Fernando Fonseca

Atribui-se a criação do conceito de “Personal Branding” ou Marca Pessoal a Tom Peters, que em 1997 publicou na revista “Fast Company” o artigo “The Brand Called You”, no qual desenhou os princípios do marketing pessoal, com frases fortes como: “Se você é realmente esperto, você cria uma mensagem e uma estratégia para promover a marca chamada você.”, “A partir de hoje, você é uma marca”.

Personal Branding pode ser descrito como uma série de ações estratégicas que tem por objetivo posicionar um indivíduo perante o mercado como uma marca, evidenciando aquilo que o diferencia dos demais, seja no âmbito pessoal ou profissional.

Identificam-se na atualidade dois tipos de uso para marcas pessoais, no primeiro vendem-se produtos, como nos casos do George Foreman Grill, onde se associa o lutador a um produto para fazer alimentos com menos gordura. O segundo tipo de marcas pessoais é aquele em que a excelência de seu criador torna-se um produto. Produtos desenhados por marcas como Armani, Chanel, Calvin Klein, tem como valor agregado a confiança do cliente ou consumidor na expertise de seu principal criador.

Nota-se também que uma vez que o criador de uma marca ou conceito se estabelece em um determinado segmento por uma abordagem diferenciada, este produto pode sobreviver à própria pessoa, ao exemplo de Walt Disney, que empresta seu nome e conceito aos estúdios dirigidos hoje por seus herdeiros. Na indústria de S.I. podemos analisar casos como o de Peter Norton, que ficou famoso com o Norton Antivírus nas décadas de 80/90 e continuou por anos emprestando sua imagem ao produto e do russo Kaspersky, que mesmo com um nome tão difícil para outras línguas já é reconhecido como excelência em antivírus.

A partir de hoje, você é uma marca

Uma marca construída consistentemente baseia-se na experiência e qualidade do trabalho de seu criador. Marcas pessoais podem tem como diferencial uma especialização em um nicho de mercado atendido com excelência ou uma característica marcante que um determinado profissional emprega em seus trabalhos, em ambos os casos diferenciando este profissional dos demais em seu segmento.

Segundo Peters [1] o primeiro passo é não pensar em você como um colaborador de uma empresa X ou Y. Associações do tipo “O Fernando da Microsoft” ou “O Fernando instrutor da Módulo” podem ser temporárias e não falam nada sobre sua experiência ou valor, servem apenas como um endosso, mostrando ao mercado que uma empresa acredita em você e que provavelmente você desempenha determinada função bem.

Associações da pessoa à sua obra como “O Fernando da Academia Latino-Americana de Segurança da Informação” são mais desejáveis quando se pensa em marca pessoal porque também te endossam e dizem algo a mais sobre seu trabalho. No entanto, associações como “o Criptógrafo Bruce Schneier, autor do Bluefish e Twofish” são as matadoras e, guardadas as proporções, são estas que devemos procurar.

O que te faz diferente

Acho que todos nós sabemos no íntimo o que nos diferencia dos demais, o que fazemos com tanta paixão que gostaríamos de ser lembrados por isso. Muitas vezes nos desviamos do que fazemos de melhor por buscar um cargo de destaque ou hierarquicamente superior, como no personagem de Jim Carrey em “O Todo Poderoso”, que queria ser âncora de um noticiário, mas tinha um talento sem igual para ser um repórter de rua e divertir as pessoas.

Acredito que as pessoas só se realizam executando o que realmente tem vocação e interesse. Pessoas que se condicionam a uma situação podem ser competentes e até bem sucedidas, mas raramente serão consideradas brilhantes.

Procure em sua carreira os momentos que se sentiu à vontade com algo que estivesse fazendo, procure os melhores resultados que obteve em um projeto e quando foi mais admirado por algo que fez. Ai você encontrará sua marca pessoal. Não tente melhorar o que você não é tão bom se isso estiver fora de seu foco, invista no que você faz de melhor e destaque-se dos demais por isso. Como ouvi certa vez: “Especialização é saber cada vez mais de cada vez menos”.

Credibilidade

A credibilidade não vem através de propaganda, não adianta fazer um site falando sobre o que você sabe fazer se ninguém avaliza isso. O reconhecimento de suas habilidades vem através das pessoas ou entidades que falam sobre você.

Em TI e SI as certificações de fornecedores (vendors) indicam como as empresas como Módulo, Microsoft, Cisco, Red Hat o qualificam em relação a seus produtos e as certificações de associações como a ISC2, ISACA, LPI o qualificam em relação ao conhecimento que elas consideram um diferencial para seus associados. Apesar das certificações terem este papel, os profissionais precisam corresponder às expectativas geradas por elas. Promover-se sem respaldo é pior do que o anonimato, é a exposição em larga escala de suas deficiências ao mundo.

Muitas pessoas criticam as certificações dizendo que estas não garantem que a pessoa certificada é um bom profissional. Tenho que concordar com isso, mas o que estas pessoas não percebem é que as certificações são uma oportunidade de ouro de ter um terceiro confiável falando algo sobre você, e que sem estas você terá que se apoiar em seus colegas e ex-colegas de trabalho para lhe promoverem ou abonarem qualquer referência a seu respeito.

Ética

Não basta ser bom técnica ou administrativamente, o profissional completo precisa manter sua imagem imaculada, longe de algo que o desqualifique para o mercado. As empresas confiam aos profissionais de S.I. seus ativos mais valiosos e algumas vezes a própria continuidade de suas operações. Qualquer pessoa que possa ser lembrado por uma ação antiética, ocorrida a qualquer tempo, enfrentará dificuldades em convencer uma organização a confiar seus ativos a ele.

Construir a marca

Para construir uma marca é preciso trabalhar! É necessário que mostremos ao mundo o conhecimento e o potencial que existe dentro de nós. Escrever artigos, criar um blog, ministrar palestras e treinamentos, participar de comunidades de relacionamento e participar ativamente de listas de discussão são apenas alguns exemplos de como construímos uma marca pessoal. Quando um profissional se relaciona com os demais debatendo assuntos relevantes à sua área de atuação ele demonstra não somente seu conhecimento, mas também sua capacidade de argumentação, diálogo, entendimento e também sua preocupação em dividir e expandir seus conhecimentos.

