FastRio
Stephanie Kohn
O cenário de guerra mudou conforme a evolução da tecnologia. Se antes os guerreiros usavam espadas ou espingardas, hoje nem mesmo os mísseis são os artefatos mais modernos. Atualmente, os ataques são cibernéticos. Eles podem ser até menos letais, porém são igualmente nocivos aos países, especialmente para nações como o Brasil, que não possui proteção de seus bancos de dados.
A exposição a esses riscos no Brasil é considerada alta, já que o país é um dos maiores propagadores de vírus e spams na rede mundial. Por conta disso, o CCOMGEX (Centro de Comunicações e Guerra Eletrônica do Governo) inaugurou uma iniciativa para criar simulações de ataques em uma eventual guerra cibernética. O objetivo dos treinamentos é criar os chamados "guerreiros cibernéticos", os futuros operadores do simulador.
"O país está em posição de destaque no mundo e essa evidência pode ser bastante perigosa neste aspecto. Temos ativos e patrimônios para proteger. Se algum país quiser nos atacar não precisa soltar bombas, basta atacar nossa rede", comenta Carlos Rust, sócio-diretor da Decatron, vencedora da licitação realizada pelo Centro de Comunicações e Guerra Eletrônica do Exército para desenvolver o primeiro simulador nacional de operações cibernéticas, o SIMOC.
O simulador pode criar diversos cenários para que os instrutores do treinamento deem missões aos seus futuros guerrilheiros cibernéticos. É possível criar redes virtuais no SIMOC e fazer experiências tanto de proteção como de ataques. "Existe um módulo de criação de cenários que permite dizer quantos roteadores, servidores ou impressoras tem aquele local e um outro módulo que elabora a missão a ser cumprida", explica Rust.
As tarefas são as mais diversas possíveis como derrubar um servidor, por exemplo. Além disso, o software grava todas as ações dos alunos para que o instrutor analise quais os recursos utilizados pela pessoa e dê dicas do que poderia ter sido feito para que o objetivo fosse alcançado de maneira mais eficaz ou mais rápida. "Existem softwares como esses na Itália ou Israel, mas o exército queria ter algo nacional. Vamos gerar um produto completo no mesmo nível das principais soluções estrangeiras disponíveis no mercado. E ainda existe a vantagem de termos 100% do controle da solução", conclui.
Uma equipe formada por doutores e mestres na área de Tecnologia da Informação trabalham exclusivamente no projeto. O aplicativo utiliza tecnologia de virtualização, que executa vários sistemas operacionais em um único equipamento, e componentes de software de código livre para atender aos requisitos identificados. De acordo com o diretor, em julho o SIMOC deverá entrar em ação nos treinamentos militares do CCOMGEX. O investimento para o desenvolvimento do software foi de R$ 5 milhões.
Fonte: OlharDigital
regina@cryptoid.com.br
Faça parte desse projeto você também!
Conteúdo
O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:
Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..
Matérias organizadas por data de publicação
quinta-feira, 19 de janeiro de 2012
Presidente do TST destaca vantagens do processo eletrônico
Presidente do TST destaca vantagens do processo eletrônico
"Um sistema de processo eletrônico uno, nacional e definitivo". Foi dessa forma que o presidente do Tribunal Superior do Trabalho (TST) e do Conselho Superior da Justiça do Trabalho (CSJT), ministro João Oreste Dalazen, descreveu o Processo Judicial Eletrônico da Justiça do Trabalho (PJe-JT) a jornalistas cearenses. A declaração foi dada em entrevista coletiva realizada na sede do Tribunal Regional do Trabalho da 7ª Região, que antecedeu a implantação do sistema na Vara do Trabalho de Caucaia.
O ministro explicou que o sistema, adotado pelo Conselho Nacional de Justiça (CNJ) em âmbito nacional, foi adaptado pela Justiça do Trabalho para as peculiaridades do processo trabalhista. "É o sistema que veio para ficar", ressaltou o ministro, enumerando as diversas vantagens do PJe-JT, como economia com papel, insumos, transportes e armazenamento, entre outras.
