...] III- o empregador ou comitente, por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir ou em razão dele. Também a Súmula 341 do Supremo Tribunal Federal, predispõe: É presumida a culpa do patrão ou comitente pelo ato culposo do empregado ou preposto.

​

​

​

No âmbito trabalhista, as organizações ainda devem se preocupar com as consequências da falta de organização, procedimentos e regras de uso de suas tecnologias, porque dentre outros problemas, pode haver incidência de hora extra e questões envolvendo privacidade.

​

​

4.2 Responsabilidade social e sustentabilidade As empresas possuem responsabilidades indiretas sobre danos extrapatrimoniais coletivos em termos sociais e ambientais, pois passam a ser considerados agentes transformadores, que exercem elevada influência sobre seus recursos humanos e possuem recursos econômicos e tecnológicos que permitem direcionar seus colaboradores a determinados resultados. Para melhor esclarecimento, seguem as definições aqui consideradas sobre responsabilidade social e sustentabilidade. 4.2.1 Responsabilidade Social: compreende um conceito amplo, segundo o qual as empresas, voluntariamente, integram ações de preocupação social e ambiental nas suas operações e na sua interação com outras partes interessadas.

 

4.2.2 Sustentabilidade: na visão corporativa, trata-se de um novo modelo de gestão dos negócios, em que todos os processos passam a contemplar efetivamente a dimensão social e ambiental, conjugado a boas práticas de governança, esse modelo interage positivamente na dimensão econômica. Especificamente no caso da GMG, as preocupações que tangem a responsabilidade social e a sustentabilidade são conceitos integrantes dos nossos produtos, uma vez que a prevenção de queimadas é uma das funcionalidades mais importantes do nosso principal software.

 

5. Segurança e proteção Para maior entendimento, seguem os conceitos de segurança e proteção aqui incorporados. Segurança: é um conceito intrínseco da necessidade humana, um estado de espírito, já que todas as pessoas carecem de sentir-se seguras em todos os âmbitos de sua vida; Proteção: é um termo empregado para caracterizar ações planejadas de forma antecipada, para evitar ou reduzir danos causados por agressões contra pessoas, processos, tecnologias e organizações. No mundo corporativo, segurança representa um estágio atingido de conforto por se implantar ações de proteção, a qual pode ser quantificada tipicamente em baixa, média ou alta, ou ser certificada como adequada, conforme regras e padrões de aceitação internacional, como os propostos na norma ABNT NBR ISO/IEC 27002:2005 (Code of Practice for Information Security Management), (ABNT, 2013c) e certificado pela Norma ABNT ISO/IEC 27001:2005 (Information Security Management Systems – Requirements), (ABNT, 2013b). Aceito um determinado nível de segurança, chega-se ao conceito de confiança que pressupões um estado da consciência humana de se considerar seguro.

​

​

6. Riscos corporativos Dentro do universo corporativo, os riscos são determinados pela combinação de ameaças, vulnerabilidades e perda dos valores dos ativos, valores esses mensurados com base no impacto dos ativos aos negócios da organização. As perdas podem ser financeiras, materiais, humanas, intelectuais e morais e podem ser valoradas numericamente.

​

6.1 Segurança da informação Setor responsável pelo cuidado do patrimônio informacional da empresa, alicerçados nos pilares de integridade, confidencialidade e disponibilidade.

​

6.2 Segurança física, patrimonial, monitoramento e auditoria Entre as ações de segurança corporativa, possuem destaque efetivo todos os aspectos de segurança física, patrimonial, das pessoas, dos processos de monitoramento (CFTV, controle de acesso, autenticação biométrica, Single Sign-On SSO S3O, de incêndio e de automação predial e também os processos de gestão de riscos e auditoria interna.

​

6.3 ECM, SPED, IRPJ-e Outras atividades dentro da empresa que tratam dados em geral, de responsabilidade específica, ECM (Enterprise Content Management / GED, ou sistema de Gestão das informações corporativas que, via de regra, são informações digitais ou digitalizadas e armazenadas e tratadas em redes e Storages / BIG DATA da organização; os sistemas de comprometimento fiscal e tributário, como o SPED (Sistema público de escrituração digital) e os processos de declarações eletrônicas, como o IRPJ-e que utilizam certificados digitais.