Demonstra também alguns traços de sua personalidade na medida em que as discussões ocorrem. Por este motivo os blogs e as participações em listas de discussão têm papel importante para a fixação do nome dos profissionais na mente de seus colegas. Não raramente reconheço colegas de lista em eventos e treinamentos simplesmente pelo nome, a partir daí fica fácil estreitamos nosso relacionamento e conhecermos um pouco mais de cada um.

Diga-me com quem tu andas...

As associações de profissionais como a ISSA e a ISACA tem a função de congregar pessoas com interesses e objetivos em comum e a partir daí buscar benefícios para seus associados. Ao se associar a uma entidade de profissionais você não está apenas “comprando” os benefícios que esta associação lhe oferece, está também demonstrando aos colegas sua afinidade com os ideais da associação e seu comprometimento em fazer com que a associação cresça e torne-se mais expressiva no mercado, podendo assim trazer mais benefícios aos associados. Por outro lado as associações devem promover o “networking” entre seus associados, gerando oportunidades de colaboração e crescimento dos mesmos.

Nunca almoce sozinho

Essa frase está na capa de um dos mais interessantes livros sobre networking do planeta. Ele retrata a importância de ser generoso e manter o relacionamento com as pessoas pelas quais você possui afinidades pessoais e/ou profissionais.

Troque idéias sobre suas aspirações e projetos, ouça seus colegas e ajude-os sempre que possível. Não se trata de ser falso ou dar telefonemas automáticos e apertos frios de mãos. Trata-se de lembrar-se das pessoas que o enriquecem de alguma forma e tirar um tempo para estar em contato elas, fazendo desses encontros uma troca. Ações como esta lhe manterá no mercado e revitalizará suas idéias e seus planos.

Conclusão

Não adianta só botar o ovo, tem que cacarejar! A demonstração de seus conhecimentos e resultados é benéfica para você e para a(s) empresa(s) com as quais você trabalha. Ter um profissional reconhecido no staff é positivo e desejável para as empresas, afinal de contas a prestação de serviços vive da imagem de seus profissionais e as demais empresas “pontuam” com seus acionistas ao depositarem seus ativos em mãos reconhecidamente capazes de protegê-los.

Comece hoje, pense grande e comece pequeno, faça um pequeno progresso a cada dia e no final talvez possa dizer algo como ouvi uma vez do Renato Russo: “Nós queríamos ser como os Beatles. Não deu, mas conseguimos ser a Legião”.

[1] Peters, Tom – The Brand Called You – Fast Company, consultada em 04/05/2008 – 22:15 http://www.fastcompany.com/node/28905/print

Hoje estava procurando por um assunto quando achei um vídeo da Defcon 15 (2007) no Google Videos. Revi alguns trechos de palestras que tive o prazer de assistir em Las Vegas e selecionei outras para uma visita posterior. Recomendo a todos procurarem por "DEFCON 15" no Google vídeos, mas vou recomendar algumas:

Pen Testing Wi-Fi

Windows Vista Log Forensics

Real Time Steganography With RTP (Voip)

Procurem pelo resto, tem muito mais :-)

A primeira vez que ouvi falar do PLS 76 foi em outubro de 2005, em um evento de segurança da informação em Belo Horizonte no qual fui palestrante. No mesmo me chamou a atenção o fato que o senador Eduardo Azeredo palestraria sobre este projeto. Durante a palestra o assessor do senador abordou a convenção de Budapeste, ou “Convenção do Cibercrime”, e mostrou a necessidade de criação de leis no Brasil para que possamos ser signatários deste tratado de cooperação internacional. Percebendo “gap” jurídico existente, e claro que minha atenção se voltou para avaliar este projeto no ponto de vista da segurança da informação.

O projeto de lei do senado (PLS) 76 é bastante ambicioso por trazer alterações no Código Penal, Código Penal Militar, Código do processo penal, Estatuto da criança e do adolescente e o Código de defesa do consumidor, tipificando nestes os crimes digitais. Hoje é possível se deter ou condenar pessoas que se utilizam de computadores para praticar crimes, mas não existe na legislação crimes como criação de vírus ou destruição de dados. O criminoso é preso por algum dano causado por ele que se enquadre em outro crime comum.

Posteriormente tive outras oportunidades de acompanhar o desenvolvimento do projeto através de palestras do Senador e do Sr. José Henrique Portugal até que um dia, já como diretor de comunicação da ISSA, convidei-o para um debate com os nossos associados, convite que foi prontamente aceito e o debate realizado no dia 27 de novembro de 2006 com a presença também do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados. Nesta ocasião algumas alterações do PLS foram sugeridas e acabara por incorporar a nova versão do documento. Dentre elas destaco:

1) Substituição do termo “vírus” por código malicioso, uma vez que um código malicioso pode não possuir nenhum mecanismo de reprodução mas causar danos incalculáveis a uma empresa.

2) Extensão da proteção para profissionais de S.I. realizando “testes de invasão” ou “Etical Hacking” na definição de defesa digital.

Obs: Posteriormente esta proteção foi retirada juntamente com toda a parte de defesa digital devido à pressão de alguns setores da sociedade.

3) No artigo 154B incluímos tipificar a manutenção de dados por tempo superior ao autorizado como obtenção ilícita

4) No artigo 154D sugerimos a inclusão do termo “utilizar” informações de banco de dados junto aos termos “comercializar” e “disponibilizar”, para evitar que uma empresa use informações coletadas para uma finalidade com outra finalidade.

A identificação de usuários e retenção de Logs

Um dos princípios mais marcantes da segurança da informação é o Triple A (Authentication, Authorization e Accountability), e sem que este princípio seja aplicado mesmo que parcialmente se torna impossível identificar inequivocamente qual usuário está acessou um recurso em um determinado momento onde um crime foi realizado.

A discussão sobre a obrigatoriedade da identificação de usuários da internet (note que o projeto não prevê monitoração, apenas prevê o registro do IP utilizado para fins de investigação) e a retenção destes registros (logs) por um período determinado de tempo nos chamou a atenção devido a alguns absurdos veiculados na mídia (Ex: o fim da privacidade na internet, o Big Brother da Internet, etc) sem nenhuma fundamentação no projeto ou na segurança da informação, e trouxe a ISSA para o debate, entendendo que o projeto lidava com aspectos extremamente relevantes para nossa categoria e que era nossa obrigação colaborar para a melhoria do mesmo.