A integração com outros sistemas de processo eletrônico, seja de outros ramos do Poder Judiciário, seja de órgãos do Poder Executivo, como a Caixa Econômica Federal e os Correios, foi apontada como "extraordinária". "Hoje, no país, nos temos mais de 40 sistemas de processo eletrônico diferentes nos diversos tribunais da Justiça brasileira. Esses sistemas foram desenvolvidos em linguagens diferentes, e não se comunicam entre si. A grande virtude deste novo sistema que começa a se espalhar pela Justiça do Trabalho é de propiciar a integração".
Aperfeiçoamento constante
O ministro explicou que o PJe-JT passa por atualizações constantes. "O sistema de processo eletrônico que vamos instalar hoje na Vara do Trabalho de Caucaia já é uma versão atualizada da que implantamos, em 5 de dezembro, na Vara do Trabalho de Navegantes. Novas funcionalidades, depois de sua implantação, foram desenvolvidas pela própria Justiça do Trabalho, novos recursos técnicos foram incorporados ao sistema e já serão adotados na versão que vai ser instalada hoje. Ou seja, é um sistema aberto, suscetível de aperfeiçoamento constante", afirmou.
O aperfeiçoamento das ações de capacitação de usuários do PJe-JT também foi apontado pelo presidente do TST e do CSJT como essencial para o sucesso do sistema. "A implantação do PJe-JT é uma meta sobremodo ambiciosa, sobremodo impactante, que não se resume apenas à implantação. Temos convicção de que a implantação é apenas uma etapa de um longo caminho. E uma das etapas que precisamos percorrer é a da capacitação dos operadores da Justiça do Trabalho", afirmou.
Advogados do Ceará participaram de oficina sobre o funcionamento do sistema. O objetivo agora é ampliar as opções de ensino a distância. "Celebramos um convênio com a Associação dos Advogados de São Paulo, mediante o qual nos pretendemos intensificar o ensino a distância dirigido aos advogados sobre o funcionamento do PJe-JT", assinalou Dalazen.
O ministro reafirmou o compromisso da Justiça do Trabalho de instalar o sistema em pelo menos 10% das Varas do Trabalho brasileiras ao longo de 2012. "É uma implantação progressiva, gradual, mas muito segura", concluiu.
Fonte: Tribunal Superior do Trabalho
Data da noticia: 17/01/2012
"Um sistema de processo eletrônico uno, nacional e definitivo". Foi dessa forma que o presidente do Tribunal Superior do Trabalho (TST) e do Conselho Superior da Justiça do Trabalho (CSJT), ministro João Oreste Dalazen, descreveu o Processo Judicial Eletrônico da Justiça do Trabalho (PJe-JT) a jornalistas cearenses. A declaração foi dada em entrevista coletiva realizada na sede do Tribunal Regional do Trabalho da 7ª Região, que antecedeu a implantação do sistema na Vara do Trabalho de Caucaia.
O ministro explicou que o sistema, adotado pelo Conselho Nacional de Justiça (CNJ) em âmbito nacional, foi adaptado pela Justiça do Trabalho para as peculiaridades do processo trabalhista. "É o sistema que veio para ficar", ressaltou o ministro, enumerando as diversas vantagens do PJe-JT, como economia com papel, insumos, transportes e armazenamento, entre outras.
A integração com outros sistemas de processo eletrônico, seja de outros ramos do Poder Judiciário, seja de órgãos do Poder Executivo, como a Caixa Econômica Federal e os Correios, foi apontada como "extraordinária". "Hoje, no país, nos temos mais de 40 sistemas de processo eletrônico diferentes nos diversos tribunais da Justiça brasileira. Esses sistemas foram desenvolvidos em linguagens diferentes, e não se comunicam entre si. A grande virtude deste novo sistema que começa a se espalhar pela Justiça do Trabalho é de propiciar a integração".
Aperfeiçoamento constante
O ministro explicou que o PJe-JT passa por atualizações constantes. "O sistema de processo eletrônico que vamos instalar hoje na Vara do Trabalho de Caucaia já é uma versão atualizada da que implantamos, em 5 de dezembro, na Vara do Trabalho de Navegantes. Novas funcionalidades, depois de sua implantação, foram desenvolvidas pela própria Justiça do Trabalho, novos recursos técnicos foram incorporados ao sistema e já serão adotados na versão que vai ser instalada hoje. Ou seja, é um sistema aberto, suscetível de aperfeiçoamento constante", afirmou.