​

7. Fraudes ocupacionais As fraudes ocupacionais podem ser caracterizadas como aquelas que ocorrem de forma estruturada em diversas áreas da empresa e pouco são divulgadas, em virtude dos enormes escândalos que provocam à instituição.

​

7.1 Melhores práticas de combate a fraudes ocupacionais - Certificações antifraudes conferidas por empresas que realizam auditorias internas e externas; - Elaboração de um Código de Conduta Moral e Ética que possa ser operacional e que seja, de fato implantado; - Programa de capacitação interna; - Programa de esclarecimento sobre as mudanças do Código de Ética da empresa; - Práticas de RH estratégico e seguro.

​

Por sermos uma empresa pequena, as questões de natureza ética e moral que devem reger a conduta de todos os colaboradores são discutidas em reuniões mensais que abordam este tema e seu impacto na imagem da empresa junto ao mercado. À medida em que o quadro de funcionários se ampliar, a princípio para dez, estes princípios passarão a integrar um manual escrito que será disponibilizado e discutido entre todos os colaboradores.

​

​

8. Fraudes cibernéticas Com o advento dos computadores e das redes, as fraudes praticadas contra as instituições tornaram-se mais avançadas e apoiadas por aparatos tecnológicos, como o das redes de computadores que permitem o acesso dos empregados aos dados empresariais de forma legítima, bem como a manipulação dos dados, indevidamente tratados ou perdidos, que podem levar as empresas a grandes perdas e danos irreversíveis. Com a finalidade de combater fraudes eletrônicas, a auditoria evoluiu, atendendo também a verificação de práticas automatizadas por programas e processos de computadores e redes, denominando-se Auditoria de Sistemas. A evolução dos dispositivos eletrônicos, telefones celulares, computadores portáteis, entre outros, permitiu o crescimento das fraudes eletrônicas para um patamar denominado Crime Eletrônico. Crimes Eletrônicos são “os delitos praticados contra ou por intermédio de computadores ou outros dispositivos de informática” (JORGE; WENDT, 2012, p. 18). Por exemplo, “chupa-cabra” e ou adulteração de skimming devices, para burlar Caixas Eletrônicos de Bancos e furtar dinheiro, para adulterar bombas de gasolina, usar telefone celular e GPS para detonar bombas reais, entre outros. Com a popularização da Internet, novas modalidades de perdas por desvios financeiros configuraram-se, crescendo exponencialmente as fraudes eletrônicas e as cibernéticas, que ocorrem interna ou externamente ao perímetro da organização. Essas novas práticas de fraudes cometidas com apoio de sistemas e redes, principalmente da Internet, vêm caracterizando os novos cenários dos crimes eletrônicos. O crime cibernético, caracterizado pelo uso de recursos tecnológicos, pode se materializar provocando consequências bem reais. São exemplos dessa modalidade de delitos: fraudes por intermédio de falsas lojas de comércio eletrônico, crimes contra honra praticados por meio de computadores da empresa, crimes de violação de direito autoral de programa de computador, crime de pornografia infantil, entre outros. Normalmente o autor de um crime eletrônico praticado contra a empresa não precisa estar no local para desenvolver a conduta criminosa; com o uso de um dispositivo informático conectado à Internet, aquele pode realizar, de qualquer lugar, as ações criminosas intencionadas. Em geral a imprensa e as mídias de informação têm contribuído muito com a divulgação das novas modalidades de crimes que empregam tecnologias, o que vem favorecendo a conscientização da sociedade.

​

​

8.1 Crime Cibernético Organizado Recentemente, foi aprovada a Lei nº 12.850/2013 (BRASIL, 2013c), que definiu a organização criminosa. Segundo o artigo 1º dessa norma legal:

​

“[...] considera-se organização criminosa a associação de 4 (quatro) ou mais pessoas, estruturalmente ordenada e caracterizada pela divisão de tarefas, ainda que informalmente, com objetivo de obter, direta ou indiretamente, vantagem de qualquer natureza, mediante a prática de infrações penais, cujas penas máximas sejam superiores a 4 (quatro) anos, ou que sejam de caráter transnacional. (BRASIL, 2013c).”

