Smartphones, facilitando o acesso!

Postado por Alexandre Moscone, CPP às 09:07 quarta-feira, 10 de março de 2021 1 comentários

O QR Code existe desde 1994!
Foi criado para rastrear veículos durante o processo de fabricação
Derrapou desde então, até que o COVID-19 o tornou popular!

É o novo normal. Em um restaurante qualquer, em vez de tradicionalmente receber um menu de papel ou plastificado, está um suporte de mesa contendo um QR Code, onde o cliente é incentivado a fazer o pedido através de seu smartphone. 

Com a pandemia, estamos cada vez mais dependentes da tecnologia e dos smartphones, seja para refeições delivery, compras on-line de mantimentos, digitalizar menus, rastrear entregas, acender luzes e até desbloquear veículos e casas. Uma incessante busca de soluções mais móveis e higiênicas. E essas expectativas de conveniência chegaram ao controle de acesso. 

Pessoas estão migrando para a tecnologia móvel como uma maneira de fazer transações sem toque, como pagar o transporte, refeições, etc., já que as transações sem dinheiro em espécie apoiam o distanciamento social, por exemplo. À medida que se acostumam com a prática no dia-a-dia, começam a olhar para outras áreas que não se comportam assim, pois se fazem isto em casa, por que não poderiam aplicar no trabalho?”. 

Antes de 2020, o QR Code existia para fornecer aos indivíduos uma credencial em seu smartphone, como um autenticador de acesso à uma instalação. Hoje podemos ter acesso apenas segurando o telefone, que rotineiramente já está em nossas mãos. 

À medida que nos tornamos cada vez mais dependentes dos smartphones, as organizações aproveitam esses dispositivos para potencializar as interações. Por exemplo, as universidades buscam soluções móveis para suas vending machines, refeições e transporte. Adotar o celular para controle de acesso tornou-se um passo lógico. 

Em 2019, uma pesquisa entre profissionais de segurança, mostrou que cada vez mais os usuários adotam credenciais móveis. Aproximadamente 20% dos entrevistados da pesquisa atualizaram seus leitores para aceitar smartphones ou estão em processo de fazê-lo. Outros 34% já mapearam um upgrade em seus leitores nos próximos três anos. No geral, 77% dos entrevistados disseram que as credenciais móveis incrementarão seu sistema geral de controle de acesso. Tudo isto para o futuro da automação predial. 

As soluções chegam para abordar desde a segurança, HVAC, manutenção de elevadores, até a iluminação. A ideia é convergir todos os sistemas, para melhorar a capacidade de gestão ou até mesmo saber quem está em um edifício.

As credenciais móveis também são mais seguras do que cartões físicos, pois não podem ser tão facilmente copiados ou falsificados. Por exemplo, a tecnologia de controle de acesso mais comum depende de proximidade de 125 kHz, sem nenhuma maneira de determinar se a credencial em si havia sido comprometida ou clonada. Apesar de muito econômica, possui vulnerabilidades de segurança amplamente conhecidas. Esta tecnologia mantem os visitantes em geral do lado de fora, mas não resiste àqueles que desejam violar o sistema. 

Outra vantagem da credencial móvel é a simplificação do processo para a organização, que agiliza a liberação e diminui os desafios logísticos. Por exemplo, novos funcionários não precisam se apresentar no escritório central para receber crachá ou algo assim. Em vez disso, a segurança pode emitir credenciais remotamente diretamente aos dispositivos dos funcionários. Isto não só minimiza os obstáculos logísticos tradicionais para o departamento de segurança, como também reforça as práticas de distanciamento social, limitando a interação presencial e os tempos de espera em um hub de emissão. 

Além disso, é possível emitir credenciais com tempo limite e acesso restrito a locais críticos, o que reduz riscos. Como exemplo, em uma infraestrutura crítica, a operadora poderia emitir a chave para um funcionário, restrita em horário, somente para algumas fechaduras, em determinado turno de área remota... apenas para uma inspeção pontual de Safety. Isto diminui a prática comum de parametrizarmos mais acesso do que realmente precisam para o trabalho. Um risco desnecessário. Mesmo que, por vezes, isto seja conveniente até mesmo para a Segurança.

Fonte: Mobile Devices Ease Access, Megan Gates, Senior Editor - Security Management - Dez 2020


Agilidade no embarque e resiliência

Postado por Alexandre Moscone, CPP às 13:53 quarta-feira, 24 de fevereiro de 2021 0 comentários

O Aeroporto Schiphol, em Amsterdã, 9º melhor do mundo...
... e que estava familiarizado com medidas de higiene...
... antes mesmo da pandemia!

Privium, um programa para viajantes em Schiphol, possui salas de relaxamento para seus membros, onde podem também trabalhar antes do voo, e ainda contam com várias opções de alimentos e bebidas, além do Wi-Fi gratuito. Abrange ainda estacionamento e acesso prioritário no aeroporto. 

Para agilizar a liberação na fronteira, os 60.000 usuários podem usar scanners de íris nos controles de passaportes, o que facilita a tratativa com a bagagem e ainda evita tocar em um leitor de impressões digitais (COVID-19), ou seja, pode-se viajar mais rápido e sem a necessidade de apresentar documentos! 

Os scanners de íris foram instalados há aproximadamente 20 anos, e se mostravam a solução biométrica mais avançada da época em relação ao desempenho e confiabilidade.  Com a proximidade do fim de vida útil dos equipamentos, buscou-se nova solução para atender à expansão do aeroporto, porém sempre esteve focados na velocidade com que seus membros passassem pelos portões. Com a pandemia COVID-19, o apelo por processos “sem toque” impulsionou ainda mais este tipo de solução biométrica. 

