No Ciclo da Ofensiva, tudo começa com alguma falha ou deficiência técnica no design, no código ou na arquitetura. Se não resolvida, essa fraqueza se transforma em uma vulnerabilidade real que pode ser explorada, culminando em um ataque que coloca em risco os dados e a operação do sistema, do ambiente ou mesmo da organização e do negócio.

Já no Ciclo da Defesa, a mentalidade muda. Em vez de reagir a ataques, devemos trabalhar a segurança e a privacidade desde a concepção do projeto (princípios conhecidos como security by design e privacy by design). Quanto antes se inicia a preocupação com segurança (o princípio de shift-left), mais amplas, fáceis e eficazes são as proteções. Isso envolve prever o que pode dar errado através da modelagem de ameaças, implementar controles proativos e verificar tudo com testes criteriosos, em um modelo DevSecOps.

Para ajudar você a navegar por essa cadeia, separei os principais conceitos e referenciais utilizados pelo mercado, divididos pela visão de quem ataca e de quem defende. Os principais organismos de referência neste campo são o MITRE a a Fundação OWASP. Uma visão geral está representada no infográfico a seguir.

O Caminho do Atacante (Ofensiva)

Aqui, o foco é entender como as falhas surgem e como elas são exploradas no mundo real.

• MITRE CWE (Common Weakness Enumeration): Catálogo de fraquezas comuns em sistemas de informação (software, firmware ou hardware), documentada e mantida pela comunidade, deficiências ou falhas na arquitetura, no projeto ou no código que introduzem riscos e vulnerabilidades.
  • Referência: cwe.mitre.org
  • A Lista CWE é um dicionário de fraquezas, com sua taxonomia de classificação, que identifica e descreve centenas de fraquezas comuns.
  • CWE Top 25 Most Dangerous Software Weaknesses é a lista das 25 fraquezas mais comuns (prevalentes) e serveras, atualmente.
  • CWSS (Common Weakness Scoring System) é um sistema de pontuação para priorizar vulnerabilidades de software de maneira consistente, flexível e aberta, organizado em três grupos de métricas: Localização de Bases, Superfície de Ataque e Ambiental.
• OWASP Top 10: (The Ten Most Critical Web Application Security Risks): Um ranking atualizado dos riscos de segurança mais críticos para aplicações web, focado no impacto de negócio e prevalência. Em cada risco, são mapeadas as CWEs correlacionadas.
  • Referência: owasp.org/www-project-top-ten
  • OWASP API Security Top 10.
• MITRE CVE (Common Vulnerabilities and Exposures): Uma lista de vulnerabilidades específicas e publicamente conhecidas em produtos ou sistemas de tecnologia.
  • Referência: cve.mitre.org
  • Ver também o NIST NVD (National Vulnerability Database): nvd.nist.gov
• CVSS (Common Vulnerability Scoring System): Padrão aberto para avaliar a gravidade de vulnerabilidades de segurança da informação, gerando uma pontuação numérica de 0 a 10. Gerenciado pela FIRST.org, ele ajuda organizações a priorizar a remediação de falhas com base em métricas de impacto e exploração. A versão 4.0 consiste em quatro grupos de métricas: Base, Ameaça, Ambiental e Suplementar.
  • Referência: first.org/cvss/
  • O que é o Sistema de Pontuação de Vulnerabilidades Comuns (CVSS), por Alice Gomstyn e Alexandra Jonker, IBM Think.
• MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge): Uma base de conhecimento global que descreve as fases operacionais no ciclo de vida de um adversário, pré e pós-exploração (por exemplo, Persistência, Movimentação Lateral, Exfiltração) e cataloga táticas, técnicas e procedimentos (TTPs) usados por adversários durante ataques reais, fornecendo uma taxonomia comum e padronizada. Possui matrizes para ambientes corporativo (Enterprise), móvel (Mobile) e industrial (ICS).
  • Referência: attack.mitre.org
• MITRE CAPEC (Common Attack Pattern Enumeration and Classification): Fornece um catálogo público de padrões de ataque comuns, descrevendo atributos e técnicas empregadas por adversários para explorar fraquezas comuns (CWEs) contra sistemas vulneráveis (por exemplo, injeção de SQL, XSS, fixação de sessão, clickjacking, engenharia social). Ajuda os usuários a entender como os adversários exploram vulnerabilidades em aplicativos e outras capacidades cibernéticas.
  • Referência: capec.mitre.org

O Caminho do Defensor (Defensiva)

Aqui o objetivo é antecipar riscos e construir camadas de proteção que dificultem a vida do invasor.

• Modelagem de ameaças: A modelagem de ameaças (threat modeling) consiste em analisar representações de um sistema para destacar preocupações relacionadas à segurança e à privacidade.
  • Threat Modeling Manifesto, escrito em 2020 por um grupo de profissionais, pesquisadores e autores de cibersegurança que se reuniu para compartilhar uma versão concisa do conhecimento coletivo sobre modelagem de ameaças, definindo seus valores e princípios, padrões e antipadrões.
  • OWASP Threat Modeling Process, por Larry Conklin e outros, aborda os quatro passos básicos da modelagem de ameaças.
• Modelo de ameaças STRIDE: Framework mais popular para identificar ameaças, desenvolvido por Praerit Garg e Loren Kohnfelder na Microsoft. STRIDE é um mnemônico para seis categorias de ameaças: Spoofing (Falsificação – Autenticidade), Tampering (Adulteração – Integridade), Repudiation (Repúdio – Não-repúdio), Information disclosure (Divulgação de informações confidenciais – Confidencialidade), Denial of service (Negação de serviço – Disponibilidade) e Elevation of privilege (Elevação de privilégio – Autorização).
  • Referência: Microsoft Threat Modeling
  • Ameaças e Mitigações do Microsoft Threat Modeling Tool, 01/06/2023.
• OWASP Proactive Controls: Um guia que lista as técnicas de segurança mais importantes que todo desenvolvedor deve implementar durante a escrita do código.
  • Referência: owasp.org/www-project-proactive-controls
• MITRE D3FEND: Um grafo de conhecimento que mapeia contramedidas e técnicas de defesa específicas para neutralizar as capacidades de um atacante.
  • Referência: d3fend.mitre.org
• OWASP ASVS (Application Security Verification Standard): Um padrão detalhado que define os requisitos para verificar se os controles de segurança de uma aplicação foram bem implementados. O ASVS define três níveis de verificação de segurança: Nível 1 (“mínimo”) – primeira camada de defesa, contendo cerca de 20% dos requisitos; Nível 2 (“abrangente”) recomendado à maioria das aplicações; e Nível 3 (“avançado”) aborda mecanismos de defesa em profundidade e outros controles úteis, porém difíceis de implementar.
  • Referência: owasp.org/www-project-application-security-verification-standard
• OWASP WSTG (Web Security Testing Guide): O guia de testes definitivo que fornece o “passo a passo” técnico para testar a segurança de aplicações web e serviços, abrangendo 5 fases ao longo do ciclo de vida de desenvolvimento de software (SDLC): (1) Antes do Desenvolvimento, (2) Definição e Design, (3) Desenvolvimento, (4) Implantação e (5) Sustentação (Manutenção e Operações).
  • Referência: owasp.org/www-project-web-security-testing-guide
  • OWASP Cheat Sheet Series.
  • OWASP Mobile Application Security (MAS).
• CIS Benchmarks: Guias de configuração de segurança (melhores práticas) reconhecidos mundialmente para endurecimento (hardening) de sistemas, desde Windows e Linux até nuvens como AWS e Azure.
  • Referência: cisecurity.org/benchmark