O aperfeiçoamento das ações de capacitação de usuários do PJe-JT também foi apontado pelo presidente do TST e do CSJT como essencial para o sucesso do sistema. "A implantação do PJe-JT é uma meta sobremodo ambiciosa, sobremodo impactante, que não se resume apenas à implantação. Temos convicção de que a implantação é apenas uma etapa de um longo caminho. E uma das etapas que precisamos percorrer é a da capacitação dos operadores da Justiça do Trabalho", afirmou.
Advogados do Ceará participaram de oficina sobre o funcionamento do sistema. O objetivo agora é ampliar as opções de ensino a distância. "Celebramos um convênio com a Associação dos Advogados de São Paulo, mediante o qual nos pretendemos intensificar o ensino a distância dirigido aos advogados sobre o funcionamento do PJe-JT", assinalou Dalazen.
O ministro reafirmou o compromisso da Justiça do Trabalho de instalar o sistema em pelo menos 10% das Varas do Trabalho brasileiras ao longo de 2012. "É uma implantação progressiva, gradual, mas muito segura", concluiu.
Fonte: Tribunal Superior do Trabalho
Data da noticia: 17/01/2012
Empresas têm até março para entregar declarações
Empresas têm até março para entregar declaração
AGêNCIA BRASIL 19/01/2012 09h49
O prazo para que as empresas brasileiras entreguem a declaração da Relação Anual de Informações Sociais (Rais) ano-base 2011 vai até o dia 9 de março, segundo o Ministério do Trabalho. Esse também é o prazo para fazer retificações nas informações prestadas, sem multa.
Desde a última terça-feira (17), as empresas já podem entregar a declaração, que deve ser feita pela internet, nos endereços eletrônicos http://portal.mte.gov.br/rais/ e www.rais.gov.br.
O preenchimento da Rais é obrigatório para os estabelecimentos inscritos no Cadastro Nacional da Pessoa Jurídica (CNPJ) com ou sem empregados. Os estabelecimentos ou as entidades que não tiveram vínculos laborais no ano-base poderão declarar a opção Rais Negativa.
De acordo com o ministério, está disponível a alternativa de transmitir as declarações com certificado digital.
Em caso de dúvidas, os empregadores podem contatar a Central de Atendimento da Rais pelo telefone 0800-7282326 ou as superintendências regionais do Trabalho e Emprego, gerências ou agências.
As empresas que não fizerem a declaração até o final do prazo ficarão sujeitas à multa prevista no Artigo 25 da Lei nº 7.998 de 1990. O valor mínimo é R$ 425,64, acrescidos de R$ 106,40 por bimestre de atraso, contados até a data de entrega da Rais ou da lavratura do auto de infração.
A Rais é um registro administrativo criado pelo Decreto nº 76.900/75, com declaração anual e obrigatória a todos os estabelecimentos existentes no país. As informações captadas sobre o mercado de trabalho formal referem-se aos empregados celetistas, estatutários, avulsos e temporários, entre outros. Também há informações sobre remuneração, grau de instrução, ocupação e nacionalidade,
AGêNCIA BRASIL 19/01/2012 09h49
O prazo para que as empresas brasileiras entreguem a declaração da Relação Anual de Informações Sociais (Rais) ano-base 2011 vai até o dia 9 de março, segundo o Ministério do Trabalho. Esse também é o prazo para fazer retificações nas informações prestadas, sem multa.
Desde a última terça-feira (17), as empresas já podem entregar a declaração, que deve ser feita pela internet, nos endereços eletrônicos http://portal.mte.gov.br/rais/ e www.rais.gov.br.
O preenchimento da Rais é obrigatório para os estabelecimentos inscritos no Cadastro Nacional da Pessoa Jurídica (CNPJ) com ou sem empregados. Os estabelecimentos ou as entidades que não tiveram vínculos laborais no ano-base poderão declarar a opção Rais Negativa.
De acordo com o ministério, está disponível a alternativa de transmitir as declarações com certificado digital.
Em caso de dúvidas, os empregadores podem contatar a Central de Atendimento da Rais pelo telefone 0800-7282326 ou as superintendências regionais do Trabalho e Emprego, gerências ou agências.
As empresas que não fizerem a declaração até o final do prazo ficarão sujeitas à multa prevista no Artigo 25 da Lei nº 7.998 de 1990. O valor mínimo é R$ 425,64, acrescidos de R$ 106,40 por bimestre de atraso, contados até a data de entrega da Rais ou da lavratura do auto de infração.