Em 2018, diante da crescente demanda, a Privium lançou novos scanners Iris ID. A fase inicial se alinhou com a construção de um novo terminal no Aeroporto, e informações educacionais sobre o novo sistema foram enviadas para todos os membros do programa. Como se tratava de um “piloto”, foi possível ajustar os novos scanners ainda nos primeiros meses. Durante esta período, usuários elogiaram e criticaram o sistema, e até apontaram erros percebidos. A frente técnica então entrou em cena e realinhou os processos dentro dos seis meses planejados, antes mesmo que os portões restantes recebessem a nova tecnologia, ainda em 2019 e 2020. 

Basicamente funciona assim, os usuários ficam a cerca de um metro de distância e olham para um painel de vidro espelhado, que fica à frente da câmera. Os viajantes não precisam retirar os óculos ou lentes de contato para que o sistema funcione. A câmera Iris ID se posiciona automaticamente à altura necessária, não sendo preciso se curvar. Todo o processo leva entre 11 e 12 segundos! 

O sistema evita filas e incentiva o distanciamento social, em parte pela exclusividade estruturada no programa de adesão. O sistema Iris ID ocupa menos espaço nos portões, permitindo que o aeroporto dobre o número de faixas de checkpoint de passaportes, e sem a necessidade de expandir (Custo) a área de triagem. O sistema incorpora reconhecimento facial e reconhecimento de íris para passageiros associados à Privium, porém a varredura de íris é usada como a biometria preferida, devido à sua consistência e precisão. 

Para aqueles preocupados com possíveis problemas de privacidade, Privium e Schiphol aderem aos criteriosos regulamentos e requisitos legais da União Européia. Os dados coletados pelos leitores ou pelos scanners do aeroporto são enviados à Royal Netherlands Marechaussee, um dos ramos militares do país, e responsável pela aprovação individual de solicitação de passagem de fronteira automatizada. Além disso, durante a inscrição, os dados biométricos são salvos no banco de dados central, e não em um chip de cartão, sendo todo o processo aprovado pela autoridade Holandesa de proteção de dados. 

Embora a adesão tenha diminuído ligeiramente devido à pandemia, a clientela se manteve devido à conveniência de evitar filas, distanciamento social e soluções "sem toque". As câmeras Iris ID oferecem às equipes de segurança melhor desempenho e confiabilidade e, aos passageiros, facilitam o processo de bagagem. 

De maneira inteligente, o sistema se aproveita do interesse em comodidade dos usuários e se beneficia dos processos de segurança.

Fonte: Keeping an Eye on Travel Security at Schiphol Airport, Sara Mosqueda, Associate Editor - Security Management - Jan 2021


A Segurança é um Patrimônio Mundial

Postado por Alexandre Moscone, CPP às 11:42 quinta-feira, 18 de fevereiro de 2021 2 comentários

Machu Picchu, Patrimônio Mundial

Nota do Blog: 

Em 2017 fui contratado como Security Specialist, e isto trouxe a carga de conhecimento exigida à designação. A busca em ser um profissional de Segurança completo, levou à necessidade do saber em outras frentes de Segurança, e que não são tão comuns na Patrimonial. O CPP foi o pontapé inicial, e dele novas janelas se abriram, como por exemplo, Segurança de Portos (PFSO), Navios (CSO), Gerenciamento de Crise, ou até a administração de Canil e cães. Só que uma delas “brilhou mais meus olhos”: A Segurança de Sítios Arqueológicos. Interessante foi perceber ainda mais o quão importante é o trabalho em conjunto com nossa irmã H&S. Em alguns momentos fica difícil saber quem realmente é o dono do processo. Portanto, começo aqui, com vocês, meus estudos sobre o assunto. E o Site escolhido foi Machu Picchu. No futuro, espero poder abordar os desafios dos Sites Egípcios, como são controlados, o deslocamento e transporte dos artefatos, múmias, sarcófagos e relíquias encontradas, etc... 

Como você percebeu, logo no início fiz questão de frisar que a Cidade é um Patrimônio Mundial... e cuidar do Patrimônio é nossa tarefa! Então vamos lá... 

Em 2014, as autoridades aumentaram a segurança dos visitantes ao Site, estabelecendo um corredor de segurança de 230 quilômetros entre cidade de Cusco, o Vale Sagrado dos Incas, Machu Picchu, a cidadela, e a Trilha Inca. O turismo excessivo, especialmente em um local tão frágil, e a extensa área do Site, exigiram então um estruturado organismo de Segurança. 

O Parque é monitorado por um Centro de Controle da Polícia de Turismo e o sistema de comunicação digital conecta agentes a pé ou motorizados. Câmeras de segurança de alta definição, estrategicamente posicionadas, e um sistema de drones apoiam a operação. Contudo, em janeiro de 2020, turistas invadiram e danificaram o Templo do Sol. Um deles defecou dentro da cidadela. Cinco foram deportados e um preso, por vandalismo. Por conta de incidentes assim, e de invasões de turistas fora dos horários de funcionamento, o número de seguranças foi aumentado e todos os passeios passaram a ser acompanhados por guias turísticos

Em resposta, serão instaladas mais 30 câmeras térmicas em pontos de acesso e os drones passarão a contar com câmeras térmicas para observar turistas e monitorar incêndios. Os 43 quilômetros da Trilha Inca receberão mais câmeras. Além disto, a Polícia Nacional do Peru tem acesso em tempo real ao sistema, e ainda conta com uma frota de helicópteros dedicada. Tudo para uma rápida resposta em situações de emergências climáticas, médicas ou patrimoniais. 

São aproximadamente 200 agentes de segurança, e alguns deles disfarçados, focados no trabalho de inteligência e em prevenir crimes, antes mesmo que aconteçam. Desta forma já foi possível detectar turistas danificando o patrimônio, fazendo uso de drogas, invadindo à noite, além de tentativas de furto de rochas, especialmente prejudiciais, já que o parque é construído a partir de um material que os Incas criaram dissolvendo rochas. 