A Defesa Digital

No dia 4 de junho de 2007 nos reunimos novamente com os associados para discutir entre outras coisas a Defesa Digital, que já havia sido citada no encontro anterior devido à nossa preocupação quanto à sua interpretação, mas não havíamos colaborado com o texto da mesma. Reproduzo um trecho do blog do Augusto Paes de Barros, nosso ex-presidente e atual diretor de comitês extremamente “didático” sobre o assunto:

“O assunto polêmico do momento é o termo "defesa digital". Do jeito que parece pelos comentários que andam fazendo, isso transformaria a Internet brasileira em um faroeste sem lei. Não é bem assim. O objetivo lá é, por exemplo, evitar que você seja preso por manipular um vírus ao criar uma assinatura para seu IDS, por exemplo. Lá está muito claro, "sem risco para terceiros". Nos parágrafos que citam que não há crime quando a ação é executada em defesa digital sempre há a expressão "excetuado o desvio de finalidade ou o excesso".
Vale comentar que um pedaço disso (defesa digital) foi inserido no projeto para evitar que a lei seguisse o mesmo caminho que o DMCA e similares nos EUA. Vários pesquisadores em Segurança por lá ficaram ameaçados de ter seu trabalho classificado como crime por conta da redação das leis sobre o assunto. O Niels Provos, por exemplo, tirou o site da ferramenta do honeyd do país por causa disso. Acho justo e adequado que alguém pense em evitar que isso aconteça aqui também”.

Após este segundo debate a ISSA ainda enviou algumas sugestões de melhoria para o texto, mas o “barulho” já havia sido feito, através de uma interpretação pouco acertada e bastante distorcida do texto apresentado. Desta forma, o tópico acabou sendo retirado pela emenda 02 do senador Flexa Ribeiro da CCJ (Comissão de constituição e justiça).

A ISSA e o PLS

Seguindo a orientação de nosso presidente mundial, a associação entende que deve participar no processo e contribuir em ações que tragam melhorias para a segurança da informação, mas por outro lado optamos por não apoiar, condenar ou realizar qualquer ação que possa ser interpretada como Lobby pela sociedade. Assim sendo, a ISSA e os associados presentes ficaram muito orgulhosos e agradecidos pela oportunidade de colaborar com a criação de uma lei, mas nossa participação se limitou a sugerir e prestar toda a assessoria solicitada para o aperfeiçoamento do projeto, mas sem defendê-lo ou condená-lo oficialmente. Não cabe a nós ajudar a aprovar ou vetar um projeto de lei, mas nos certificar que caso este seja aprovado, tenhamos uma lei mais adequada ao interesse maior de nossos associados, a segurança da informação.

Cada membro da associação possui sua opinião pessoal sobre o projeto e pode expressa-la em seus blogs ou qualquer outro meio como profissional de SI, e não como uma opinião da ISSA como um todo.

Cronologia dos debates da ISSA sobre o PLS 76 / 2000

27 de novembro de 2006 – Debate com o Assessor do senador Eduardo Azeredo, o Sr. José Henrique Portugal, contando com a presença também do Dr. Rony Vainzof, sócio da Ópice Blum Advogados Associados.

22 de Dezembro de 2006 – ISSA Day Belo Horizonte – Debate com associados e convidados da ISSA sobre o PLS 76 com a participação do Sr. José Henrique Portugal.

4 de junho de 2007 – Debate com os associados da ISSA com envio de sugestões para o PLS 76

Lendo alguns posts na CISSP-BR comecei a pensar em como a ética tem tido seu valor cada vez mais tratado como secundário no mundo (corporativo ou não) e como o mundo tende a chamar de vencedor quem conquista as coisas materiais (cargo, salário, bens, etc) e chama de pessoa especial ou iluminada (como se seu comportamento fosse impossível para os outros mortais) os que vivem na ética. O senso comum parece nos dizer que viver na ética é não fazer algo de errado, ou algo pelo qual possa ser preso ou processado. Estamos prestes a oficializar os pequenos trambiques como ferramenta de sobrevivência. Gostaria de colar um trecho do post do Anderson Ramos que li com muita felicidade:

"Muitos dos caras que às vezes aparecem aqui na lista pedindo o envio de cópias piratas de normas (pois elas são caras né? eles não têm dinheiro pra comprar senão não conseguem sobreviver) ou a classe média que usa antivírus pirata (muito caro né, se você gastar 90 reais no Norton não vai conseguir alimentar a família), se vivessem nas condições em que vive a periferia que foi aqui injustamente generalizada em algumas colocações, fariam muito pior do que esse bandido que aparece na notícia."

Os executivos dos grandes centros comerciais do Brasil que compram os CD's e DVD's piratas nos camelôs, ou compram recibos de médicos e dentistas para o IR parecem estar roubando de uma entidade inexistente, alguém que não precisa daquilo (no caso gravadora, empresas de software ou o governo), assim como o aprendiz de bandido "Fábio" da reportagem do rodapé do post. As pessoas não notam que o que está em jogo não é o outro lado, mas sim o que elas mesmo estão adotando como valor. Mais de 30 anos depois, a lei de Gerson ("para quem quer levar vantagem em tudo") parece ter sido enraizada na cabeça de nossa geração, e enquanto as pessoas não perceberem o valor de uma vida ética, ainda viveremos com uma noção inválida de sucesso.

Não me limito a falar apenas dos CD's e DVD's piratas, mas o que vejo na política e nas corporações parecem uma extensão da falta de ética das ruas, que se acostumou a chamar de "Jogo do Poder". Projetos (de lei ou não) sendo prejudicados por políticas e interesses pessoais, pessoas favorecendo outras por interesses duvidosos, pessoas prejudicando projetos necessários à sua empresa ou nação somente para prejudicar seus líderes, etc. Essa realidade está nos governos e nas empresas e são passados sem culpa dos pais para filhos, no entanto as pessoas se chocam ao ver um "Ladrão de Galinhas virtuais" com valores morais falhos (mas não tão falhos como alguns "ricaços") admitir que não acha errado roubar algumas dezenas de reais de quem pode ter um cartão de crédito.

Hacker brasileiro relata 'carreira' de crimes online: http://tecnologia.terra.com.br/interna/0,,OI2897760-EI4795,00-Hacker+brasileiro+relata+carreira+de+crimes+online.html

Um dos recursos mais interessantes do Windows Vista, e coincidentemente um dos que mais tem gerado reclamações quanto à usabilidade é o UAC (User Account Control), que foi inicialmente chamado de LUA (Limited User Access). Acho que o ponto inicial desta discussão seria entender porque a Microsoft adotou essa estratégia, e porque os usuários ainda não se acostumaram com a mesma.