A Rais é um registro administrativo criado pelo Decreto nº 76.900/75, com declaração anual e obrigatória a todos os estabelecimentos existentes no país. As informações captadas sobre o mercado de trabalho formal referem-se aos empregados celetistas, estatutários, avulsos e temporários, entre outros. Também há informações sobre remuneração, grau de instrução, ocupação e nacionalidade,
Economia de papel no Congresso Nacional
19/01/2012 16:57
Pauta eletrônica pode economizar 3,5 toneladas de papel por mês, diz projeto
Arquivo/ Leonardo Prado
Teixeira quer proibir uso de pauta impressa na Câmara.
Está em análise na Câmara o Projeto de Resolução 96/11, do deputado Amauri Teixeira (PT-BA), que institui a pauta eletrônica no Plenário e em todas as comissões permanentes da Casa. O texto prevê que a pauta da Ordem do Dia, além de ser publicada no Diário da Câmara, será disponibilizada eletronicamente aos parlamentares. Segundo o autor, a iniciativa dever gerar uma economia de aproximadamente 750 mil folhas ou 3,5 toneladas de papel por mês.
Pela proposta, que altera o Regimento Interno da Câmara, os presidentes das comissões permanentes também deverão organizar a pauta de cada colegiado e disponibilizá-la eletronicamente aos parlamentares. A pauta é o documento que lista os assuntos e as proposições previstas para serem analisadas no dia, pelo colegiado ou pelo Plenário.
O projeto ainda determina que a Câmara instale, em “locais estratégicos” da Casa e do Plenário, equipamentos eletrônicos para que os deputados possam acessar a pauta da Ordem do Dia.
Caso a proposta seja aprovada, a pauta eletrônica deverá ser instituída dentro de seis meses nas comissões e de um ano no Plenário. Após esses prazos, ficará proibida a distribuição da pauta impressa.
“Além de acessar todas as informações referentes aos projetos em discussão no dia, os deputados poderão acompanhar as reuniões realizadas simultaneamente em outras comissões e no plenário Ulysses Guimarães. Pautas, atas e outros documentos não serão impressos sem necessidade, reduzindo o impacto ambiental das atividades da Casa”, disse Teixeira.
Atualmente, as comissões de Constituição e Justiça e de Cidadania; e de Ciência e Tecnologia, Comunicação e Informática já usam o sistema de pauta eletrônica.
Tramitação
A proposta será analisada pela Mesa Diretora da Câmara e pelas Comissão de Constituição e Justiça e de Cidadania. Depois, será votada em Plenário.
Íntegra da proposta:
PRC-96/2011
Reportagem – Jaciene Alves
Edição – Daniella Cronemberger
A reprodução das notícias é autorizada desde que contenha a assinatura 'Agência Câmara de Notícias'
ComentarEnviar
Pauta eletrônica pode economizar 3,5 toneladas de papel por mês, diz projeto
Arquivo/ Leonardo Prado
Teixeira quer proibir uso de pauta impressa na Câmara.
Está em análise na Câmara o Projeto de Resolução 96/11, do deputado Amauri Teixeira (PT-BA), que institui a pauta eletrônica no Plenário e em todas as comissões permanentes da Casa. O texto prevê que a pauta da Ordem do Dia, além de ser publicada no Diário da Câmara, será disponibilizada eletronicamente aos parlamentares. Segundo o autor, a iniciativa dever gerar uma economia de aproximadamente 750 mil folhas ou 3,5 toneladas de papel por mês.
Pela proposta, que altera o Regimento Interno da Câmara, os presidentes das comissões permanentes também deverão organizar a pauta de cada colegiado e disponibilizá-la eletronicamente aos parlamentares. A pauta é o documento que lista os assuntos e as proposições previstas para serem analisadas no dia, pelo colegiado ou pelo Plenário.
O projeto ainda determina que a Câmara instale, em “locais estratégicos” da Casa e do Plenário, equipamentos eletrônicos para que os deputados possam acessar a pauta da Ordem do Dia.
Caso a proposta seja aprovada, a pauta eletrônica deverá ser instituída dentro de seis meses nas comissões e de um ano no Plenário. Após esses prazos, ficará proibida a distribuição da pauta impressa.