Antenados, a Polícia de Turismo criou um app para apoiar os visitantes. O aplicativo pode enviar mensagens diretamente ao Centro de Controle. O reporte identifica automaticamente a localização do usuário e gera uma resposta imediata das unidades de segurança que estiverem mais próximas do local. 

Devido à pandemia, o Site foi fechado para visitantes internacionais e atualmente são permitidos apenas 675 turistas peruanos por dia, muito abaixo das 5.000 pessoas que visitavam o local durante a alta temporada. Foram estabelecidas restrições sobre o número de visitantes por passeio e os turistas orientados a manter o distanciamento social, assim como evitar contato excessivo com outras pessoas durante a visita. 

Nesta esteira de segurança, vem o Gerenciamento de Crises, geralmente liderado pelo Gestor de Segurança, e Machu Picchu enfrenta uma variedade de ameaças e desafios:

-         Excesso de pastagem e incêndios florestais;

-         Extração mineral;

-         Geração de resíduos sólidos;

-         Práticas agrícolas insustentáveis;

-         Agravamento da erosão;

-         Deslizamentos de terra, etc. 

Em 1997, um grande incêndio ameaçou o Site. O fogo, iniciado por agricultores locais, para limpar terras agrícolas, devastou mais de 8km² de florestas montanhosas. 

Além disso, em caso de um desastre ambiental, existem os desafios de acesso ao Site, já que o aeroporto mais próximo fica a 75 quilômetros. Como solução, foram planejados sistemas de evacuação e de emergência em resposta a incêndios. 

Avaliações de impacto ambiental se mostram necessárias, bem como pesquisas de segurança e estudos de alternativas de acesso à Trilha Inca. Outro assunto preocupante está relacionado ao uso das terras na região, criando vulnerabilidades para uma infinidade de stakeholders (Governo Local, órgãos Federais de Recursos, Cultura, Energia e até Ferrovia), tudo dentro de um complicado sistema de gestão. 

Fonte: Securing the Lost City of Machu Picchu, Herbert Calderon, CPP, PCI, PSP - Security Management - Nov 2020


A criminalidade aumentou durante a pandemia?

Postado por Alexandre Moscone, CPP às 14:06 terça-feira, 16 de fevereiro de 2021 0 comentários

As crises econômicas facilitam o crescimento do crime organizado...
... tanto em influência, como no escopo de atividades!

De acordo com o relatório da  Europol(HowCovid-19-Related Crime Infected Europe During 2020), as dificuldades econômicas, bloqueios e incertezas geradas pelo COVID-19, estão produzindo novos desafios aos poderes Públicos e Privados de Segurança.

As áreas de maior foco criminoso durante a pandemia foram o crime cibernético, mercadorias falsificadas, fraudes e golpes. 

Criminosos se aproveitaram do medo causado pela pandemia e pela demanda por Equipamentos de Proteção Individual (EPI) ou produtos de saúde (luvas, máscaras e álcool em gel), e agora se valem do comércio ilegal de vacinas falsas, "kits de testes caseiros” para COVID-19, produtos farmacêuticos fraudulentos e EPIs falsificados.

Furtos e roubos em instalações médicas e farmácias seguem em ascensão, tudo para atender à demanda do mercado negro por medicamentos, suprimentos médicos e equipamentos.

Os cibercriminosos, como já foi dito, agiram rápido e se aproveitaram da pandemia, do home office e da necessidade da aplicação de educação domiciliar das crianças. Exploraram o aumento da ansiedade, demanda por informações, oferta de bens e a dependência em soluções digitais. Outra anomalia é o aumento no número de domínios com as palavras "corona" ou "covid", grande parte ligados a sites de crimes cibernéticos.

Quando a pandemia diminuir, o crime não voltará ao seu status anterior. A curto prazo, o retorno aos lockdowns (2ª, 3ª ondas?!) trará de volta algumas práticas do início da pandemia, incluindo ataques cibernéticos e fraudes.

A longo prazo, a recessão econômica pode espelhar o desenvolvimento do crime organizado, nos moldes já vistos durante e após a crise de 2007, e assim, pessoas menos favorecidas estarão ainda mais vulneráveis ao recrutamento das organizações criminosas. A corrupção pode aumentar, e fraudes e esquemas financeiros proliferar.

A Europol também alertou que o maior tempo gasto online durante o confinamento, pode aumentar a probabilidade de radicalização terrorista ou extremista, potencializados ainda pelo crescente desemprego, desigualdade social e pobreza. E não se engane, a expansão do terrorismo atinge a economia mundial e, em algum momento, vai afetar você!

Fonte: European Union Faces Pandemic-Induced Crime Wave, Claire Meyer, Managing Editor of Security Management - Security Management - Jan 2021


Violência Doméstica durante a pandemia

Postado por Alexandre Moscone, CPP às 18:45 quarta-feira, 10 de fevereiro de 2021 0 comentários

 

Antes do início da pandemia COVID-19, uma a cada três mulheres ao redor do mundo, havia sofrido violência doméstica. Os lockdowns e o #FiqueEmCasa, resultaram em aumentos acentuados dos casos. Na França, os relatos de violência doméstica aumentaram mais de 30%. Na América Latina, os índices subiram acentuadamente. Na Colômbia, por exemplo, a violência contra as mulheres entre 29 e 59 anos aumentou 94% entre março e maio de 2020. 