Quando a Microsoft desenvolveu as primeiras versões do DOS, ela fez um sistema para uso pessoal em um computador pessoal, ou seja, nenhum requisito de segurança foi levado em consideração, um usuário ao iniciar um computador tinha plenos poderes sobre o mesmo pois teoricamente o computador era pessoal, pertencia ao usuário.

O produto Microsoft para empresas sempre foi a linha NT (Server e Workstation), os quais possuíam um controle de acesso, diferentes perfis de usuário e um sistema de arquivos com permissões DACL (Discritionary Access Control List). O Windows 95 trouxe um pouco deste mundo para o velho e surrado DOS, que até então estava apenas coberto com uma capa gráfica através de perfis de usuário e de um reference monitor, que mediava acesso ao hardware. Por isso tantos softwares do Windows 3.11 e DOS não funcionavam no Windows 95, e tantos usuários reclamaram da incompatibilidade de os "absurdos" 8 MB de RAM para rodar o sistema bem.

Nos últimos anos, mesmo os recursos do NT se mostraram insuficientes para manter a segurança em um mundo totalmente conectado, e a comunidade de TI e SI passou a desejar um sistema mais seguro, uma vez que as versões 2000 e XP apesar de trazerem melhoramentos não reviraram tão bruscamente o kernel a ponto de mudar o comportamento do sistema. O Vista trouxe esta mudança, e um ponto principal para isso era manter o usuário trabalhando sem "super poderes" sobre o sistema, mesmo que ele os tenha. Essa atitude visa a impedir que programas maliciosos se aproveitem de um lapso dos usuário para se utilizarem de seus "poderes".

A estratégia básica do UAC é separar o usuário padrão do usuário administrador, criando assim uma dupla identidade para o mesmo. Durante todo o tempo em que o usuário utiliza o Windows Vista, ele sempre trabalha com sua identidade padrão, sem permissões de administrador. Quando algum aplicativo solicita que uma tarefa que necessita de permissões administrativas seja executada, o sistema avisa ao usuário e pergunta se ele realmente deseja realizar aquela tarefa. Isso pode acontecer de 3 formas:

1) Elevação automática (Sem perguntar):

Funciona como nas versões anteriores do Windows, o usuário não é questionado quando à utilização de seus direitos de administrador e automaticamente o aplicativo recebe a permissão. Este modo parece ter sido criado somente para aqueles usuário que não aceitam uma janelinha na sua frente perguntando se ele autoriza ou não uma ação, mas agindo dessa forma o UAC não consegue agregar segurança ao processo. O mais incrível para mim e ver que muitos usuários (os mesmos que pediam por mais segurança) aprenderam a configurar suas máquinas dessa forma, e abrem mão de toda a segurança do UAC.

2) Pedir Consentimento (Padrão):

Neste modo o usuário é apenas consultado pelo sistema para elevar seu nível de privilégio ao maior disponível. A Cor da tarja superior da janela pode ser Azul (componente do Windows), Cinza (Programas com assinatura digital) e Laranja (programas não assinados digitalmete), conforme representado nas figuras abaixo:

3) Pedir credenciais:

Quando configurado desta forma, o UAC pede para que o usuário insira novamente a senha a cada vez que tiver que utilizar seus direitos administrativos, conforme exemplos abaixo:

O Comportamento do UAC pode ser facilmente configurado através do Snap-in "Diretiva de segurança local"

Na diretiva "Comportamento do prompt de elevação de administradores no Modo de Aprovação de Administrador" pode-se escolher entre: Elevar sem aviso, Pedir credenciais ou Pedir consentimento, conforme a figura abaixo:

Nos próximo post, vou abordar o Desktop seguro, aquela tela escurecida para tudo que o usuário está fazendo e deixa tudo mais escurecido. Veremos que trata-se de outro importante recurso de segurança do Vista ainda incompreendido pelos usuários.

"Leis são como salsichas, melhor não saber como são feitas"

A recente discussão sobre o PLS 76 do senador Eduardo Azeredo me levaram a identificar o real sentido desta frase, neste caso ela não pela forma como o texto é feito, mas pela forma como diversos setores da sociedade agem para desfazê-la.

Tendo acompanhado este projeto de Lei já há 2 anos e visto inúmeras barbaridades na forma como as informações tem sido manipuladas para que o mesmo se torne "impopular" e como o mesmo tem sido tratado por alguns grupos, que reproduzem em coro algo que não entendem, sem a preocupação em avaliar verdadeiramente o projeto.

O Projeto apresentado pelo senador Eduardo Azeredo modifica o Código Penal, Código Penal Militar, Código do Processo Penal e Código do Consumidor, visando tipificar condutas mediante uso de sistema eletrônico, o que hoje não existe em nossa lei. O PLS 76 estabelece penas para:

- Acesso indevido a sistemas;

- Roubo de dados;

- Quebra de confidencialidade (um dos pilares da segurança);

- Criação ou propagação de código malicioso;

- Falsificação de cartão de crédito, débito ou similar;

- Clonagem de telefones celulares ou meio de acesso a redes de computadores.

Além disso o projeto ainda cria um mecanismo de proteção ao consumidor, obrigando que o mesmo seja informado sobre a necessidade do uso de senhas ou similares, visando protegê-los de diversas ações maliciosas.

O Brasil necessita de uma lei que o possibilite tornar-se signatário da convenção sobre o Cibercrime, também chamada de Convenção de Budapest, celebrada em novembro de 2001, e este projeto tem sido considerado por muitos um dos mais avançados do mundo em termos de combate ao Cibercrime, mas toda vez que o mesmo é entregue à CCJ (Comissao de Constituição, Justiça e Cidadania) algum ítem é questionado e o projeto aparece como um vilão para a sociedade. Foi assim quando acusaram o projeto de tentar controlar a Internet e novamente quando o acusaram de dar "superpoderes" aos analistas de segurança da informação, duas insanidades que se não tivessem circulado pela mídia como um "hoax" circula pela Internet seriam somente uma piada ou prova de incapacidade de interpretação de quem os criou. Vejamos o foco dos dois ataques:

1) "A obrigatoriedade de se indentificar o usuário é uma invasão de privacidade e um atentado a um direito humano fundamental."