Resiliência com DevSecOps e Visibilidade

Para que toda essa cadeia funcione, a segurança não pode ser um gargalo. No modelo DevSecOps, a segurança é intrínseca ao desenvolvimento, integrando testes estáticos de código, análise de componentes vulneráveis e testes em tempo de execução de forma automatizada e contínua no ciclo de integração e implantação (CI/CD).

• SAST (Static Application Security Testing): Analisa o código-fonte em busca de falhas antes mesmo da aplicação rodar.
• SCA (Software Composition Analysis): Verifica se os componentes e bibliotecas de terceiros e dependências possuem vulnerabilidades conhecidas.
• DAST (Dynamic Application Security Testing): Testa a aplicação “viva” (em execução) para encontrar falhas que só aparecem em tempo real.

O monitoramento e a detecção contínuos garantem a resiliência nas operações, com visibilidade e segurança em tempo de execução (runtime security) e resposta a incidentes.

• WAAP (Web Application and API Protection): Uma linha de defesa moderna para aplicações e APIs expostas, tipicamente incluindo recursos como mitigação de ataques distribuídos de negação de serviço (distributed denial of service – DDoS mitigation), gerenciamento de robôs (bot management), gateway de proteção de APIs, firewall de aplicação (Web Application Firewall – WAF) para filtrar ataques complexos e explorações em tempo de execução (runtime).
• CNAPP (Cloud-Native Application Protection Platform): Conjunto unificado e altamente integrado de recursos de segurança e conformidade, proativos e reativos, que visam proteger todo o ciclo de vida de aplicações e infraestrutura nativas da nuvem (máquinas virtuais, contêineres, Kubernetes e computação sem servidor), do desenvolvimento à produção. Inclui varredura de artefatos (imagens, contêineres, IaC), gerenciamento de postura de segurança (configuração e conformidade) em nuvem (CSPM) e Kubernetes (KSPM), detecção e resposta nas cargas de trabalho (workload) em tempo de execução (CWPP), integrada com plataformas de nuvem e, tipicamente, com IDEs e pipelines CI/CD.
• SOC (Security Operations Center): Monitoramento, detecção e resposta contínuos 24/7, em geral integrando soluções de centralização, análise e correlação de logs e telemetria (SIEM), detecção e resposta estendida (XDR) em endpoints (EDR), rede (NDR) e nuvem (CWP), análise comportamental (UEBA), orquestração e automação (SOAR), combinadas com inteligência e caçada de ameaças (threat intelligence e threat hunting), forense digital e resposta a incidentes (DFIR), inteligência artificial e aprendizado de máquina (machine learning).

Seguir esses frameworks e disciplinas transforma a segurança de sistemas de algo reativo e “heroico” em um processo maduro e previsível.

Mais sobre MITRE e OWASP

As seguintes páginas explicam mais sobre a correlação entre MITRE ATT&CK, CAPEC, CWE e CVE:

• CAPEC – New to CAPEC?
• CAPEC – ATT&CK Comparison

Enquanto o ATT&CK é focado em defesa de rede e descreve fases operacionais no ciclo de vida adversário, o CAPEC foca em segurança de aplicações e descreve atributos e técnicas empregadas por adversários para explorar fraquezas comuns contra sistemas vulneráveis.

A Fundação OWASP provê uma visão integrada de seus vários projetos e padrões, por meio do projeto OWASP Integration Standards, incluindo o OWASP Application Security Wayfider, um diagrama resumido do Ciclo de Vida de Desenvolvimento de Software (SDLC) que busca mapear e correlacionar os projetos, padrões e guias da OWASP:

Outro resultado do OWASP Integration Standards é OpenCRE – Open Common Requirement Enumeration, uma plataforma interativa de vinculação de conteúdo que reúne padrões e diretrizes de segurança OWASP, NIST, ISO27001, CWE, visando facilitar a busca por recursos para desenvolvedores e profissionais de segurança. Inclui OpenCRE Chat bot.

Um dos principais referenciais mundiais é o Cybersecurity Framework (CSF) do NIST, o Instituto Americano de Padrões e Tecnologia (o “Inmetro” dos EUA). Na versão 2.0, ele agrupa 22 categorias de atividades de segurança cibernética em 6 funções básicas: Governar, Identificar, Proteger, Detectar, Responder e Recuperar.

Como já mencionei em artigo anterior, estas funções básicas correspondem ao que as normas internacionais ABNT NBR ISO/IEC 27002:2022 e ISO/IEC TS 27110 denominam conceitos de segurança cibernética, mas os conceitos não dão uma visão prática dos tipos de atividades, controles e tecnologias envolvidos. Vários controles compreendem mais de uma função básica.

Outro referencial, este menos difundido, creio, é o CyBOK – Cyber Security Base of Knowledge, base de conhecimento em cibersegurança mantida por um grupo internacional de especialistas coordenados pela Universidade de Bristol, Reino Unido. O CyBOK é dividido em 21 áreas de conhecimento agrupadas em 5 categorias: “Aspectos Humanos, Organizacionais e Regulatórios”, “Ataques e Defesas”, “Segurança de Sistemas”, “Segurança de Software e Plataforma” e “Segurança de Infraestrutura”. Esta organização é interessante, mas ainda não era o que eu buscava.

O CIS – Centro para Segurança na Internet, com o CIS Critical Security Controls, outro referencial tão mundialmente difundido quanto o NIST CSF, traz uma visão muito prática e objetiva de 18 tipos de controles necessários para cibersegurança, detalhados no que ele denomina “salvaguardas” (que são o detalhamento de controles). Mas esses tipos de controles no CIS Controls não estão agrupados em um modelo conceitual de mais alto nível.