“Além de acessar todas as informações referentes aos projetos em discussão no dia, os deputados poderão acompanhar as reuniões realizadas simultaneamente em outras comissões e no plenário Ulysses Guimarães. Pautas, atas e outros documentos não serão impressos sem necessidade, reduzindo o impacto ambiental das atividades da Casa”, disse Teixeira.
Atualmente, as comissões de Constituição e Justiça e de Cidadania; e de Ciência e Tecnologia, Comunicação e Informática já usam o sistema de pauta eletrônica.
Tramitação
A proposta será analisada pela Mesa Diretora da Câmara e pelas Comissão de Constituição e Justiça e de Cidadania. Depois, será votada em Plenário.
Íntegra da proposta:
PRC-96/2011
Reportagem – Jaciene Alves
Edição – Daniella Cronemberger
A reprodução das notícias é autorizada desde que contenha a assinatura 'Agência Câmara de Notícias'
ComentarEnviar
terça-feira, 17 de janeiro de 2012
CT-e - OBRIGATORIEDADE E RELAÇÃO DE EMPRESAS
O Conselho Nacional de Política Fazendária - CONFAZ, na sua 169ª reunião extraordinária, realizada em Brasília, DF, no dia 21 de dezembro de 2011, tendo em vista o disposto no art. 199 do Código Tributário Nacional (Lei nº 5.172, de 25 de outubro de 1966), resolve celebrar o seguinte
AJUSTE
Cláusula primeira Os dispositivos a seguir indicados do Ajuste SINIEF 09/07, de 24 de outubro de 2007, passam a vigorar com as seguintes redações:
I - os §§ 3º e 4º da cláusula primeira "§ 3º A obrigatoriedade da utilização do CT-e é fixada por este ajuste, nos termos do disposto na cláusula vigésima quarta, ficando dispensada a observância dos prazos nessa contidos na hipótese de contribuinte que possui inscrição em uma única unidade federada".
§ 4º Para fixação da obrigatoriedade de que trata o § 3º, as unidades federadas poderão utilizar critérios relacionados à receita de vendas e serviços dos contribuintes, atividade econômica ou natureza
da operação por eles exercida.";
II - a cláusula vigésima quarta:
"Cláusula vigésima quarta Os contribuintes do ICMS em substituição aos documentos citados na cláusula primeira deste ajuste ficam obrigados ao uso do CT-e, nos termos do § 3º, a partir das seguintes datas:
I - 1º de setembro de 2012, para os contribuintes do modal:
a) rodoviário relacionados no Anexo Único;
b) dutoviário;
c) aéreo;
II - 1º de dezembro de 2012, para os contribuintes do modal ferroviário;
III - 1º de março de 2013, para os contribuintes do modal aquaviário;
IV -1º de agosto de 2013, para os contribuintes do modal rodoviário, cadastrados com regime de apuração normal;
V - 1º de dezembro de 2013, para os contribuintes:
a) do modal rodoviário, optantes pelo regime do Simples Nacional;
b) cadastrados como operadores no sistema Multimodal de Cargas.".
Parágrafo único. Ficam mantidas as obrigatoriedades estabelecidas pelas unidades federadas em datas anteriores a 31 de dezembro de 2011.".
Cláusula segunda Ficam acrescidos os seguintes dispositivos ao Ajuste SINIEF 09/07:
I - os §§ 5º e 6º à cláusula primeira, com a seguinte redação:
§ 5º A obrigatoriedade de uso do CT-e aplica-se a todas as prestações efetuadas por todos os estabelecimentos dos contribuintes referidos na cláusula vigésima quarta, bem como os relacionados no Anexo Único deste ajuste, ficando vedada a emissão dos documentos referidos nos incisos do caput desta cláusula, no transporte de cargas.
§ 6º Nos casos em que a emissão do CT-e for obrigatória, o tomador do serviço deverá exigir sua emissão, vedada a aceitação de qualquer outro documento em sua substituição.";
II - o Anexo Único, com a redação constante do Anexo Único deste ajuste.
Cláusula terceira Este ajuste entra em vigor na data da sua publicação no Diário Oficial da União, produzindo efeitos a partir de 1º de janeiro de 2012.