Não existe isso, o projeto só pede que o provedor possa identificar qual de seus usuários conectou-se em determinado momento, e qual IP lhe foi dado para navegar na Internet. Nenhum registro do uso da internet pelo usuário será criado. Na realidade o projeto só regulamenta uma prática comum entre os maiores provedores de banda larga. Por outro lado, sem esta identificação vários criminosos podem se esconder em continuar a cometer crimes não só de roubo, mas de calúnia, difamação, racismo, pedofilia, e até mesmo marcar encontros que culminam em agressões físicas ou assassinatos.

2) "A Retenção de logs por 3 anos aumenta o custo de operação e prejudica a inclusão digital"

Complementando o ítem anterior, é necessário que se identifique autores de crimes. Não se pode desprezar a segurança em função de custos, é irresponsabilidade sugerir algo em contrário a isso.

3) "A Defesa digital vai dar superpoderes aos analistas de rede"

Após debatermos sobre o PLS 76 e mais específicamente sobre a defesa digital em uma reunião da ISSA (International Systems Security Association) , os presentes chegaram à conclusão unânime que o artigo é fundamental para o exercício de nossa profissão amparados pela lei. Mas uma vez que este artigo recebeu muitas críticas de outros setores da sociedade,  propusemos a seguinte alteração na definição de Defesa Digital:

O Conceito de Defesa Digital: A definição está adequada, retirando o “resposta a ataque”, substituindo o “proveito próprio ou de seu proponente” por “defesa própria, de seu proponente ou da sociedade” e substituindo “interceptação defensiva” por “monitoração defensiva”.

Note: O termo “da sociedade” protege as pessoas que estudam e apontam vulnerabilidades para os fabricantes ou o fazem em feiras sobre segurança da informação visando alertar os proprietários dos sistema sobre a existência da mesma.

Após a alteração, a nova definição ficaria assim:

IV – defesa digital: manipulação de código malicioso por agente técnico ou profissional habilitado, em defesa própria, de seu preponente ou da sociedade, e sem risco para terceiros, de forma tecnicamente documentada e com preservação da cadeia de custódia no curso dos procedimentos correlatos, a título de teste de vulnerabilidade, de frustração de invasão ou burla, de proteção do sistema, de monitoração defensiva, de tentativa de identificação do agressor, de exercício de forense computacional e de práticas gerais de segurança da informação.

Infelizmente o coro de fantoches de alguns setores da sociedade mais uma vez fez com que a defesa digital, considerada por muitos um dos artigos mais avançados no mundo neste sentido fosse retirado do projeto.

O que mais me incomoda é que fica claro que todos os ataques gerados ao projeto miravam um ponto polêmico para impedir que o todo, sendo que na minha opinião o que incomoda é alguns setores da sociedade é o custo gerado pela segurança proporcionada pelo projeto. Custos em manter registros de conexão (extremamente indicado por qualquer profissional de segurança), avisar aos usuários sobre os riscos em não configurar seus equipamentos, etc.

Como sempre: Segurança é bom, desde que não tenha custo.

Conversando com a alguns profissionais de segurança da informação, você sempre poderá ouvir um histórias sobre um plano de continuidade que falhou ou teve que ser complementado por causa de um pequeno fator: “o ser humano”. Focamos grande parte de nossos esforços em imaginar como manter nossa organização funcionando, manter a alimentação de nossos computadores, manter a comunicação com o mundo exterior e outras considerações pertinentes ao ambiente, mas apenas depois de algumas experiências, começamos a pensar em nossos colaboradores com mais atenção.

Na criação de um BCP, temos que condiderar que nossos coleboradores podem ter coisas mais importantes a fazer em uma situação de desastre do que sustentar a operação da empresa. Não porque não são trabalhadores aplicados e responsáveis, mas porque trabalhamos com uma escala de prioridades, como qualquer outro organismos do mundo.

O objetivo deste artigo é fazer um breve estudo sobre porque e o que devemos ajudar aos nossos colaboradores em uma situação de desastre para que eles supram suas necessidades mais básicas coloquem nosso plano no topo de suas listas de ocupações.

Em 1943, Abraham Maslow escreveu um paper chamado “A Teoria da motivação humana” onde ele estabeleceu uma pirâmide de 5 níveis com uma hierarquia de necessidades humanas, que vão do nivel 1 (Physiológico) até o 5 (Atualização). Maslow defende que os níveis mais altos da pirâmide só ganham foco quando as necessidades de níveis inferiores são satisfeitas em sua maior parte ou totalmente, e cada nível depende da satisfação alcançada no nível inferior. Uma vez que você sempre trabalha com pessoas,e em um momento de crise é quando você mais depende deste pessoal, as teorias de Maslow podem ter papel fundamental na criação de um plano de continuidade de negócios bem sucedido.

Na base da pirâmide podemos encontrar necessidades fisiológicas como respirar, se aquecer, beber agua, se alimentar e dormir. Isso pode ser uma surpresa para alguns mas seu BCP pode ser comprometido se você não tiver pessoas operando o plano e suprir as necessidades basicas destas pessoas que trabalharão em situações extremas como um tornado ou tsunami.

A primeira vez que pensei sobre a relação de Maslow com um plano de continuidade de negócios bem sucedido foi durante uma apresentação do Gartner Group em que o palestrante nos falava sobre um banco que criou uma instalação bem protegida e abastecida para suportar tornados e outras condições extremas. Quando eles finalmente utilizaram o local, eles não conseguiram manter a operação porque seus funcionarios não tinham um local para comer, dormir e realizar outras necessidades humanas. Com uma cidade inteiramente destruida, eles não puderam manter as pessoas trabalhando, e elas foram para outras cidades, procurando por água potável, energia e comida.

Em situações como esta, necessidades fisiológicas podem controlar pensamentos e comportamentos, e as pessoas podem se sentir adoentados, com dor e disconfortáveis. Sob esta situação você pode ter uma evasão de sua força de trabalho, pessoas super estressadas trabalhando em uma situação delicada e um grande risco de novos desastres causados pelo estado físico e emocional the seus devotados mas cansados colaboradores que não abandonaram a companhia e o plano. No próximo ano este banco incorporou um centro de suporte de vida ao seu BCP. Mas então me pergunto: necessidades físicas é tudo com o que temos que nos preocupar?