No entanto, nem todos os países estão registrando aumentos dos casos. Nos USA, em algumas regiões caíram mais de 50%. Mas estes números podem ser enganosos e as vítimas confinadas em casa com seus agressores, podem ser incapazes de relatar incidentes ou obter ajuda. Além disso, a tradicional "linha de frente" contra abusos, como professores, colegas de trabalho, médicos e amigos, passaram a ter contato limitado com as vítimas em potencial. Essas condições deixaram todas as idades e gêneros em maior risco, e ofereceram aos abusadores tempo adicional para rastrear, coagir e prender vítimas, adicionando ainda o ingrediente da tecnologia. 

Muito antes dos confinamentos, a tecnologia inteligente (fechaduras controladas pela Web, luzes, termostatos, câmeras, etc.), já havia sido mal utilizada para monitorar, perseguir, assediar ou intimidar. Com abusadores e vítimas juntos dentro de casa, e por muito mais tempo, a oportunidade de reconfigurar esses dispositivos se expandiu. Em 2018, num caso real, uma casa inteligente, com dispositivos de IOT (Internet das Coisas), forneceu novos níveis de confornto, conveniência e controle pessoal sobre todo o ambiente. Desde a iluminação até o controle climático, podia ser conectado. No entanto, o parceiro abusador invadiu o sistema da casa e, usando câmeras de vigilância, passou a monitorar os movimentos da mulher, tocando músicas no meio da noite, piscando as luzes, e desligando a televisão. A casa parecia mal assombrada. Ele tinha configurado o sistema doméstico inteligente, e a esposa não conseguia assumir os controles. Você pode achar que isto é coisa de cinema, já que a série Mr Robot (2015-2019) relata quase que exatamente tudo isto, logo no início de sua Segunda Temporada. Só que infelizmente a situação acima realmente aconteceu nos USA.

A quantidade de tecnologia nas casas dos Americanos só aumentou desde então, especialmente quando a pandemia forçou pessoas, empresas e instituições de ensino a recorrer ao trabalho remoto e à educação virtual. O número de dispositivos que operam através de redes domésticas coloca as vítimas e suas organizações em um risco adicional. Uma instituição de apoio contra a violência doméstica relatou que mais de 70% das pessoas ajudadas relataram abusos ligados à tecnologia. O problema se estendeu aos assistentes virtuais, relógios inteligentes e até interfones com câmeras. Muitos desses dispositivos estão conectados ao cartão de crédito, portanto os abusadores podem, além de assumir o controle do equipamento, ter acesso aos dados financeiros do alvo.

Outro ponto de atenção é a utilização de malwares (stalkerware ou spyware) usados para rastrear os dispositivos das vítimas, sites que visitam, números de telefone que discam e até mensagens de texto enviadas. As ferramentas disponíveis podem ligar a câmera ou microfone de um smartphone ou laptop e permitir que os criminosos ouçam conversas ou vejam onde a vítima está ou o que está fazendo. Muitas vezes o agressor pode gravar chamadas ou atividades, que podem ser usadas mais tarde para chantagear. Você pode acompanhar isto no filme Cyberbully (2015) ou, aprofundar no assunto e ainda se entreter... é clicar aqui: Filmes sobre Cybersecurity, Segurança da Informação & Hackers!

A maioria dos stalkerwares requer acesso físico ao dispositivo, mas se as vítimas estiverem confinadas por meses com seus agressores, as oportunidades para invasão do dispositivo serão enormes. Os riscos também se estendem aos aparelhos corporativos, já que um celular ou laptop infectado com malware de perseguição, poderia coletar informações confidenciais ou propriedade intelectual da empresa, e desta forma o perpetrador poderia exercer controle sobre a vítima, vingar-se do empregador, da empresa, etc.

Ferramentas remotas de gerenciamento de estação de trabalho como, por exemplo, rastreadores de produtividade ou software de monitoramento de funcionários, os bosswares, possuem funções semelhantes ao stalkerware, e podem até tornar comum a espionagem virtual dos abusadores. Muitos destes aplicativos de monitoramento de trabalho remoto são mal desenhados e sem preocupação com a segurança, o que aumenta a possibilidade do desvio de finalidade.

O monitoramento das pessoas dentro de suas casas e a capacidade de ver o que estão fazendo durante o horário de expediente ou não, é extremamente invasivo. Da mesma forma, os funcionários são colocados na posição delicada em recusar softwares de monitoramento, especialmente durante um período de incertezas econômicas e alto desemprego. Se um colega, gerente ou a empresa em geral, abusar do sistema, o empregado pode não denunciar, por insegurança.

É onde a Segurança deve se unir à TI em desenvolver e aplicar campanhas de conscientização, sobre malware, stalkerware e cibersegurança, além de divulgar informações sobre assédio, violência doméstica ou no local de trabalho, e os recursos disponíveis na assistência às vítimas. Fornecer e promover alternativas de denúncia, especialmente se os abusadores estiverem se valendo da tecnologia, também se mostra necessário. É preciso reformular abordagens e debater sobre como este tipo de vigilância pode ser abusiva. Rastrear secretamente a localização, mensagens, senhas ou telefonemas do seu parceiro, é abuso. Boa prática é incluir estes novos termos na cultura dos empregados e difundir a ideia do abuso digital, já que a maioria das campanhas tem foco na perseguição e no assédio estereotipados.

O abuso doméstico afeta também a segurança no local de trabalho, particularmente no que diz respeito aos agressores ativos (aqueles que efetivamente buscam o local de trabalho dos parceiros) e na mitigação do risco da violência nas empresas. A tecnologia aumenta o desafio, tornando o abuso de parceiros um problema de segurança cibernética.

Fonte: Stalkerware Fuels Technology-Enabled Abuse, Claire Meyer, Managing Editor of Security Management - Security Management - Jan 2021


Security, Cyber, H&S... hora de unir forças!

Postado por Alexandre Moscone, CPP às 19:50 quinta-feira, 4 de fevereiro de 2021 1 comentários

 

Estamos juntos? 
Este é o compromisso da sua empresa na pandemia?