Saiba das novidades acompanhando a Boomerang File, a mais moderna empresa de Gestão de Documentos Físicos e Eletrônicos
Fontes: Grupo Gestão de Documentos Eletrônicos
AJUSTE
Cláusula primeira Os dispositivos a seguir indicados do Ajuste SINIEF 09/07, de 24 de outubro de 2007, passam a vigorar com as seguintes redações:
I - os §§ 3º e 4º da cláusula primeira "§ 3º A obrigatoriedade da utilização do CT-e é fixada por este ajuste, nos termos do disposto na cláusula vigésima quarta, ficando dispensada a observância dos prazos nessa contidos na hipótese de contribuinte que possui inscrição em uma única unidade federada".
§ 4º Para fixação da obrigatoriedade de que trata o § 3º, as unidades federadas poderão utilizar critérios relacionados à receita de vendas e serviços dos contribuintes, atividade econômica ou natureza
da operação por eles exercida.";
II - a cláusula vigésima quarta:
"Cláusula vigésima quarta Os contribuintes do ICMS em substituição aos documentos citados na cláusula primeira deste ajuste ficam obrigados ao uso do CT-e, nos termos do § 3º, a partir das seguintes datas:
I - 1º de setembro de 2012, para os contribuintes do modal:
a) rodoviário relacionados no Anexo Único;
b) dutoviário;
c) aéreo;
II - 1º de dezembro de 2012, para os contribuintes do modal ferroviário;
III - 1º de março de 2013, para os contribuintes do modal aquaviário;
IV -1º de agosto de 2013, para os contribuintes do modal rodoviário, cadastrados com regime de apuração normal;
V - 1º de dezembro de 2013, para os contribuintes:
a) do modal rodoviário, optantes pelo regime do Simples Nacional;
b) cadastrados como operadores no sistema Multimodal de Cargas.".
Parágrafo único. Ficam mantidas as obrigatoriedades estabelecidas pelas unidades federadas em datas anteriores a 31 de dezembro de 2011.".
Cláusula segunda Ficam acrescidos os seguintes dispositivos ao Ajuste SINIEF 09/07:
I - os §§ 5º e 6º à cláusula primeira, com a seguinte redação:
§ 5º A obrigatoriedade de uso do CT-e aplica-se a todas as prestações efetuadas por todos os estabelecimentos dos contribuintes referidos na cláusula vigésima quarta, bem como os relacionados no Anexo Único deste ajuste, ficando vedada a emissão dos documentos referidos nos incisos do caput desta cláusula, no transporte de cargas.
§ 6º Nos casos em que a emissão do CT-e for obrigatória, o tomador do serviço deverá exigir sua emissão, vedada a aceitação de qualquer outro documento em sua substituição.";
II - o Anexo Único, com a redação constante do Anexo Único deste ajuste.
Cláusula terceira Este ajuste entra em vigor na data da sua publicação no Diário Oficial da União, produzindo efeitos a partir de 1º de janeiro de 2012.
Saiba das novidades acompanhando a Boomerang File, a mais moderna empresa de Gestão de Documentos Físicos e Eletrônicos
Fontes: Grupo Gestão de Documentos Eletrônicos
Certificados digitais SSL expirados: um desafio de gestão
Autoridades certificadoras como DigiNotar e Comodo estão sempre nas manchetes, mas há uma ameaça maior à espreita da sua empresa.
..A falta de comprometimento das autoridades de certificado digital (CAs, da silga em inglês) com a segurança, como o da DigiNotar e da Comodo, tem levado alguns especialistas do setor a questionar a validade de certidões em geral.
Mas um relatório de pesquisa do Gartner identifica um risco mais difundido para as empresas: os certificados que expiram porque a organização faz um trabalho pobre para manter o controle dos mesmos. Um certificado expirado leva o acesso bloqueado para um servidor, website ou outro programa que, se é um serviço interno, resulta em dor de cabeça e tempo de inatividade. Caso seja um serviço externo, a organização pode ter a sua reputação manchada.
“A confiança é o elemento chave para tudo que fazemos em nosso mundo digital”, disse Eric Ouellet, analista do Gartner e coautor do relatório “X.509 Gerenciamento de certificado: evitando prejuízo e danos da marca”. X.509 é o formato padrão da indústria para criar certificados digitais, o quais ele comparou com um passaporte ou uma carteira de motorista.