​

Essa lei também se aplica: “[...] I - às infrações penais previstas em tratado ou convenção internacional quando, iniciada a execução no País, o resultado tenha ou devesse ter ocorrido no estrangeiro, ou reciprocamente. [e] II - às organizações terroristas, entendidas como aquelas voltadas para a prática dos atos de terrorismo legalmente definidos. (Redação dada pela lei nº 13.260, de 2016) (BRASIL, 2013c, Art. 1º, § 2º, incisos I e II).”

​

Sob esse prisma, ao se defrontar com uma Organização Cibernética Criminosa, é possível fazer alusão às ações delituosas de múltiplas espécies, as quais são praticadas direta ou indiretamente por grupos de pessoas que colaboram entre si para produzi-las através da Internet. A comunidade de Crackers (vulgarmente chamados de Hackers) atua de forma colaborativa em nível mundial, produzindo programas avançados para favorecer atos criminosos. Hoje, os produtos de softwares (programas de computador) desenvolvidos para explorar vulnerabilidades genéricas ou específicas constituem-se em um verdadeiro Mercado Comercial no submundo da WEB, denominado de Hacking Prèt-à-Porter. 24Qualquer interessado em atacar organizações ou pessoas, pode comprar, entre tantas ofertas, um Exploit Zero-Day e obter resultados garantidos. Nota-se, também, a utilização da denominada Deep WEB como instrumento para a disseminação dos mais variados conteúdos criminosos, principalmente pelo fato dessa plataforma não ser indexada pelos mecanismos de busca, inclusive, em razão dos seus usuários utilizarem navegação anônima, geralmente pelo programa TOR, dificultando a atuação da polícia na investigação de tais delitos.

​

8.2 Exemplos de algumas ações do Crime Cibernético Organizado: - Hacktivismo: caraterizado pelo controverso movimento organizado por Crackers para a produção de códigos de programas avançados de computador. Essas organizações, muitas vezes, possuem alcance mundial e são formadas por toda espécie de índoles na produção técnica de Exploits WEB, Trojans, Backdoors, entre outros vírus. A ideologia pode ser política, social ou religiosa. Como exemplo, o grupo Anonymous, o qual ganhou popularidade mundial por seus ataques a sites de grandes empresas e governos, inclusive no Brasil.

​

- Scareware: criminosos cibernéticos que enganam pessoas, ofertando downloads gratuitos de softwares (por exemplo, falsos antivírus e utilitários); usam táticas de coerção e outras práticas antiéticas de marketing. Os softwares baixados podem ser ineficazes ou, a princípio, podem parecer impedir a ação de certos tipos de vírus antes de infectarem o computador com os seus próprios vírus. Os indivíduos podem, então, ter que pagar aos criminosos para remover os vírus e seus impactos. Às vezes, esses softwares não produzem nenhum efeito aparente, mas tornam as máquinas conectadasna Internet verdadeiras “Zumbis” (máquinas infectadas por bots – códigos maliciosos que controlam remotamente as máquinas infectadas) para produção de ataques DoS (Denial of Service) e DDoS (Distributed DoS), entre outros crimes.

​

- WEB Money Laundering: grupos criminosos promovem ações diversas para transformar dinheiro do tráfico de drogas e de outras formas ilícitas em enriquecimento fácil, dinheiro ilegal em dinheiro contabilizado e legalizado perante aos organismos fiscais.

 

Os golpes de contabilidade forjada são diversos, desde lojas de comércio eletrônico que vendem produtos a custos abaixo do mercado, sites de pornografia, sites de venda de medicamentos até sites de jogos na WEB que faturam e distribuem prêmios. Atualmente, essa prática está ainda mais fácil, pois a criação da moeda virtual (Bitcoin) permite a realização de transações financeiras sem a identificação das partes. Os sites que vendem produtos e serviços ilegais na Deep WEB, como o recentemente fechado Silk Road (venda de drogas), utilizam essa nova forma de pagamento.