No segundo nível da pirâmide podemos encontrar as necessidades de segurança. Segurança não é somente sobre proteção física contra violência, delinquencia e agreções. Temos neste nível as preocupações com a garantia dos empregos, receita, segurança moral e fisiológica, manutenção da saúde e segurança da família. Para suprir este nível, as coisas começam a ficar um pouco mais complicada porque você fazer com que seus colaboradores sintam-se seguros sobre sua própria saúde, a saúde da companhia, e a saúde de seus familiares. Como você pode convencer um empregado a continuar trabalhando quando sua família está tentando deixar a cidade para sobreviver? Como você pode convencer um trabalhador a continuar trabalhando duro, se ele pensa que sua empresa está falindo?

Claro que falamos de um plano muito forte, desenhado para situações extremas onde nada está funcionando e tudo depende de sua companhia. Nestes casos você precisa ter um plano de comunicação que traga segurança para empregados e você pode ser responsável por acomodar ou evacuar os familiares de uma área de desastre, e muitas vezes suprir suas necessidades essenciais ou protegê-los em sua própria estrutura.

A não ser que você esteja planejando uma base lunar ou ou uma instalação contra uma gerra nuclear ou quimica, onde as pessoas estarão por meses ou anos, você não precisará se preocupar com com outros aspectos da base da pirâmide como conforto para o corpo, exercícios, etc e com os níveis 2 a 5, amor, status e atualização respectivamente. Estas questões são importantes para o departamento de recursos humanos, e precisam ser tratados antes de um desastre para elevar a satisfação e consequantemente a fidelidade de seus trabalhadores, mas isso não é nada com que você tenha que se preocupar em uma situação de desastre.

Maslow não provê uma solução para todos os pontos do comportamento humano em uma situação de desastre, mas ele nos diz muito sobre o que temos que antecipar se não quisermos ver nosso pessoal abandonando suas posições de trabalho e correndo para manter suas vidas e a vida de seus familiares. Nenhum trabalho, carreira ou gratificação faz sentido se os níveis mais baixos da pirâmide não forem supridos.

Fernando Fonseca

Security Consultant

References:

http://en.wikipedia.org/wiki/Maslow's_hierarchy_of_needs

http://psychclassics.yorku.ca/Maslow/motivation.htm

Algumas vezes me impressiono com os procedimentos de segurança adotados por algumas grandes empresas, e fico pensando qual a razão misteriosa para aquela atitude. Será que esse pessoal faltou a algumas aulas ou eu sou um cego e não vejo a beleza da lógica aplicada nos procedimentos? Como fui vítima de 3 destes procedimentos nas últimas 24 horas, resolvi fazer uma coletânea destas pérolas no formato de perguntas e respostas, quem sabe alguém me ajuda...

P1: O Cartão de chaves de segurança dados pelos bancos, faz a função de um segundo fator de autenticação para o Internet Banking. Nos caixas automáticos um banco começou a me pedir para usar este cartão também. Porque eu teria que ter 2 coisas diferentes + duas que sei (minha senha e as letrinhas) ?

R1: Uma funcionária do banco me confidenciou que seria útil no caso o cartão magnético seja clonado com um "Chupa Cabra".

P2: Fui ligar para reportar a perda de um catão de crédito, e o banco não aceita ligações de telefones públicos. Nem para o 0800 nem para o 4004-XXXX. Isso significa que tenho que chegar em casa para ligar? Quem paga a conta do uso enquanto eu não chego em casa e meu cartão é utilizado? E se eu estiver viajando? Seria isso para me forçar a fazer aquele seguro ridículo?

R2: <Espaço para reflexões>

P3: Um outro banco resolver gerar 3 letrinhas para que eu pudesse acessar minha conta, algo do tipo "WPY", e pediu que eu decorasse. Será que o criador deste mecanismo sabe que 95% das pessoas vão manter o papelzinho com a senha ou anotá-la em outro lugar? Seria muito difícil deixar o correntista trocar as "letrinhas"?

R3: <Mais reflexões>

P4: Eu compro uma linha telefônica por telefone, mas só cancelo enviando cópias dos meus documentos (que nem existem na operadora). Essa é uma medida de segurança ou para evitar a evasão de clientes?

R4:<Essa é fácil...>

P5: Eu assinei a TV a cabo pelo telefone, apenas passando os dados. Fui transferir para outra pessoa, mantendo o mesmo endereço e me solicitaram o envio de cópias dos documentos meus e do novo assinante por fax. Qual a finalidade disso?

R5:Quando morrer, e no além tiver acesso a todas as verdades do mundo eu cobrarei essas.

No fundo creio que existe excesso de boa vontade para desburocratizar os processos quando se trata de aumentar a receita. Neste ponto a análise de risco é sempre positiva, mas quando se trata de simplesmente simplificar a vida do cliente o risco se torna inaceitável.

Ontem assisti à apresentação do Montanaro no ISSA Day na FIAP, e confesso que fiquei muito feliz com o tipo informações passadas no evento, algo bem técnico é muito bem explicado. Em determinados pontos me lembrei de uns artigos interessantes que traduzi em 2003 sobre como A Estrutura de Boot,  Fazer um pequenoo sistema operacional, etc. Mas a lembrança mais importante foi o porque resolvi entrar na área de segurança da Informação.

Para não contar minha vida desde os 12 anos (o que alguns dizem que levaria séculos), basta dizer que em 3 meses o Basic de meu primeiro computador virou brinquedo, quis algo mais forte e passei para o Assembler Z-80 e finalmente meti o ferro de solda no meu MSX para fazer algumas coisas "espaciais". Quando comprei meu primeiro XT (U$ 2.500 sem HD) passei a lidar com linguagens mais elaboradas como Cobol e Clipper, e comecei a entender mais sobre a administração das empresas para analisar, programar entregar, treinar e dar suporte a meus pequenos sistemas. Afinal de contas havia decidido que viveria de Informática. A última aplicação que desenhei já foi usando Delphi 2 e MS-SQL 6.0 para rodar no recem lançado Windows 95, não precisa nem dizer porque passei para a área de redes, não é mesmo?

Agora lidando com as redes Novell 3.12 e posteriormente com NT 3.51 minha vida parecia feliz (exceto quando a faxineira varria o cabo coaxial), mas depois do Windows 2000 passei a lidar também com sistemas de gerencia de redes (CA-TNG, SMS, etc), onde implantei projetos fantásticos mas extremamente trabalhosos. A Vivência coordenando atividades em CPD´s e coordenando projetos de implantação de redes e ferramentas de gerência me fez parar para pensar: A Cada nova tecnologia começo todo o aprendizado de novo, onde posso aproveitar o conhecimento que acumulei em quase 20 anos?