Um outro referencial relevante são os 8 domínios da certificação Certified Information Systems Security Professional (CISSP) do ISC2, uma das mais sólidas e difundidas certificações profissionais na área de segurança cibernética. Os domínios do CISSP se aproximam do que eu procurava, mas ainda não me parecia ideal.

Estudando e convivendo com os controles, tecnologias, produtos e serviços tipicamente envolvidos e encontrados no mercado, eu amadureci um modelo de 8 eixos, que representei a seguir em um diagrama de “templo grego”:

No topo está a Governança e gestão de cibersegurança, que representa os níveis estratégico de governança, risco e conformidade (GRC) e tático de gestão de cibersegurança. O aspecto estratégico abrange políticas, normas, procedimentos, métricas, indicadores, bem como visão e análise holísticas de um sistema de gestão de segurança da informação (SGSI) e um sistema de gestão da continuidade de negócio (SGCN), e está presente nas normas ISO 27001 e 27002. Mas nem tanto nos CIS Controls, que já começa por aspectos mais pragmáticos como a gestão de ativos de hardware e software.

A seguir temos 6 eixos que são pilares da maioria dos controles e atividades de segurança cibernética:

• Monitoramento, detecção e resposta: focado na segurança defensiva, tipicamente executada por equipes “Blue Team” e “Purple Team”, nos eventos e incidentes de segurança e na equipe de tratamento e resposta a incidentes (ETIR), ou em inglês “computer security incident response team” (CSIRT), em geral envolvendo um centro de operações de segurança (em inglês, “security operations center” – SOC), utilizando tecnologias como “security information and event management” (SIEM), “security orchestration, automation and response” (SOAR), “extended detection and response” (XDR), “network detection and response” (NDR), análise comportamental (“user and entity behavior analytics” – UEBA) e outras;
• Gestão de vulnerabilidades e exposição a ameaças: focado na segurança ofensiva e proativa, tipicamente executada por equipes “Red Team”, em aspectos como varredura por vulnerabilidades (brechas em softwares desatualizados, configurações inseguras etc.), superfície de ataque e testes de segurança, manuais como teste de invasão/intrusão – pentest, ou automatizados como “breach and attack simulation” (BAS), em geral orientados por priorização baseada em risco (das vulnerabilidades, dos ativos e do contexto);
• Gestão de identidade e acesso (em inglês, “identity and access management” – IAM), que o Gartner e o mercado tipicamente dividem em governança e gestão de identidade (em inglês, “identity governance and administartion” – IGA), gestão de acesso e autorização (“access and authorization management” – AAM) e gestão de acessos privilegiados (“privileged access management” – PAM);
• Segurança de redes e nuvem: é onde estão tecnologias como firewall (controle do tráfego de dados, prevenção a intrusões etc.) e “security service edge” (SSE) — engloba “zero Trust network access” (ZTNA), “cloud access security broker” (CASB) e “secure web gateway” (SWG) —, rede privada virtual (VPN), dentre outras;
• Segurança de aplicações e desenvolvimento de software seguro: aborda desde o processo e ciclo de vida de desenvolvimento de software seguro (DevSecOps), modelagem de ameaças, requisitos e controles de segurança e práticas de codificação segura, passando pela verificação de segurança como análise de componentes (SCA), testes estáticos e dinâmicos (AST) e postura (ASPM) de segurança de aplicações; até a segurança do ambiente de execução (runtime e workload) como endurecimento de configurações (“hardening”) e proteção de aplicações e APIs (WAAP, mitigação de ataques DDoS, gerenciamento de bots, firewall de aplicação – WAF);
• Proteção e recuperação de dados: engloba desde aspectos fundamentais como cópia de segurança (backup) e recuperação de dados, passando por criptografia, prevenção de vazamento de dados (DLP), proteção contra sequestro de dados (ransomware) até descoberta, mapeamento e gestão do tratamento de dados pessoais e privacidade.

Na base de tudo está o eixo da Capacitação e conscientização em cibersegurança, o foco nas pessoas (o aspecto humano), abrangendo tanto os treinamentos e certificações de conhecimentos e habilidades quanto a contínua conscientização em cibersegurança e suas inúmeras ameaças, tanto do pessoal técnico de tecnologia quanto dos usuários.

Com estes 8 pilares, pude fazer uma correlação bem razoável com os 18 Controles do CIS:

• Governança e Gestão
  • 01: Inventário e Controle de Ativos Corporativos
  • 02: Inventário e Controle de Ativos de Software
  • 15: Gestão de Provedores de Serviços
• Monitoramento, Detecção e Resposta
  • 08: Gestão de Registros de Auditoria
  • 10: Defesas contra Malware
  • 17: Gestão de Resposta a Incidentes
• Gestão de Vulnerabilidades
  • 04: Configuração Segura de Ativos
  • 07: Gestão Contínua de Vulnerabilidades
  • 18: Testes de Invasão
• Identidade e Acesso
  • 05: Gestão de Contas
  • 06: Gestão de Controle de Acesso
• Segurança de Redes e Nuvem
  • 09: Proteção de Email e Web Browser
  • 12: Gestão da Infraestrutura de Redes
  • 13: Monitoramento e Defesa de Rede
• Segurança de Aplicações e Desenvolvimento
  • 16: Segurança de Aplicações/ Software
• Proteção e Recuperação de Dados
  • 03: Proteção de Dados
  • 11: Recuperação de Dados
• Capacitação e Conscientização
  • 14: Conscientização e Treinamento em Segurança

Também pude fazer uma correlação com a maior parte dos domínios do CISSP:

Por fim, fiz a correlação com as áreas conceituais de cibersegurança apresentadas no artigo “Guide to Cybersecurity Concepts”, 18/09/2024, ID G00812374, por Patrick Hevesi e Richard Bartley; bem como com os grupos de controles de segurança fundamentais apresentados no artigo “Guide to Endpoint Security Concepts”, 29/05/2024, ID G00811632, por Eric Grenier:

Espero que este modelo faça sentido para mais pessoas atuando na área de segurança cibernética. Contribuições e críticas são bem vindas!…

De lá pra cá, com a evolução do mundo digital e interconectado (o ciberespaço) vieram os conceitos específicos de cibersegurança ou segurança cibernética; e com o marco legal da General Data Protection Regulation (GDPR) em 2016, regulação da proteção de dados europeia, e sua coirmã brasileira Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709, de 14 de agosto de 2018, os de privacidade e proteção de dados pessoais.

Os períodos de isolamento social impostos pela pandemia mundial de COVID-19 aceleraram ainda mais o uso e a dependência de tecnologia no mundo, e também as ameaças e ataques do cibercrime, como o ransomware (sequestro digital de dados) e os vazamentos de dados.