Nestes tempos de incerteza, é fundamental garantir que os funcionários estejam seguros e que possam continuar seu trabalho com segurança, bem como, exista o comprometimento de que não ocorrerão demissões relacionadas à crise do COVID-19. Mostram-se necessárias políticas temporárias que sigam as orientações das autoridades locais e da OMS, e que atendam as preocupações e níveis de conforto dos funcionários, home office, horários de trabalho, viagens restritas ou adiadas, etc. Deve-se buscar a filosofia de que Security & Health & Safety (H&S) não são apenas responsabilidades destes departamentos, e sim de todos os funcionários, que desempenham papel importante na proteção dos ativos da organização. 

É fato que pessoas mal intencionadas não entendem que o Cyber, Físico, Financeiro, etc. da empresa estão separados... eles não se importam... eles apenas atacam! De qualquer forma, o Mercado tende à união de todas as forças da organização. Cerca de 25% das lideranças de Segurança pretendem convergir suas equipes de Segurança Física com as de Segurança Cibernética e, por vezes, até a Continuidade de Negócios. Esta abordagem leva ao maior alinhamento estratégico da Segurança com os objetivos Corporativos, melhor comunicação e cooperação, operações de Segurança mais eficientes e mais visibilidade e influência junto à Diretoria e os C-suite da empresa. E esta tendência vai além, busca também prevenir fraudes. Por exemplo, o Serviço Secreto dos USA recentemente fundiu suas Forças-Tarefa de Crimes Cibernéticos com as Forças-Tarefa de Crimes Financeiros, e agora são conhecidos como Força-Tarefa de Fraude Cibernética.

Pagamentos online e internet banking são comuns, números de cartões de crédito e informações pessoais são vendidos ilegalmente na Dark Web, e as criptomoedas se tornaram um dos principais meios de lavagem de dinheiro. Para investigar crimes financeiros ou cibernéticos, deve-se entender tanto os setores financeiro e de Internet, como as tecnologias e instituições que atendem cada indústria.

Engajar seus executivos, pode ajudar no amadurecimento da cultura de que a segurança é responsabilidade de todos, e não apenas da equipe de Segurança. Isso se tornou fundamental nos últimos anos, à medida que a engenharia social e o phishing tornaram-se alguns dos principais métodos de ataque. E tudo começa com a falta de atenção das pessoas com a segurança. Em geral, os funcionários têm algum grau de acesso às redes corporativas e aos dados confidenciais da empresa que, se comprometidos, colocam a organização em risco. Sendo assim, os empregados precisam de algum conhecimento de segurança, para que o risco seja reduzido.

Ter um programa que se concentre em um tópico por mês e que trate de temas abrangentes, é uma saída. O material pode ser desenvolvido internamente e ser compartilhado pelas TVs distribuídas pelos corredores da empresa, por exemplo. E aqui surge o simples, respostas sobre como lidar com um problema de segurança rotineiro, tipo se conectar ao Wi-Fi em uma cafeteria ou os cuidados básicos com usuário e senha. 

Palestrantes externos, como Frank Abagnale, podem potencializar a audiência dos empregados e possibilita que sejam compartilhadas informações sobre tópicos avançados de segurança, bem como riscos que afetam o cotidiano de todos, como proteger corretamente sua rede Wi-Fi em casa. Lembre-se, se o funcionário for uma vítima em home office, além das informações pessoais dele, as da empresa também estarão em risco.

Outras parcerias com o RH e Comunicações, são sempre benvindas. Isto facilita a mudança na mentalidade dos empregados e ajuda na explicação e absorção de conceitos técnicos para o público em geral. O desenvolvimento de campanhas de teste phishing, para todos os funcionários, com relatórios à Diretoria e os C-suite, são opções. A conscientização top-down é necessária, assim como aplicar treinamento aos empregados que apresentarem desvios, além de estabelecer padrões de comportamento aceitáveis e consequências associadas. É importante deixar claro que os colaboradores são responsáveis por suas condutas. 

home office mudou o cenário de ameaça. Proteger roteadores domésticos passou a ter uma maior importância. Comunicados e orientações aos funcionários agora se apresentam necessários para garantir a segurança do trabalho remoto e reduzir o risco para a Empresa. A ideia é não olhar apenas para a segurança dentro da organização, mas como sendo um modo de vida, pois já que permitimos que os funcionários se conectem ao trabalho a partir de qualquer lugar, precisamos “pensar segurança” em todas as situações. E, combinando-se equipes como as de segurança cibernética e física, cria-se a percepção de que a Segurança é um facilitador de negócios, e não uma força policial. Isto vai trazer melhor aceitação do processo como um todo e, com a maturidade da cultura dos funcionários, você pode almejar metas ambiciosas e ajustar ainda mais seus controles de segurança.

As parcerias com empresas de pequeno e médio porte são recomendadas e podem apoiar na divulgação das melhores práticas. Compartilhar material de conscientização também é saudável, afinal, quanto mais abrangente o ambiente seguro é, melhor para os inseridos nele.

Fonte: Mastercard Takes a Unified Approach to Security, Megan Gates, Senior Editor - Security Management - Sep 2020


Fraudes e desafios das compras eletrônicas

Postado por Alexandre Moscone, CPP às 13:00 terça-feira, 2 de fevereiro de 2021 2 comentários

E a Black Friday... migrou para a Cyber Monday?
Como a nova demanda do comércio eletrônico afetou a área de Security?

Com a pandemia global, a vida pessoal e profissional de muitas pessoas foi ainda mais empurrada ao mundo virtual. O COVID-19 acelerou o interesse nas compras pela rede e, diante disto, empresas se adaptaram, mesclando canais on-line, off-line e serviços de compras presenciais. 