A Minha resposta foi a segurança da informação. Você não precisa passar 20 anos fazendo de tudo para ser um bom profissional de SI, mas todo o conhecimento em gestão e TI que se tem é aproveitado. O conhecimento sobre análise e desenvolvimento me ajuda a entender as ameaças e o negócio da empresa, o de rede (Novell, Linux e Windows) a entender o fluxo dos dados e requisitos de disponibilidade, o de Gerência de Rede me ajuda com a parte de monitoração e toda a vivencia em projetos sobre como implantar um Sistema de Gestão de Segurança da Informação.

A segurança requer isso tudo, por mais que se tente bloquear tecnologicamente uma ação, como o Montanaro colocou muito bem ontem "quem chega primeiro tem vantagem", e ai entra a gestão da segurança para impedir que o invasor entre primeiro. De que adianta os melhores desenvolvedores do planeta criarem as melhores proteções se a área de gestão não garantir que a proteção chegue antes do ataque?

Existem Hackers (no sentido real da palavra) que tem aversão por gestores, e gestores com arrogância suficiente para tratar tudo como somente processos. Eu vejo sinceramente que estes dois profissionais devem conviver no mesmo ambiente, e se possível na mesma pessoa. É claro que não dá para ser o melhor em tudo, mas manter o foco em gestão pensando também tecnologicamente é extremamente valioso em uma organização, Da mesma forma um técnico que acha que tudo se resolve no código ou ferramentas fica eternamente correndo atrás do adversário, em uma atitude extremamente reativa, ao contrário do técnico que pensa no processo como um todo, e gera produtos melhores

Quem ataca não precisa atacar tudo, apenas o ponto  fraco do sistema, Para atacar não se precisa de um gestor, mas para defender temos que ter uma visão de todas ameaças ao sistema, endereçá-las e agir sobre elas, e isso se faz sem um bom técnico que suporte essas ações.

Estava folheando o CISM prep guide quando vi a explicação de uma questão do livro sobre security kernel, o que me faz lembrar de todas as críticas que o Windows Vista 64 tem recebido. Segundo o livro, um "Security Kernel" implementa o conceito de "Reference Monitor", e deve ter as seguintes características: Precisa mediar todos os acessos, Precisa ser protegido quanto a modificações e Precisa ser verificado como correto

Embora o Patch Guard esteja presente nas versões 64 Bits do Windows XP e Windows 2003 após o SP1, e a Microsoft nunca tenha dado suporte a Patches de Kernel, o mercado vem tratando esta implementação como uma decisão arbitrária da Microsoft intencionada a dificultar a vida dos concorrentes na área de segurança de hosts, uma vez que a Microsoft entrou neste mercado. Mas analisando ponto a ponto, o que me parece é que o Patch Guard e outras tecnologias incorporadas ao Vista vem de encontro à implantação do "Reference Monitor", um amplamente aceito pelo mercado como parte do TCB (Trusted Computing Base), e imprescindível para uma certificação B2 (TCSEC). Vamos analisar as exigências do TCB:

1) Precisa mediar todos os acessos

Quem viu a mudança de Windows 3.11 para Windows 95 sabe que vários programas DOS, que chamavam funções da BIOS pararam de funcionar porque não podiam mais acessar as portas diretamente, etc. Hoje já nos acostumamos ao fato que o Kernel não pode permitir acesso direto a harware, ou até mesmo ao sistema de arquivos. Só para ilustrar o fato, na última Black Hat, a pesquisadora Joanna Rutkowska conseguiu alterar um driver em tempo de execução com um simples acesso ao Pagefile, o que obrigou a Microsoft a fazer alterações no Beta do Vista.

Para que as aplicações possam realizar funções de baixo nível como filtrar pacote, e/ou até mesmo modificá-los antes de saírem do host que existe as API's. No caso dos pacotes de rede o Vista possui a Windows Filtering Plataform (WFP), onde se baseia o próprio Windows Firewall. Outra implementação foi o "File System Filters" que permite que uma aplicação monitore tudo que entra e sai no sistema de arquivos.

2) Precisa ser protegido quanto a modificações

O Patch Guard protege o Kernel quanto a modificações (patches), modificações na "Interupt descriptor table", "global descriptor table", "system service tables" e evita que se use pilhas do kernel não alocadas por ele, mas a Microsoft pretende proteger outros recursos, ainda não especificados.

3) Precisa ser verificado como correto

Ai entra um recurso diferente o "Code Integrity". A cada vez que o Windows inicia, um hash de cada driver assinado e cada binário do sistema é criado e comparado com o hash criado na hora da instalação, isso garante que os arquivos não sejam alterados enquanto o sistema estiver desligado. O BitLocker também protege estes arquivos quando criptografa toda a partição de sistema.

Na minha opinião, lutar contra o Patch Guard é lutar contra a segurança no próprio sistema, para tentar acoplá-la depois como cada um quiser. Seria como tirar o airbag dos carros para que os fabricantes de almofadas pudessem vender almofadas com cores diferentes para os passageiros segurarem contra o peito. Mas o pessoal da Microsoft parece concordar comigo, e já declarou que vai tratar qualquer método de contornar o Patch Guard como uma falha de segurança e corrigí-la com um update. 

A Segurança tem que estar no concepção, na criação, na manutenção e principalmente na alma do produto e neste ponto o Vista é uma evolução significativa e sem volta.

Como normalmente não carrego o notebook para a praia, gravei em meu celular algumas considerações que fiz sobre a proteção de direitos autorais no Brasil, enquanto aguardava ansiosamente minha primeira cerveja do carnaval e uma porção de colesterol estratégicamente disfarçada de carne de sol e Aipim.

Nesta minha espera, dispenso educadamente o terceiro vendedor oferecendo CD's e DVD's (fora um estranhíssimo que vendia uma correntinha de ouro e um relógio). Mas enquanto este vendedor saia, foi inevitável ver em sua mão e ví um CD escrito "FUNK" em letras garrafais. No mesmo momento me passou um arrepio, seguido por calafrio e terminando em piedade e compaixão ao pensar aos danos neurológicos irreparáveis que a superexposição àquele produto poderia causar a uma mente quase saudável.

Após o susto me veio o questionamento se o governo poderia criar algum tipo de imposto sobretaxando este tipo de criação por danos sociais e ambientais, criando assim um tipo de fundo para recuperação das pobres mentes atormentadas por aquela gritaria sem fim. Eu sei que as pessoas escolhem livremente preencher o ambiente com este tipo de ruído, assim como escolhem encher seus pulmões e tudo em volta com nicotina, mas pelo menos o governo já sobretaxa o cigarro para tentar pagar parte do custo que tem no tratamento de câncer, enfisema, infarto e problemas circulatório com os seus dependentes.