Duas normas internacionais fundamentais de segurança da informação foram atualizadas em 2022 ganhando sua terceira edição: a ISO/IEC 27002:2022 publicada em 15/02/2022 e sua versão brasileira traduzida e publicada em 05/10/2022 como ABNT NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação; e a recém publicada ISO/IEC 27001:2022, de 25/10/2022, e sua tradução brasileira ABNT NBR ISO/IEC 27001:2022 – Requisitos de sistemas de gestão da segurança da informação, de 23/11/2022. A edição anterior destas normas era de 2013.

O próprio título e classificação da norma 27002 já reflete a evolução mencionada. O título em 2013 era “Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação”. Em 2022 se tornou “Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação”.

A exclusão do termo “código de prática” também ficou coerente, pois a norma 27002 aborda controles em âmbito genérico e conceitual, enquanto controles mais práticos nas camadas lógica e física (mecanismos) são abordados por guias como NIST SP 800-53 – Security and Privacy Controls for Information Systems and Organizations (controles de segurança e privacidade para sistemas de informação e organizações) e NIST SP 800-53B – Control Baselines for Information Systems and Organizations (linhas de base de controles), do Instituto Nacional de Padrões e Tecnologia – NIST do Governo Americano, e CIS Critical Security Controls (controles críticos de segurança) do Centro para Segurança na Internet – CIS.

A ISO 27002:2022 reorganiza e atualiza os controles nos grupos de classificações a seguir. A propósito: controles são as medidas adotadas para tratar riscos.

Assim, cada controle da ISO 27002:2022 é apresentado inicialmente com um quadro com as classificações aplicáveis. Veja um exemplo:

Temas

A norma 27002:2013 tinha 42 objetivos de controle desdobrados em 114 controles, distribuídos em 14 grupos. A 27002:2022 simplificou essa organização; não há mais os grupos nem os objetivos de controle; ela traz 11 novos controles e 32 foram agrupados com outros, resultando em 93 controles, organizados em 4 temas:

• 8 Controles de Pessoas: dizem respeito a pessoas físicas (indivíduos);
• 14 Controles Físicos: dizem respeito a espaços e objetos físicos, inclusive edificações;
• 34 Controles Tecnológicos: dizem respeito à tecnologia;
• 37 Controles Organizacionais: demais controles, que tem um escopo amplo ou difuso.

Estes temas mostram como segurança da informação é assunto que deve ser tratado estrategicamente pela alta gestão das organizações e extrapola tecnologia e segurança cibernética. Envolve também aspectos institucionais e organizacionais, pessoas (recursos humanos em geral, como empregados, usuários, clientes, parceiros, fornecedores e outras pessoas na cadeia de suprimento e operações do negócio), objetos e espaços físicos.

A norma internacional ABNT NBR ISO/IEC 27035-3:2021 – Diretrizes para operações de resposta a incidentes de TIC [tecnologia da informação e comunicação], esclarece em sua introdução:

Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.

Tipos

Os controles podem ser de três tipos, que tem a ver com o momento de atuação (antes, durante ou depois) em relação à ocorrência de incidentes:

• Preventivo: se destina a evitar a ocorrência de um incidente de segurança da informação;
• Detectivo: age quando ocorre um incidente de segurança da informação;
• Corretivo: age após um incidente de segurança da informação ter ocorrido.

Propriedades de segurança da informação

Os controles da norma 27002 visam tratar uma ou mais propriedades básicas de segurança da informação, chamadas “CID”, ou seja, em quais características básicas de segurança das informações cada controle contribuirá para preservação, a saber:

• Confidencialidade
• Integridade
• Disponibilidade

Conceitos de segurança cibernética

Os controles da 27002:2022 também são associados a um ou mais do que ela denomina conceitos de segurança cibernética, conforme nome ISO/IEC TS 27110, mais conhecidos pelo mundialmente difundido NIST Cibersecurity Framework (cujo “nome completo” em português é “Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica”) como as 5 funções básicas (core functions) de cibersegurança:

• Identificar
• Proteger
• Detectar
• Responder
• Recuperar

Capacidades operacionais

O que a norma 27002:2022 denomina capacidades operacionais podem ser entendidas como as diversas “verticais” ou “assuntos” em que em geral se desdobram a abordagem e a aplicação da segurança da informação.

• Governança (políticas, processos, procedimentos…);
• Gestão de ativos (em tecnologia, abrange tanto hardware quanto software);
• Proteção da informação (incluem-se aí proteção de dados pessoais, criptografia, mascaramento…);
• Segurança em recursos humanos;
• Segurança física;
• Segurança de sistemas e redes (inclusive computação em nuvem);
• Segurança de aplicações (inclusive codificação/desenvolvimento seguro);
• Configuração segura (de ativos);
• Gestão de identidade e acesso (um tema bem amplo por si só, que costuma ser dividido em três grandes vertentes: governança e administração de identidades – IGA, gestão e controle de acesso – AM, e gestão de acessos privilegiados – PAM);
• Gestão de ameaças e vulnerabilidades (tipicamente orientada pela análise e avaliação de riscos associados às ameaças e vulnerabilidades mapeadas e identificadas);
• Continuidade (de negócio e de tecnologia, inclusive gestão de crises);
• Segurança da cadeia de suprimentos;
• Legal e conformidade;
• Gestão de eventos de segurança da informação (inclusive tratamento e resposta a incidentes);
• Garantia de segurança da informação.

Vi uma certo paralelo com a organização das salvaguardas dos 18 controles do CIS Controls v8, que listo a seguir a título de comparação:

• CIS Controle 1: Inventário e controle de ativos corporativos (Enterprise Assets) – 5 salvaguardas
• CIS Controle 2: Inventário e controle de ativos de software – 7 salvaguardas
• CIS Controle 3: Proteção de dados – 14 salvaguardas
• CIS Controle 4: Configuração segura de ativos corporativos e software – 12 salvaguardas
• CIS Controle 5: Gestão de contas (Account Management) – 6 salvaguardas
• CIS Controle 6: Gestão do controle de acesso – 8 salvaguardas
• CIS Controle 7: Gestão contínua de vulnerabilidades – 7 salvaguardas
• CIS Controle 8: Gestão de registros de auditoria (Audit Log) – 12 salvaguardas
• CIS Controle 9: Proteções de e-mail e navegador Web – 7 salvaguardas
• CIS Controle 10: Defesas contra malware – 7 salvaguardas
• CIS Controle 11: Recuperação de dados – 5 salvaguardas
• CIS Controle 12: Gestão de infraestrutura de rede – 8 salvaguardas
• CIS Controle 13: Monitoramento e defesa da rede – 11 salvaguardas
• CIS Controle 14: Conscientização sobre segurança e treinamento de competências (Security Awareness and Skills Training) – 9 salvaguardas
• CIS Controle 15: Gestão de provedores de serviços – 7 salvaguardas
• CIS Controle 16: Segurança de aplicações software – 14 salvaguardas
• CIS Controle 17: Gestão de resposta a incidentes – 9 salvaguardas
• CIS Controle 18: Testes de invasão (Penetration Testing) – 5 salvaguardas

Domínios

A 27002:2022 ainda associa os controles a quatro domínios e suas subdivisões. Sinceramente, achei que esses domínios se sobrepõem aos demais aspectos e classificações anteriores e vi pouca significância adicional, mas os listo a seguir.