​

8.3 Ameaças Convencionais No gênero de fraudes cibernéticas, encontra-se o uso de alguns termos genéricos, tendo em vista que esses já se tornaram comuns para a sociedade brasileira pelo grande número de ocorrências e pelos impactos de todos os níveis divulgados pelas Mídias Informativas. Entre eles, como exemplos de desdobramento e evolução, tem-se o que segue: - Ataques de Vírus: muitas organizações, nos últimos 20 anos, experimentaram prejuízos de diversas espécies com o ingresso de Vírus, Worms, Trojans, Rootkits, Spywares, Adwares, Malware, entre tantas outras ameaças que exploram as vulnerabilidades de sistemas desprotegidos ou desatualizados e a privacidade em geral, bem como exploram a ingenuidade ou o descuido dos usuários. Todos esses termos, para designar espécies de ataques do mundo digital, fazem parte do cotidiano corporativo, sendo amplamente combatidos por diversas ferramentas de softwares (programas de computador).

 

Esses ataques representam ameaças reais e passam a ser elementos de base para ataques mais avançados; por isso, devem ser devidamente valorizados e tratados. - Ataques do Tipo Phishing: o Phishing Scan é uma das grandes preocupações corporativas quanto aos crimes cometidos com o uso da Internet. Baseia-se no envio de uma mensagem (via e-mail, Twitter, Facebook, SMS etc.), com o objetivo de explorar a ingenuidade dos internautas e obter códigos de acesso, dados financeiros, informações pessoais e familiares, buscando furto de identidade, preferências pessoais, entre outras informações.

 

As situações de Phishing mais impactantes envolvem o envio de e-mail que, ao invés de conter links que direcionam para um formulário, no qual é requerida informação que se almeja, são redirecionados às páginas fraudulentas da WEB que contêm programas maliciosos (vírus, Trojans), os quais se instalam automaticamente e replicam-se no computador da vítima, contaminando arquivos que podem ser repassados a terceiros como um vírus.

 

Esses programas pertencem, muitas vezes, à classe dos Key/Screen Loggers Vírus e podem registar a sequência de teclas pressionadas, as telas visitadas ou as atividades realizadas, inclusive a movimentação do cursor e/ou do mouse. Esses programas, depois de recolherem as informações, enviam-nas pela Internet para um site controlado pelo perpetrador da fraude, que faz uso comercial delas. Na legislação brasileira, o Phishing, quando utilizado para a apropriação de dados bancários da vítima para o posterior saque, configura o crime de furto qualificado mediante fraude (BRASIL, 1940, Art. 155, § 4o), com pena de 2 a 8 anos de prisão e multa. De forma simples, o furto de identidade, geralmente, é cometido por intermédio de técnicas de Phishing Scan, que se vale da ingenuidade dos usuários de computadores, através de técnicas de engenharia social avançada, e buscam obter dados pessoais diversos que possam individualizar perfis que permitam aos criminosos usarem o nome e os dados das vítimas para se caracterizar efetivamente como elas e cometerem atos ilícitos através da Internet.

​

- Ataques para Hoax / Boato: Hoax, em tradução quase literal, é um embuste. Na prática, consiste em uma mensagem de e-mail com conteúdo alarmante e mentiroso que tem evoluído para casos muito mais graves e práticas de Bullying WEB. De certa forma, utilizam a boa fé das pessoas para propagarem boatos e, assim, tornarem-se "uma atraente verdade". Um bom exemplo de um Hoax são as mensagens que habitualmente circulam pelos e-mails, em que dizem sobre um novo vírus, um novo ataque ou cuidados que devem ser tomados, e pedem para passar ou retransmitir a mensagem. Há, também, o exemplo de correntes: “Envie esta mensagem para 15 pessoas e ganhará dinheiro (ou outro bem)”. Na verdade, ganhará mesmo é um susto.