Neste momento me veio à mente a beleza dos direitos autorais, como é lindo pensar que as pessoas não poderão entrar na loja e comprar essas "pérolas" por R$ 1,00 (pelo menos até encalharem como o "Bonde do Tigrão" e "O Tchan" estão hoje em dia). Por que será que ao invés de pegar um grupo como Skank e Capital Inicial ou uma cantora como Marisa Monte ou Maria Rita que levam meses produzindo um CD em stúdio, as gravadores pegam um grupo de desesperados, gravam um CD em uma ou 2 semanas, gastam merreca com stúdio (se não gravar ao vivo do boteco) e vendem o CD quase ao mesmo preço? Tai a sobretaxa, mas vai para o bolso dos produtores. Infelizmente este negócio se tornou lucrativo demais e vão nos enfiar todo tipo de lixo barato, criando a cada ano uma banda sensação nova.

Talvez a forma de eliminar este mal fosse aplicar o esquema de distribuição gratuita na  Internet pelo seu valor real (nada), não teríamos tantos produtores empurrando estes "fenômenos" musicais para o domingão do Faustão ou programas similares e tentando convencer as mentes despreparadas que esse ruído é bom.

Por outro lado, me lembrei de minha tia inocentemente contando que um motorista de Taxi no Rio de Janeiro fez uma coletânea de clássicos nacionais e internacionais e exibia as músicas aos passageiros durante a viagem. Ao final oferecia cada um por R$ 10,00 ou os 6 por R$ 40,00, uma barganha! O Pelo nível das músicas eu acho que dificilmente uma gravadora conseguisse colocar tantos clássicos em 6 CD's por este preço, mas sei que o motorista confessou à minha tia que tem dias que ele está desanimado para sair com o Taxi mas sai mais pelo lucro dos CD's do que pela corrida, e está pagando a faculdade do filho só com este lucro. Isso sempre me impressiona no Brasileiro.

Particularmente acho que esquemas de venda de música e filmes pela Internet vão reduzir radicalmente o custo final dos produtos e terminar com este mercado paralelo pelo simples motivo de não ser mais lucrativo. Hoje o preço do produto "alternativo" já se aproxima muito do original, e com a escolha compras por faixas independentes as pessoas poderão fazer suas próprias seleções musicais, até mesmo de Funk, (eca!).

Quando a Microsoft preparou as versões do Windows Vista, umas das diretivas era que os usuários da versão Ultimate teriam uma atenção especial durante o ciclo de vida do produto, colocando de tempos em tempos produtos opcionais para estes clientes. Além disso, criou um site especial para os usuários desta versão, chamado Windows Ultimate.

Ontem me deparei com algumas dessas atualizações em meu Windows Update, e uma delas em especial me chamou a atenção por sua relação com a segurança, o BitLocker and EFS Enhancementes.

Este extra do ultimate é focado em facilitar o manuseio de criptografia e a segurança do usuário doméstico, que ao contrário do usuário da versão Enterprise não tem o conhecimento técnico ou uma estrutura de Active Directory para manter cópias de segurança de suas chaves (EFS e BitLocker).  Vejamos quais as funções destes extras:

Windows Bitlocker Drive Preparation Tool - Ajuda a preparar o drive do seu computador para o BitLocker.

Secure Online Key Backup - Trata-se de uma ferramenta que possibilita que o usuário faça um backup de uma forma super simples de suas chaves de criptografia do BitLocker e do EFS em seu Digital Locker, um espaço pessoal do Windows Marketplace, associado ao passport do usuário. Particularmente acho este extra uma opção importantíssima para a integridade dos dados do usuário e um alívio para o suporte técnico da Microsoft, pois sem estas chaves os usuários podem perder todos os dados criptografados de seu Hard Disk.

Além dessas atualizações a Microsoft colocou um simpático jogo de Poker chamado Hold´Em Poker, e o Windows DreamScene, que coloca vídeos em seu papel de parede. Mais do que prometer um diferencial, o importante é entregar. E parece que desta vez vai ;-)

Ao ir almoçar hoje com o Igor Pipolo (ABSEG) e mais duas pessoas de segurança patrimonial, uma cena comum não passou desapercebida: Um Crachá sobre a mesa "reservando lugar". Nós brincamos sobre a situação, mas logo comecei a pensar mais seriamente...

Particularmente eu acho uma falta de educação notória as pessoas "ocuparem" lugares com seus crachás enquanto outros ficam em pé esperando. Esta atitude aumenta o tempo de uso da mesa em pelo menos 50%, pois ela fica ocupada enquanto a pessoa se serve e enquanto come.  Mas se as pessoas não tem nem mesmo essa consciência sobre o coletivo, como esperar a consciência sobre segurança?

Perto, ou até mesmo dentro de todo grande edifício empresarial existem restaurantes onde os funcionários de grandes empresas almoçam. A quase totalidade dos crachás pertencem a empresas que possuem um controle de acesso bem implementado, utilizando o mesmo crachá como fator de autenticação (algo que você possua). Isso nos leva a pensar que se alguém quiser visitar nossa empresa basta passear pelos restaurantes próximos à empresa e se servir no self-service de crachás. Raramente vemos uma bolsa sobre uma mesa, isso porque as pessoas consideram que suas bolsas e carteiras tem valor. Porque então as pessoas acham que seus crachás (que podem conter até mesmo smart cards)  não tem valor?

Desta situação eu tirei duas lições quanto a fatores de autenticação:

1) Quando se trabalha com "algo que você possua" a autenticação com 2 fatores é cada vez mais desejada, mas pode causar gargalos. Se insistirmos em apenas um fator, temos que conscientizar e lembrar constantemente ao dono deste crachá sobre o seu valor.

2) Aquilo que você é, você nunca esquece e ninguém lhe tira.

Minha mãe costumava dizer que eu não esqueço a cabeça porque está grudada no pescoço, o mesmo serve para a Íris, retina, mãos, voz, etc. Se fosse desenhar um controle de acesso hoje consideraria com muito carinho uma solução biométrica, desde que seja rápida o suficiente para não gerar gargalo.

De qualquer forma um pouco de senso coletivo agilizaria o almoço de todos e garantiria um pouco menos de exposição das empresas.