• Governança e Ecossistema
  • Governança do sistema de segurança da informação e gestão de riscos
  • Gestão de segurança cibernética do ecossistema (incluindo partes interessadas internas e externas)
• Proteção
  • Arquitetura de segurança de TI
  • Administração de segurança de TI
  • Gestão de identidade e acesso
  • Manutenção de segurança de TI
  • Segurança física e ambiental
• Defesa
  • Detectar
  • Gestão de incidente de segurança computacional
• Resiliência
  • Operações de continuidade
  • Gestão de crises

Considerações finais

Recomendo ver o mapeamento entre os 18 controles do CIS Controls v8 e a norma ISO/IEC 27002:2022, parte do vasto material de recursos e ferramentas disponíveis para o CIS Controls v8. Assim como o NIST Cibersecurity Framework (CSF), os CIS Controls são um referencial amplamente difundido e utilizado mundialmente. Este mapeamento feito entre os CIS Controls v8 e a norma ISO 27002:2022 é muito útil para consolidar conceitos e abordagens.

Não faltam normas e recursos cada vez mais amplos e frequentemente atualizados em segurança da informação, segurança cibernética e privacidade. Também não faltam ferramentas, produtos e serviços para os mais variados aspectos envolvidos. O que costuma faltar é tempo e capacitação para os profissionais de segurança absorverem tanta coisa. Bons estudos!

Veja também

• PMG Academy. O que mudou na ISO/IEC 27002 de 2022?, por Adriano Martins Antônio, 20/04/2022.

Para controlar o preenchimento das 678 figurinhas do álbum — sendo 640 das 32 seleções países, 20 por país incluindo equipe, escudo e 18 jogadores; 29 de símbolos, estádios, bola e museu de campeões anteriores; e mais 8 das figurinhas Team Believers Coca-Cola — é comum as pessoas imprimirem uma tabela para ir marcando as obtidas, como o modelo oferecido pelo site Mundo das Figurinhas.

Mas na era do mundo interconectado pela Internet e os dispositivos móveis, existem muitas opções de aplicativos para smartphones para realizar essa tarefa. Os aplicativos oferecem recursos adicionais, como controlar também as figurinhas repetidas, gerar listagens das figurinhas faltantes e das repetidas e até facilitar as trocas entre pessoas.

Testei 5 destes aplicativos, todos gratuitos, e tem alternativas para vários gostos e necessidades.

Figurinhas Copa Qatar 2022 (Figuritas)

Desenvolvedor: Matias Jurfest

Disponível para Google Android (mais de 100 mil downloads) e para Apple iOS.

Uma interface compacta, limpa e prática, combinada com bons recursos. A versão de 19/09/22 trouxe a funcionalidade Trocar, em que você pode escanear um QR code de outra pessoa com o mesmo app para ver quais figurinhas vocês podem trocar.

Visualização: Todas, apenas Faltantes/Restantes, ou apenas Repetidas; não alterna entre as visualizações deslizando lateralmente a tela (tem que selecionar a opção desejada). Agrupadas por seção/time, sem opção de listagem contínua/compacta (o estilo sem a sigla da seção em cada cromo inviabiliza essa opção). Há opções rápidas de ordenação das seções padrão (ordem do álbum) ou alfabética pela sigla de 3 letras. Cada figurinha é representada por um círculo apenas com o número, dentro da respectiva seção (ou seja, ao invés do item ser identificado por “QAT 2”, o título da seção indica o QAT e o cromo está indicado apenas como “2”). Uma borda dourada/amarela indica as figuras brilhantes. 6 colunas por linha, cabem aproximadamente dois times inteiros por tela. O título de cada seção poderia ser em fonte um pouco menor. Na navegação, senti falta de filtro ou outra forma rápida de ir direto para uma seção, barra de rolagem ou opção rápida de ir para o fim ou para o início.

Marcação: Em qualquer visualização, um toque no número marca como obtida, ou, se já marcada, adiciona uma repetida. A quantidade de repetidas fica facilmente identificada em um pequeno círculo sobreposto, similar às notificações do Android. Para desmarcar ou diminuir 1 unidade, deve-se manter pressionado o ícone. É uma interface de marcação eficiente, mas não há opção ou configuração alternativa (por exemplo, um menu popup de confirmação), caso o usuário não se adapte bem a essa. Poderia ter também uma mensagem de notificação confirmando cada ação realizada. Uma ótima opção rápida de cadeado permite bloquear a edição quando se deseja apenas navegar nas visualizações, evitando a marcação acidental.

Compartilhar: Com opção de Faltantes e Repetidas, apenas Faltantes ou apenas Repetidas, gera uma listagem em texto bem compacta e fácil, com o código de 3 letras da seção no início de cada linha, seguida dos números das figurinhas separados por vírgula. Não inclui na listagem o total de figurinhas faltantes/repetidas. Ao final da listagem, inclui os links para baixar o aplicativo.

Estatísticas: Em uma tela, exibe os totais de figurinhas do álbum, faltantes, obtidas e repetidas, percentual completado e dias colecionando (desde que o aplicativo foi instalado). Não tem dados segmentados por seção/time.

Configurações: Permite completar (marcar todas) ou reiniciar (desmarcar todas) o álbum. Tem opção de configurar o álbum com 19 ou 20 figurinhas por país (alterar essa opção após iniciado o preenchimento desmarca tudo, reiniciando o álbum); e também para exibir ou não a seção Team Believers Coca-Cola.

Álbum – Copa do Mundo 2022

Desenvolvedor: Eduardo Oliveira

Disponível para Google Android (mais de 10 mil downloads).

Muitos recursos inovadores e únicos, como permitir o cadastro de múltiplos álbuns, listar e pesquisar código e descrição (nome do jogador, estádio etc.) das figurinhas, mapear pontos e eventos de troca de figurinhas no mapa (geolocalização), compartilhar por texto, imagem ou QRCode, Backup na nuvem.