Segundo pesquisas, o crime organizado de varejo, crimes cibernéticos e fraudes no comércio eletrônico, exigem atualmente maior atenção. Os entrevistados disseram que para os próximos cinco anos planejam investir em tecnologia de monitoramento remoto, atualização dos sistemas de ponto de venda (PDV), relatórios de exceção e programas de rastreamento de histórico de reembolso. Esta última ferramenta pode ajudar nas operações de e-Commerce, onde a perda pode ser difícil de mensurar. 

Em teoria, as vendas on-line reduzem os furtos, 0 crime organizado de varejo e desvios internos. No entanto, a complexidade da cadeia de suprimentos, criada pelo comércio eletrônico, resultou em uma crescente de perdas. 

À medida que as compras on-line e a variedade de itens oferecidos aumenta, torna-se difícil gerenciar os sistemas de comércio eletrônico porque, na maioria das vezes, não form projetados para o comércio online, e sim no atendimento presencial. 

Para o cliente, o processo de compra é simples. Envolve apenas o clique do mouse ou um toque em uma tela. Já para a Empresa, o fluxo consiste em enviar o produto de uma loja ou Centro de Distribuição (CD), que pode estar a milhares de quilômetros de distância, e garantir sua entrega segura ao cliente... quase sempre através de um fornecedor externo (Correio ou empresas especializadas em entregas). A operação torna-se ainda mais complicada, especialmente no rastreio da operação, se o cliente decidir devolver o produto. 

Sobre fraudes em geral, despontam compras feitas com cartão de crédito roubado, clientes estelionatários que alegam nunca receber o produto, ou mesmo a própria empresa, leniente, sugerindo ao cliente que mantenha um item indesejado ou defeituoso em troca de um reembolso ou uma fácil substituição. 

À medida que as compras online aumentam, as empresas se veem na necessidade de contratar funcionários rápidamente... e então surgem problemas tanto no treinamento adequado dos novos empregados, quanto na contratação de profissionais inadequados, resultando em erros que afetam a prevenção de perdas. 

Outro grande problema é a quantidade de devoluções que o processo pode gerar, especialmente em roupas e acessórios. Os valores envolvidos são enormes e as taxas de devolução dos produtos podem chegar a até 40%! E para gerenciar todo este fluxo de devolução, são necessárias logísticas reversas incrivelmente eficientes, já que além da conveniência de oferecer aos clientes frete grátis nas devoluções, a mercadoria devolvida apresenta uma ampla faixa de riscos. 

Os lucros com comércio eletrônico podem ser grandes, mas existem muitos custos e outras ações a serem analisados e contabilizados, caso você decida entrar no ramo do e-Commerce. Com um retorno, não só a venda inicial é perdida, mas a porcentagem de margem de lucro do produto pode ser ainda mais reduzida dependendo da condição do item quando ele é devolvido. As devoluções também exigem mão-de-obra adicional, pois o produto precisará ser inspecionado, reabastecido e, por vezes, reembalado, gerando logística reversa adicional. E ainda, cerca de metade dos retornos on-line não podem ser revendidos, mesmo com desconto. 

Logo, a organização e compreensão da cadeia de suprimentos deve abordar os riscos e estar preparada para medi-los com precisão. Se você não pode medi-lo, você não pode gerenciá-lo. Nestas cadeias de suprimentos complicadas, os sistemas de inventário podem se perder ao rastrear saídas e devoluções de mercadorias, enviadas e distribuídas de locais diferentes, para clientes de regiões variadas. E os sistemas não foram projetados para tudo isto. Deve-se considerar a implementação de sistemas de dados que possam fornecer essa flexibilidade e mensurar esses novos riscos gerados pela adaptação à demanda. 

Identificar o problema antecipadamente pode evitar uma devolução e, em última análise, preservar o cliente. Focar em encontrar a falha no sistema, ser menos míope em pensar apenas em fraudes ou furtos, e então, mente aberta em termos da causa da perda, e em como tentar corrigir. As devoluções legítimas também podem apresentar perda significativa, porque podem ser mais difíceis de identificar. 

Há grande pressão nas empresas em se disponibilizar cada vez mais produtos e de maneiras diversas. Aí que se misturaram métodos para atrair compradores às suas respectivas marcas, criando um campo novo de varejo, o Multicanal ou a sua expansão, o Omnichannel. Adicione a tudo isto a compulsão à distância social durante a pandemia COVID-19, e perceba o sucesso a longo prazo. No entanto, as vendas multicanais são uma preocupação para a prevenção de perdas, e embora o maior aumento das fraudes tenha sido nas vendas presenciais, a fraude multicanal segue em alta. 

Variações como comprar on-line, mas retirar pessoalmente, permitem atrair clientes de volta às lojas. Isto também é alternativa ao despacho, já que a entrega pode ir para o endereço errado ou mesmo ser desviada, além de diminuir as taxas de envio, tanto para o vendedor quanto ao comprador. E isto não é tão raro de acontecer, já que por volta de 25% dos clientes optam em retirar seus produtos nas lojas. Entregas tipo drive-thru ou “de calçada” também podem reduzir os riscos e ainda entregar conveniência aos clientes. 

Já a opção de devolver diretamente na loja, provoca demanda adicional, como devoluções "sem atrito" ou "sem incômodos". O lado positivo, é a oportunidade de interagir diretamente com os clientes e criar um relacionamento entre eles e a marca. A desvantagem é que estelionatários se aproveitam deste canal. Empresas oferecem devoluções mais flexíveis ou lenientes, e isto permite fraudes ou abuso do sistema. Vale salientar que uma devolução ainda é uma venda perdida, e reduz a margem de lucro. 

Fraudes de devolução incluem recibos falsos, devolução de produtos comprados com cartões de crédito roubados ou cartões de presente, wardrobing, e muito mais.