Os certificados falham porque há muitos deles dentro de uma organização e os gerentes muitas vezes têm de verificar manualmente uma planilha para identificá-los, determinar as respectivas datas de vencimento e ativamente renová-los para que eles não expirem. O relatório diz ainda que os certificados de rastreamento podem se tornar complicados caso haja 200 ou mais deles dentro de uma organização.
Os certificados podem ser difíceis de controlar caso alguém crie um certificado e não diga nada a ninguém, segundo Ouellet. Um exemplo pode ser um desenvolvedor que cria um certificado de teste ao escrever uma aplicação e, simplesmente, deixa o certificado de lado enquanto implanta o aplicativo. Em outras situações, o desenvolvedor, a unidade de negócios, um integrador de sistemas ou uma pessoa de segurança de TI apontam o dedo um ao outro para passar a responsabilidade pelo certificado.
“Você precisa mapear os certificados, especialmente os de face externa, porque se você não acompanhá-los eles podem expirar sem que se perceba”, conta Ouellet.
O rastreamento manual também pode falhar se as Cas não forem identificadas, acrescenta o analista. Este problema, em particular, tem afetado os usuários da DigiNotar, na Holanda. Em 2011, 531 certificados foram roubados da DigiNotar, colocando em perigo sites populares como Google, Facebook, Twitter e Skype, assim como serviços de inteligência do governo, como a CIA ( Estados Unidos), MI6 (Grã-Bretanha) e Mossad (Israel).
O resultado é que a DigiNotar saiu do negócio e todos os certificados emitidos por ela foram imediatamente invalidados, afirmou Ouellet. Além disso, todos os líderes de navegadores Web, como o Internet Explorer, Google Chrome e Firefox foram modificados para bloquear os certificados da DigiNotar.
A autoridade certificadora Comodo também foi violada em 2011, porém a violação foi mais contida do que a da DigiNotar, assim os certificados da Comodo ainda são válidos. Mas, se uma organização não acompanhar a emissão de certificado da CA, ela pode ter certificados inválidos sem que possa perceber.
Existem sistemas automatizados de gerenciamento para descobrir os certificados em uma rede, identificar quem os emitiu, determinar sua validade e, em alguns casos, automaticamente renová-los.
O relatório do Gartner identifica as Venafi Director Series, o Certificado Trustwave Lifecycle Manager e o Centro de Inteligência Verisign como exemplos. No entanto, enquanto o Venafi e a Trustwave oferecem gerenciamento de certificados, independentemente da CA que lhes forneceu, o serviço Verisign apenas gerencia os certificados emitidos por ela mesma, empresa cujo certificado foi adquirido pela Symantec em 2010.
No Brasil, a CERTISIGN comercializa os certificados SSL da Verisign e oferece gerenciamento dos seus Certificados SSL através do serviço de MPKI SSL.
A MPKI SSL é uma console de administração dos certificados SSL que através de um certificado digital de administrador a organização acessa remotamente centro de controle dos certificados da Certisign.
As empresas validam seus certificados de uma só vez e esses ficam disponíveis para a emissão no momento em que for necessário. Através dessa console o administrador dos certificados visualizam todas as informações sobre os certificados, como data de emissão, expiração etc. E emitem e refogam os certificados sem que seja necessario a interação com a Autoridade Certificadora.
As empresas validam seus certificados de uma só vez e esses ficam disponíveis para a emissão no momento em que for necessário. Através dessa console o administrador dos certificados visualizam todas as informações sobre os certificados, como data de emissão, expiração etc. E emitem e refogam os certificados sem que seja necessario a interação com a Autoridade Certificadora.
Outro ponto importante sobre o controle de certificados expirados está ligado diretamente a LCR e a OCSP.
A Certisign, por exemplo, administra as listas de certificados inválidos em tempo real, OCSP (Online Certificate Status Protocol), ou Protocolo Online de Status de Certificados. tanto da hierarquia da Verisign quanto os certificados SSL emitidos na hierarquia da ICP BRASIL.
As demais Autoridades Certificadoras fazem essa verificação através da LCR (Lista de Certificados Revogados) e a periodicidade de atualização dessas listas chega a até 30 dias de acordo com a DPC – Declaração de Práticas de Certificação Digital, de cada Autoridade Certificadora.
Se vc administra mais de três certificados SSL, vale uma pesquisa em relação ao gerenciamento.
Fonte: itweb \complemento Blog Certificação Digital.
Assinar:
Postagens (Atom)