Visualização: Em Meus Álbuns, comece por criar um álbum e definir um nome. Há abas Todas, Faltantes e Repetidas, que podem ser alternadas deslizando a tela horizontalmente. No layout em tabela contínua com 3 figurinhas por linha, cabe pouco mais que um time inteiro na tela. O ícone exibe a sigla e número da figurinha e, quando marcada, aparece abaixo o controle de repetidas. No layout listagem uma figurinha por linha, cabem apenas 8 linhas na tela, mas é exibida a descrição de cada figurinha (nome do jogador etc.). A aba Faltantes é ligeiramente mais compacta, pois não exibe os controles de repetidas. Uma lupa dá fácil acesso à pesquisa por código ou descrição para navegar direto para uma figurinha específica. Além disso, exibe à esquerda da tela botões para ir direto para o fim ou o início da listagem. Embora acelerem a navegação, os botões sobrepostos atrapalham um pouco a visualização. Permite arrastar a barra de rolagem para navegação mais rápida. Há também opção para Ordenar alfabeticamente por sigla, ao invés da ordem padrão do álbum. Não inclui os cromos Team Believers Coca-Cola.

Marcação: Na aba Todas, um toque marca a figurinha e exibe o controle da quantidade de repetidas com botões (+) e (-); outro toque desmarca. No menu Configurações, há opções para Perguntar antes de marcar e Perguntar antes de alterar o número de repetidas.

Compartilhar: Nas opções de compartilhamento, esse app dá um show. Primeiro você escolhe compartilhar faltantes e/ou repetidas, em seguida escolhe o formato. Em texto, a listagem corrida por código e número, separada por vírgulas, exibe no início o total de faltantes ou repetidas e, no fim, um link para baixar o app. O formato em imagem gera uma tabela bem compacta. E as listagens em texto e tabela ainda seguem a ordenação atual selecionada. O formato QR Code gera uma imagem que pode ser lida por outro usuário do mesmo app, na opção Ler QR Code.

Estatísticas: O cabeçalho fixo da visualização do álbum mostra total de faltantes e de repetidas e o percentual de progresso. Não são exibidos os totais do álbum e de completadas.

Configuração: Existe uma opção de Configurações no menu da tela inicial do aplicativo, com opções de confirmação, notificações de eventos de troca, habilitação e intervalo do Backup automático. Na tela de visualização do álbum, um menu adicional oferece as opções de Ver em tabela, Ordenar alfabeticamente, Marcas todas, gerar e ler QR Code, renomear e apagar o álbum.

Figurinhas Copa do Mundo 2022

Desenvolvedor: Romario Campos

Disponível para Google Android (mais de 50 mil downloads).

Se você quer a visualização mais compacta possível, esse é o seu aplicativo, com layouts e controles distintos bem resolvidos para o preenchimento do álbum (todas as figurinhas ou só as faltantes) e para repetidas.

Visualização: Figurinhas ou Repetidas, podem ser alternadas deslizando a tela lateralmente. Na visualização Figurinhas, podem ser exibidas todas ou, ativando a configuração apropriada, apenas as Faltantes. A opção de visualização de Grid contínua é super compacta, 7 figurinhas por linha, chegando a caber mais de 70 cromos em uma tela. Mesmo no layout agrupado por seção, cabem três times inteiros de uma vez. Não há indicação visível de figurinhas brilhantes. Na aba Repetidas, um layout mais amplo de 4 figurinhas por linha exibe para cada uma controles para exibir, adicionar (+) e remover (-) a quantidade de repetidas rapidamente, com opção de mostrar todas as figurinhas (útil para marcar a primeira repetida) ou apenas as que já possuem repetidas.

Marcação: Na visualização de Figurinhas, um toque marca como obtida; um novo toque abre um menu pop-up confirmando se deseja desmarcar ou incluir repetida. Pelas Preferências, há opção de alterar as seções da ordem padrão do álbum para a ordem alfabética das siglas das seções. Não há opção/controle para evitar marcação acidental ao navegar. Não há navegação rápida por barra de rolagem nem recurso para ir direto para uma seção, o início ou o fim da listagem.

Compartilhar: Nas Preferências, opções de listar figurinhas faltantes ou repetidas. Disponível apenas no formato texto, a listagem é um pouco prolixa: Nome por extenso de cada seção no início de cada linha, seguida dos cromos com sigla e número. Uma linha em branco ainda separa cada seção. Na listagem de repetidas, a quantidade repetida de cada cromo é exibida entre parênteses. As listagens não incluem o total de faltantes ou repetidas. Inclui link para baixar o app.

Estatísticas: No início da visualização de Figurinhas, são exibidos os totais de figurinhas do álbum, preenchidas, faltantes e repetidas, bem como o percentual concluído. Ao avançar na navegação, essas informações não permanecem exibidas, para vê-las deve-se retornar ao topo.

Configuração: Estão nas Preferências as opções de Ordem alfabética, de Exibir somente figurinhas faltantes e do Tipo de visualização (grid contínuo ou agrupado por seção); Compartilhar figurinhas faltantes ou repetidas; compartilhar e avaliar o app. Poderia haver opção para formas alternativas de desmarcar uma figurinha

Álbum Cheio – Copa 2022

Desenvolvedor: Placar de Futebol

Disponível para Google Android (mais de 10 mil downloads).

As estatísticas mais detalhadas estão aqui.

Visualização: Em uma listagem unificada de 5 ícones por linha, agrupada por seções/times, é possível ativar filtro para exibir apenas Preenchidas, Faltantes ou Repetidas. Cada ícone quadrado de figurinha exibe sua sigla de 3 letras, bandeira e número e, muito pequeno no canto inferior direito, a quantidade de repetidas. Bordas amarelas indicam cromos brilhantes. Os totais de preenchidas, faltantes e e repetidas e percentual completado do álbum ficam fixos no topo. À direita no título de cada seção, são exibidas também as quantidades preenchida e total (X de Y). Com isso, não cabem nem dois times inteiros por tela. Não há opção de listagem contínua sem agrupar por seção. A opção de ordenação alfabética disponível é pela descrição da seção/time em português; ficou pouco prática, diferente dos demais apps que é pela sigla de três letras (em inglês) efetivamente usada para identificar as figurinhas; assim, Alemanha vem primeiro, ao invés de estar em G de GER.

Compartilhar: A listagem de Faltantes ou Repetidas está disponível apenas em texto e é extensa, organizada por seções iniciada com descrição por extenso e sigla, mas tem uma característica interessante: sua ordenação segue a opção atualmente selecionada na visualização, padrão ou alfabética. Um asterisco na frente do número sinaliza uma figurinha brilhante.

Estatísticas: Além das ricas informações de quantitativos na visualização, uma tela específica de estatísticas mostra os quantitativos e percentuais de cada seção com gráfico de barras horizontais.

Figurinhas Copa Qatar 2022

Desenvolvedor: Aon Sistemas

Disponível para Google Android (mais de 500 mil downloads).