Pesquisas mostram que as fraudes em devoluções ocorrem em 8% do total das ocorrências. De fato, em 2019, as perdas anuais com devoluções nos USA, aumentaram em 35% em relação ao ano anterior.

Fonte: IoT Apps Streamline Parking Analytics, Sara Mosqueda, Associate Editor - Security Management - Nov 2020


IoT aplicada em Estacionamentos

Postado por Alexandre Moscone, CPP às 21:37 terça-feira, 26 de janeiro de 2021 3 comentários

 

Gestores de estacionamentos e garagens frequentemente recorrem à vigilância por câmeras na esperança de coibir ou identificar ações e movimentações de usuários e veículos. Mas estes sistemas podem ir além e controlar os fluxos de negócios, reduzir custos e ainda apoiar decisões estratégicas. Isto vai depender da capacidade dos softwares utilizados na integração, otimização e operação dos sistemas. 

Um dos sistemas mais usados é o LPR(License Plate Recognition), ou mais conhecido como reconhecimento de placas de veículos, que pode se conectar a outros serviços digitais, como aplicativos de pagamento, por exemplo. A plataforma LPR identifica os veículos que entraram num estacionamento e, no momento da saída, informa imediatamente quanto tempo ficoram estacionados e valores a serem pagos. 

No entanto, o sistema exige câmeras de vigilância IP dedicadas e que executam exclusivamente os programas LPR. Assim, se um cliente quer tanto o monitoramento quanto a contagem de pessoas ou até mesmo outra forma de análise na mesma entrada/saída, várias câmeras IP serão necessárias, e cada uma exigirá seus próprios programas (o que sobrecarrega a rede) e taxas de independentes de licenciamento (aumento do custo!). 

O desafio é aliviar a carga dos clientes, os problemas de instalação para múltiplas câmeras em um mesmo local, etc... enfim, algo que permita que uma única câmera execute múltiplas funções e por fim suporte vários aplicativos. 

É nesta esteira que chega o provedor Security & Safety Things, uma plataforma paga de IoT (Internet of things), ou a famosa“Internet das coisas”. 

A Empresa sediada em Munique, Alemanha, tem foco em câmeras IP, e trouxe algo que permitiu que clientes mantivessem suas câmeras IP existentes, porém agora com acesso à uma variedade de aplicativos. A plataforma IoT permite que hardware e software da câmera operem independentemente um do outro. Isso funciona porque a plataforma é baseada no Projeto Android Open Source (AOSP – “Android Open Source Project”), o que permite aos gestores dos estacionamentos e garagens testar os aplicativos que melhor se encaixem em suas realidades, sem se comprometerem com a compra de novos hardwares.

E as opções variam. Enquanto um cliente opta por um aplicativo LPR para medir as taxas de ocupação de um estacionamento, outro entende que um de contagem de veículos é mais amigável, e atende o mesmo objetivo. Para clientes do varejo ou similares, medir taxas de ocupação máxima por um período mais longo pode ajudar no planejamento de mudanças ou expansões, e agilizar os negócios, evitando até aberturas desnecessárias de novos estacionamentos ou garagens.

 

A ideia se aplica especialmente em centros, cidades muito povoadas ou históricas. Essas decisões têm impactos significativos, especialmente quando se trata da relação entre o valor do metro quadrado e a criação de vagas de estacionamentos, particularmente em áreas como os centros das cidades. Outra vantagem é a facilidade de uso da plataforma, que economiza tempo valioso aos clientes, já que o sistema é intuitivo e não requer conhecimento especializado ou treinamento avançado à navegação.

 

Além da plataforma oferecer análises e vigilância, a área de relacionamento da Security & Safety Things ainda permite certa customização do processo. Basicamente, caso exista uma demanda que seus aplicativos já existentes não possam atender, a Empresa pode consultar desenvolvedores e encontrar alguém que possa criar ou que já criou uma solução que atenda sua necessidade.

 

Espera-se que isso tudo leve a criar, no futuro, um sistema de vigilância com uma interface de atendimento ao cliente, que poderia ser útil em emergências em estacionamentos maiores. Por exemplo, se alguém caísse ou se ferisse na escadaria de uma garagem ou em uma área isolada, independentemente da hora ou de quantas outras pessoas estão no local, um representante de atendimento ao cliente, com acesso ao sistema de vigilância, poderia acionar a emergência ou, quem sabe, emitir um sinal de alerta para todo o estacionamento solicitando ajuda, de qualquer pessoa que estiver por perto, até a chegada das equipes de socorro.


Desvio de medicamentos e prevenção de perdas

Postado por Alexandre Moscone, CPP às 20:31 quinta-feira, 21 de janeiro de 2021 0 comentários

 

E a segurança dos medicamentos durante a pandemia?

56.000 comprimidos foram desviados entre 2015 a 2017. Funcionários responsáveis pelo inventário da farmácia falsificaram registros de entrada no estoque ou efetuaram baixas fantasmas. Venderam as cartelas no mercado negro e lucraram R$ 57.000,00. Pegos, foram condenados a prisão, mas isto foi nos USA, não no Brasil. 

Hoje, diante da pandemia e recessão econômica, lucrar com o desvio de medicamentos e vacinas pode ser tentador, bem como as perdas do Sistema de Saúde giram em torno de bilhões! Os hospitais, Farmácias e Administrações Pública e Privada, têm obrigações com seus pacientes, funcionários e público, e devem controlar seus inventários, assim como a distribuição segura de medicamentos. 

Com o COVID-19, houve pressão e urgência de resposta à pandemia... e consequentemente, afrouxamento dos processos. Tudo necessário, porém aumentou o risco de desvio de produtos farmacêuticos. E “as vulnerabilidades estão aparecendo mais rápido do que se pode controlar”. 