​

- Spam: inicialmente, referia-se ao envio não autorizado de e-mail com conteúdo comercial. Atualmente, o Spam pode ter até mesmo conteúdo eleitoral, sendo disseminado em outras formas de comunicação eletrônica, como, por exemplo, redes sociais, SMS e aplicativos de comunicação instantânea. A legislação brasileira não proíbe a prática do Spam comercial. Na verdade, o Superior Tribunal de Justiça (BRASIL, 2009) entendeu que o Spam é um mero aborrecimento, e não viola a privacidade do destinatário. Contudo, na propaganda eleitoral, o candidato só poderá enviar mensagens para eleitores previamente cadastrados gratuitamente (BRASIL, 1997, Art. 57-b, III).

​

Na prática, é possível observar que os crimes cibernéticos produzidos através de ameaças convencionais seguem sempre a exploração das vulnerabilidades do elo mais fraco, o usuário, que nas organizações são elementos-chave para o alcance dos objetivos estratégicos.

​

8.4 Ameaças Persistentes Avançadas (APA) Nos últimos anos, observa-se um grande avanço e maior sofisticação nas técnicas de ataques, os quais, seus autores, passaram a trabalhar cada vez mais em ações criminosas e até em guerra cibernética. Os grandes alvos de ataques na WEB foram os sites de organizações e organismos de governos de diversos países, como amplamente divulgado pelas mídias informativas no mundo todo, sendo alvo dos ataques: hospitais, bancos e empresas de todos os portes e em diversos setores de atividades. Os ataques sempre objetivam furtar dados e informações sensíveis, as quais podem ser comercializadas ou empregadas para diversas práticas de chantagem, extorsão e ganhos financeiros.

​

No processo evolutivo dos ataques, os criminosos criaram ferramentas aprimoradas que invadem as Redes Corporativas, escondem os rastros, produzem autodefesa contra as proteções de Firewalls e produtos de segurança, escondem-se e permanecem em hibernação até o momento de conseguirem obter o que eles desejam. Hoje, os ataques caracterizam-se por ameaças de persistência nas organizaçõesalvo, ou seja, se a sua empresa é alvo, já pode ter sido invadida por APA (Ameaça Persistente Avançada). Os principais alvos são os empresários e colaboradores de nível de Diretoria e Gerencial, os quais, legitimamente, possuem senhas com direito de efetuar pagamentos, movimentar fortunas e acessar dados de planos estratégicos e de P&D.

​

Alguns exemplos do que ocorre no mundo através de APA:

​

- Customer Data Loss: furto de dados de cadastro de clientes, principalmente de empresas financeiras, empresas de serviços médicos, entre outras. São realizadas por ataques especializados as Redes Corporativas em que sua maioria, não deixa rastros ou interferirem em nada, passando totalmente despercebidos dos técnicos da empresa lesada. As informações obtidas são analisadas e comercializadas para facções do crime organizado, que as usam para extorsão, chantagens e comércio.

​

- Intellectual Property Theft: caracteriza-se por invasões veladas, de identificação pouco provável, da mesma forma que ocorre com Costumer Data Loss, através da qual criminosos por vezes patrocinados por organizações concorrentes ou nações, objetivam localizar e furtar ideias, projetos, especificações de produtos, segredos comerciais, informações do processo ou metodologias, que podem ser de grande valor, podendo produzir vantagem competitiva ou até mesmo vantagem operacional ou tecnológica. Essa modalidade pode ser considerada a evolução da clássica Espionagem Industrial.

​

Theft From Business: furto financeiro de empresas passou a ser uma epidemia mundial, e vem ocorrendo através de técnicas APA do Crime Cibernético Organizado. O uso de invasões veladas às redes corporativas tem permitido, quase sempre com a colaboração de um ou mais insider (informantes internos), a realização do pagamento de títulos e transferências financeiras fraudulentas, lesando de imediato o caixa das empresas. No Brasil, a adulteração de boletos bancários com a indicação de dados de novo cedente cresce nas notícias policiais.