Sinceramente, não sei como esse app tem mais de 500 mil downloads no Google Play. Achei o mais fraco dentre os avaliados em interface e recursos.

Visualização: Na visualização por Todas, Faltando ou Repetidas, a listagem em tabela (grid) contínua exibe 5 figurinhas por linha e cabe pouco mais que um time na tela. A coloração ficou estranha, o contrário de todos os outros apps: a cor mais viva/forte é para as figurinhas faltantes e a cor mais fraca/esmaecida para as completadas. Há um filtro para navegar direto para uma seção/time e outro para ordenação Padrão do álbum ou alfabética.

Marcação: O primeiro toque marca a figurinha como completada, o próximo abre um menu para escolher Adicionar repetida ou Remover. Não tem cadeado ou opção para evitar a marcação acidental, mas há uma opção de configuração, “escondida” na aba Compartilhar que desativa o “Adicionar figurinha com 1 clique”, de forma que mesmo para marcar abra o menu para confirmar Adicionar.

Compartilhar: Permite compartilhar as figurinhas completadas, faltantes e repetidas, apenas como texto em uma listagem de formato extenso incluindo descrições das seções e figurinhas com código e número.

Acabou?

Essa análise detalhada de usabilidade e recursos procurou facilitar a escolha de um app que mais se adeque às necessidades e preferências de cada colecionador. Mas se nenhum dos cinco satisfez, pesquisando na loja de aplicativos você encontrará vários outros, como Álbum Figurinhas Copa Qatar 2022, da Futurs Games, Figurinhas Copa QATAR 2022, da Aon Sistemas, e outros na Google Play, Sticker Collector Qatar List, da theSpotMobile, e outros na Apple App Store.

Ah, a própria editora Panini tem um app oficial Panini Collectors que permite gerenciar todos os álbuns lançados pela empresa, disponível para Google Android e para Apple iOS, mas nem testei porque é muito mal avaliado pelos usuários.

Como copiar somente as células visíveis?

A resposta, que funciona no Excel 2007 em diante, está no artigo de suporte da Microsoft “Copiar apenas células visíveis” e cujos passos reproduzo e ilustro aqui.

O segredo está em primeiro selecionar apenas as células visíveis, com a opção Página Inicial > Localizar e Selecionar > Ir para Especial > Somente células visíveis. Depois copiar e colar.

1. Selecione inicialmente o conjunto total de células desejadas.
2. Na aba “Página Inicial” (ou “Início” em versões mais antigas) do menu do Excel, localize o último grupo da faixa de opções, “Editar”.
3. Selecione a opção “Localizar e Selecionar” e, no menu que se abre, escolha “Ir para Especial”.
   
4. Na caixa de diálogo que se abre, escolha a opção Selecionar “Somente células visíveis” e OK.
   
5. Agora que somente as células visíveis estão efetivamente selecionadas, execute Copiar (atalho de teclado Ctrl + C).
6. Vá para a célula inicial a partir de onde deseja colocar as células copiadas e execute Colar (Ctrl + V).

Pronto!

Um vídeo de suporte da LG no YouTube, “NETFLIX | Erro na conexão de internet” ensina a resolver a situação editando a configuração avançada de rede (cabo ou Wi-Fi) da TV de modo a desativar a configuração automática (desmarcar a opção “Definir Automaticamente”) da conexão da rede e em seguida alterar o Servidor DNS para 8.8.8.8.

Essa solução efetivamente funcionou para mim.

A explicação técnica é que essa solução basicamente ensina a não utilizarmos o servidor de DNS padrão do roteador, que em geral é definido automaticamente pelo provedor de acesso Internet utilizado, e passar a utilizar o Servidor Público de DNS do Google. Sim, 8.8.8.8 e 8.8.4.4 são os endereços IPv4 dos servidores principal e secundário Google Public DNS. Ou para quem estiver utilizando IPv6, os endereços IPv6 são 2001:4860:4860::8888 e 2001:4860:4860::8844.

Para quem “não é do ramo”, Servidor de DNS – Domain Name System (Sistema de Nome de Domínio) é o serviço que traduz nomes de domínio, como mhavila.com.br, feitos para serem compreendidos por humanos, para endereços numéricos Internet, efetivamente utilizados pelos equipamentos em rede. No protocolo Internet IPv4 (IP – Internet Protocol, em português Protocolo Internet, versão 4), endereços são representados pelo formato de 4 números (entre 0 e 255) separados por ponto, como 1.2.3.4.

De fato, os servidores DNS públicos do Google, se valendo da infraestrutura dessa gigante da Internet, são muito rápidos e estáveis e às vezes mais eficazes que os servidores de DNS de provedores de internet pagos!

É comum ver também a recomendação de uso de Google Public DNS como solução para instabilidade de conexão Internet em jogos online que precisam de respostas rápidas em tempo real, em computadores e dispositivos móveis.

Dica extra 1: Pode ocorrer de, depois de vários dias ou de uma manutenção, o provedor de internet alterar ou atualizar as configurações da sua rede. Se isso ocorrer e a conexão de rede da TV ficar indisponível, altere a configuração avançada de rede da TV para ativar de volta a opção Definir Automaticamente e salve as configurações. Isso vai atualizar outras configurações importantes como Endereço IP e Gateway. Se isso normalizar o acesso, depois você pode repetir o procedimento indicado no vídeo da LG para voltar a utilizar o Servidor DNS do Google.

Dica extra 2: Outro servidor DNS muito rápido que também pode ser utilizado é o 1.1.1.1 da CloudFlare (o DNS secundário é 1.0.0.1); ele tem a vantagem de garantir privacidade: A CoudFlare garante que não registra ou rastreia seu IP, confirmado por auditoria independente da KPGM. Veja também Google DNS vs. Cloudflare DNS: What’s the Fastest DNS?, por Rishabh Chauhan, 10/03/2022; DNS Performance Analytics and Comparison: América do Sul; e Qual o melhor DNS [e por que?], por Ricardo Fraga, 2020.