As melhores práticas variam para diferentes realidades, como as de Farmácias convencionais para hospitalares, Clínicas para consultórios ou para a Indústria Farmacêutica. 

Nas Farmácias convencionais, os farmacêuticos e empregados são os primeiros suspeitos e, em muitos casos, os culpados. Medicamentos vencidos ou que aguardam devolução para um distribuidor, são outro desafio. 

Controle aproximado do inventário e manter os medicamentos em um armário seguro, até sua utilização, podem ajudar. Mostra-se necessária a atenção com a segurança física do estabelecimento, particulamente nos registros eletrônicos. Num arrombamento, assaltantes podem também subtrair os computadores utilizados nos controles de inventário, dificultando a identificação dos medicamentos furtados durante a ação. 

Já as Clínicas médicas, geralmente, não armazenam medicamentos e possuem baixo risco, exceto em um ponto: O talão de prescrição médica. Muitas vezes, funcionários da Clínica fraudam receitas ou, se tiverem acesso, enviam falsas prescrições eletronicamente. Nestes casos, a segurança da informação é ignorada, facilitando a fraude. É importante que os médicos sejam alertados e protejam seus talões de receita, e nunca compartilhem senhas eletrônicas. Revisar rotineiramente seu histórico de prescrição também é recomendado. 

Em Farmácias hospitalares, além dos pontos em comum com as convencionais, temos o foco em medicamentos líquidos e seringas. Estes precisam ser mantidos seguros, antes e depois de seu uso, por meio de políticas que limitam o acesso. Se possível, estabelecer que pelo menos duas pessoas estejam fisicamente presentes para conduzir e certificar cada atividade. E, novamente, os empregados dos hospitais são os principais responsáveis pelos desvios. 

O foco do time de prevenção de perdas será na aquisição dos medicamentos, armazenamento, distribuição, devolução e descarte. Outros pontos serão a segurança física, áreas cirúrgicas, prescrições médicas e emergência. O Gerente de perdas deve trabalhar em conjunto com os Gestores, Jurídico, TI, Farmacêuticos e Chefes de Enfermagem. Estes conhecimentos técnicos e diferentes perspectivas auxiliarão na eliminação de anomalias. 

Estudos mostram que 10 a 15% dos profissionais de saúde apresentam risco de uso de drogas. E estes funcionários são um risco no desvio de medicamentos. Diante disto, os 85 a 90% restantes dos funcionários, representam a primeira linha de proteção da organização e de seus pacientes. Eles podem ser treinados sobre que tipos de comportamento podem ter seus colegas de trabalho viciados. Exemplos incluem o não cumprimento de tarefas ou treinamentos, cochilos em veículos, estações de trabalho ou em banheiros durante os intervalos, ausência nas atividades sociais, recreativas ou profissionais. Podem apresentar pupilas fixas ou dilatadas e indicadores de abstinência como náuseas, inquietação, cólicas, sudorese, coriza, olhos lacrimejando e mudanças de humor. 

Em todas as estratégias de mitigação de riscos, as etapas são as mesmas: identificar, avaliar e mitigar. A rotineira limitação de recursos dificulta a identificação dos riscos potenciais... só que a estratégia falha logo no início se o apontamento não ocorre. Erros repetidos de monitoramento e vigilância se destacam como fraquezas. É onde entra o suporte da Inteligência Artificial (IA), que mistura os talentos de TI, Gerentes de Perdas e especialistas em Saúde. 

A IA usa algoritmos para a identificação de padrões e produtos de maior risco. Programas de software combinam dados de rastreamentona cadeia de suprimentos, prontuários médicos de pacientes e análises comportamentais da equipe de Saúde. Detectam prontamente quem está fora do padrão, e alertam a segurança. É possível saber se um farmacêutico do hospital liberou um medicamento enquanto não estava trabalhando, ou se um enfermeiro retirou uma droga às 09h, mas apenas ministrou as 14h. IA deve ser usada em conjunto com o sistema de monitoramento e vigilância, por uma equipe experiente, que sabe analisar dados, encontrar lacunas e apurar, quando apropriado. Todavia, IA não agregará valor se a equipe de segurança não estiver agindo efetivamente sobre ela. 

Auditorias internas são a força vital dos programas de perdas bem sucedidos. Uma de suas funções mais importantes é avaliar o quanto os Gestores de Perdas estão atentos. Avaliam o cumprimento das Normas Reguladoras, assim como de políticas e procedimentos internos. Nesta esteira, medem a qualidade das apurações de desvios. A Auditoria vai abranger todo o ciclo das substâncias controladas, desde o início da aquisição até a distribuição ou descarte. Uma auditoria, quando feita corretamente, apontará desvios e indicará oportunidades de melhorias. 

Auditorias independentes são altamente recomendadas, pois apresentam garantias e recomendações objetivas à organização. Os trabalhos devem incluir revisão e avaliação de políticas e procedimentos, controles, monitoramento, fiscalização e processos de melhoria interna. E ainda, avaliar as práticas de RH, políticas de abuso de substâncias e treinamentos de supervisores e funcionários. 

As empresas devem se valer de especialistas de segurança versados nos requisitos e regulamentações para instalações mantenedoras de substâncias controladas. Sem a experiência necessária, um consultor pode recomendar investimentos elevados, para medidas de conformidades que não se aplicam à organização. Revisões contínuas de segurança, das ameaças, existência de políticas fortes e flexíveis, programas de treinamento, auditorias e mais auditorias, assim como uma cultura organizacional que exija de seus profissionais o conhecimento e a capacidade de mudança, colocarão os líderes de prevenção de perdas em posição de combater esses crimes.

Fonte: Drug Diversion and Loss Prevention: A Changing LandscapeMark Giuffre, CPP - Security Management - Sep 2020


Assinar: Postagens (RSS)