​

Fiscal Fraud: usando os mesmos recursos e artifícios das ações de Theft From Business, os criminosos utilizam os acessos corporativos para desviar pagamentos legítimos de impostos para contas particulares, lesando a empresa e o governo. A empresa, em grande parte, só fica sabendo quando algum gestor não envolvido no esquema da fraude recebe aviso, cobrança ou a visita da fiscalização.

​

Theft From Business Extortion: esse golpe tem sido crescente, posto que, após a APA ter sido consolidada, o atacante mantém domínio total sobre as bases de dados e a infraestrutura de tecnologia da organização-alvo. A partir desse ponto, o processo de extorsão ocorre através da solicitação de dinheiro em espécie para liberar os acessos, caso contrário, a organização arcará com as consequências, tais como: o redirecionamento de seus links comerciais para sites de pornografia, a criptografia de dados, entre outras ameaças que exploram o tempo de recuperação e a idoneidade da imagem corporativa.

​

- Alerta: os ataques do tipo APA normalmente duram meses, e até anos, antes de se tornarem lesivos.

​

​

8.5 Entendendo Fraudes Cibernéticas Fraude Cibernética, no âmbito empresarial e corporativo, é toda tentativa ilícita de acesso ou obtenção de dados empresariais, corporativos e de organismos de governo, cometida através da Internet. Também podem ser denominadas de Crimes Cibernéticos. As fraudes cibernéticas tornaram-se uma verdadeira epidemia que causa consequências aterrorizantes dentro dos ambientes empresariais, principalmente pelo desconhecimento tecnológico aprofundado dos gestores, e pelos riscos efetivos que oferecem aos sistemas e às bases de dados sensíveis. Portanto, se o corpo administrativo da diretoria e da alta gerência não estiver atento em combatê-las, aqueles, categoricamente, podem colocar a organização em situação de insolvência. Hoje, de alguma forma, todas as organizações estão expostas às fraudes, sejam cibernéticas ou não. Os melhores e mais sofisticados ambientes organizacionais, inclusive os mais controlados, podem ter falhas desconhecidas, exploradas de forma integrada por seus colaboradores legítimos e em parceria com o crime organizado internacional.

​

A comunidade científica e pesquisadores sabem claramente que boa parte das fraudes cibernéticas é materializada através da exploração do “elo mais frágil”, ou seja, da ingenuidade do usuário. Logo, grande parte do sucesso efetivo do crime cibernético está associada à conivência, direta ou indireta (direta pela participação ativa e indireta pela displicência às regras), dos empregados ou dos próprios usuários da Internet. Por exemplo, a evolução das tecnologias tem simplificado o uso de recursos computacionais e das redes a todos os cidadãos do mundo civilizado. Essa revolução das tecnologias, por outro lado, também promove novas oportunidades de usos, costumes e modalidades de crimes sociais. Estamos no Século 21, terceiro milénio, e a mobilidade da comunicação pessoal e corporativa está crescendo de maneira desordenada, através de smartphones, tablets, ultrabooks e outros dispositivos móveis empregados em todas as classes sociais. Esse fato pode representar um dos maiores riscos da atualidade quanto às fraudes cibernéticas.

​

​

8.6 Consumerização, BYOT (BYOD, BYOA), BYOW A consumerização das tecnologias deve ser entendida como um movimento das grandes indústrias mundiais na busca da redução de custos, pois a estratégia anterior estabelecia duas linhas de produção: Produtos Low End – para consumidores em geral do mercado, e Produtos High End – para usuários empresariais ou para empresas, normalmente com características mais avançadas. A atual estratégia de redução de custos é uniformizar os produtos, como telefones celulares, smartphones, tablets, notebooks e ultrabooks, a fim de que todos sejam da linha High End (alta tecnologia), atendendo, assim, consumidores comuns e empresas. Como resultado da consumerização, os equipamentos com características mais avançadas ficaram mais baratos e disponíveis para aquisição por grande parte dos consumidores. Essa questão levou os consumidores domésticos, cuja população economicamente ativa também trabalha em empresas, a querer utilizar os seus equipamentos pessoais no ambiente empresarial, tendo em vista que, por vezes, seus equipamentos possuíam características de desempenho melhores que a dos equipamentos ofertados pelas organizações.