Vou mostrar um exemplo prático de SOMARPRODUTO extraído do artigo em Blog dos Cursos, por André Victor, onde vi a dica que vou apresentar neste artigo. Suponha que você tenha tabelado o preço unitário (coluna D) e a quantidade em estoque (coluna C) de vários produtos em duas filiais (Unidade 1 e Unidade 2) de uma rede de lojas, conforme ilustrado a seguir, com a fórmula exibida:

Para obter o valor total de produtos em estoque, basta usar a função SOMARPRODUTO dos intervalos C2:C9 (quantidades) e D2:D9 (respectivos preços unitários). Ou seja: 10*35,00 + 15*45,00 + … + 20*60,00 = 6.470,00, conforme resultado a seguir:

Mas e se quisermos somar condicionalmente, apenas por uma das filiais? O Excel não tem uma função “SOMARPRODUTOSE”, como tem a função SOMASE. Mas existe um truque! Se você tomar o intervalo A2:A9 onde estão os nomes da filiais, (A2:A9="Unidade 1") retorna uma lista (VERDADEIRO;FALSO;VERDADEIRO;…;FALSO). Se você utilizar esses valores lógicos em uma conta algébrica, o Excel converte automaticamente VERDADEIRO = 1 e FALSO = 0. Então, se aplicarmos a esse intervalo uma conta simples que retorne o próprio valor algébrico, como multiplicar por 1 (1*) ou inverter o sinal duas vezes (--), teremos 1*(A2:A9="Unidade 1") ou --(A2:A9="Unidade 1") resultando em (1;0;1;…0). Essas operações envolvem as diretrizes de fórmulas em matrizes no Excel que já abordei em outro artigo.

Pronto, utilize esse terceiro intervalo como parâmetro em SOMARPRODUTO e ele multiplicará por 0 onde não for Unidade 1, o que terá o efeito de desconsiderar esse produto (resultado 0) e multiplicará por 1 onde for Unidade 2, considerando o valor de cada produto onde for verdadeira a condição lógica. Ou seja: 10*35,00*1 + 15*45,00*0 + … + 20*60,00*0 = 3.925,00 Veja a fórmula aplicada na imagem do exemplo extraído do artigo citado:

Engenhoso, né? Espero que tenha sido útil e agradeço a André Victor pela dica original e pelas imagens reproduzidas aqui.

É o equivalente à lógica de programação SE condição ENTÃO valor_verdadeiro SENÃO valor_falso.

Mas a função tem usos mais elaborados que se possa imaginar de início.

Ela também pode ser aplicada a matrizes (faixas de células do tipo inicial:final) na condição e nos resultados, avaliando uma expressão em cada célula da matriz na condição e retornando o respectivo valor na matriz do parâmetro verdadeiro ou falso.

Observe o exemplo básico a seguir. Nas células A1 a F1 escrevemos números inteiros (1, 15, 37, 42, 59, 85). Na célula A2, a fórmula =SE(A1:F1>40;A1:F1) faz o seguinte: avalia cada célula de A1 a F1 se o conteúdo é maior que 40; se for, então retorna o respectivo valor da célula; senão retorna FALSO (pois não informamos em SE o terceiro parâmetro caso falso). Como a fórmula em A2 resulta em múltiplos valores, o Excel exibe esse resultado distribuído nas células A2 a F2. Veja a figura.

O artigo Como Encontrar O Valor Mais Próximo Maior Ou Menor Que No Excel, em ExtendOffice, apresenta aplicações desse recurso. Utilizando o resultado do exemplo anterior de SE como parâmetro da função MÍNIMO podemos obter o menor número do conjunto que seja maior que 40. No exemplo ilustrado, a fórmula a seguir retorna 42:

=MÍNIMO(SE(A1:F1>40;A1:F1))

Analogamente, para obter o número mais próximo abaixo de (menor que) 40, a fórmula seria =MÁXIMO(SE(A1:F1<40;A1:F1)) com resultado 37.

Veja também o artigo do suporte Microsoft sobre Diretrizes e exemplos de fórmulas de matriz, para outros exemplos interessantes de fórmulas e funções aplicadas a matrizes de células/valores.

A atitude do meu colega é exemplar. Creio ser fundamental o acompanhamento próximo dos pais na educação, orientação e controle de crianças e jovens, tanto no “mundo físico” quanto no ciberespaço, no universo digital.

As crianças da atualidade são nato-digitais, desde pequenas já são íntimas dos computadores, dispositivos móveis e TVs inteligentes com muita naturalidade. A pandemia de COVID-19 intensificou essa imersão digital em uma escala ainda mais avassaladora. Mesmo crianças pequenas foram obrigadas a ter aulas online, e de forma geral as medidas de isolamento social acabaram por ampliar o tempo de exposição a telas.

Embora o zelo dos pais continue fundamental, e também seja importante gradativamente dar autonomia e confiar nos filhos, os pais não acompanham tudo que os filhos fazem o tempo todo em meio digital, mas os riscos e tentações estão por toda parte. É aí que entra a ajuda muito bem vinda das tecnologias de controle parental. Com recursos que combinam segurança digital, monitoramento e relatórios, controle de conteúdo específico para cada faixa etária e limites de tempo de uso dos dispositivos, estes softwares podem facilitar o trabalho.

Observo três origens ou categorias de ferramentas de controle parental:

Gerenciamento de famílias por fabricantes de sistemas operacionais:

Microsoft (Family), Google (Families e Family Link) e Apple (Families) oferecem recursos de gerenciamento de famílias. Os responsáveis (pai, mãe) podem cadastrar membros da família e indicar a idade de seus filhos para ativar recursos de controle (monitoramento e restrições) específicos para eles. Outro foco comum é o compartilhamento familiar de recursos (aplicativos e conteúdo), bem como a gestão centralizada de meios de pagamento e gastos com recursos.

Controle parental em suítes de segurança cibernética:

Os principais fabricantes de soluções de segurança cibernética (antimalware, segurança na internet etc.) para usuários pessoais, como Kasperky (Safe Kids ou [1]), Symantec (Norton Family ou [2]), McAfee (Safe Family ou [3]) etc. expandiram seus pacotes para incluir recursos de controle parental.

Softares especializados de controle parental:

Em geral com foco em controle de tempo de tela e restrições de conteúdo (aplicativos e sites), existem fabricantes especializados em soluções de controle parental. O mais bem sucedido destes provavelmente é Qustodio, mas existem vários outros, cada um com sua proposta. Cito também o utilitário Kidslox que há anos vem evoluindo em oferecer recursos muito interessantes com foco em tempo de tela e interface fácil.

De forma geral, o que é mais difícil é o ajuste fino de configurações, como faixas de horário, endereços web, aplicativos etc. porque é muito dinâmico ao longo do tempo. Configurações mais simples e genéricas terão menor efetividade, configurações mais precisas serão mais trabalhosas e terão que ser calibradas com certa frequência. Mesmo com ajuda, não há milagres!…

Outra ressalva é que as ferramentas evoluem constantemente, mas não são perfeitas. E as crianças, principalmente as maiores, vez por outra encontram meios para driblar controles parentais.

Vou abordar a seguir algumas ferramentas que já experimentei.

Microsoft

O gerenciamento familiar da Microsoft é um recurso gratuito, bastando que os membros (responsáveis e filhos) da família criem conta na Microsoft (também grátis). O gerenciamento da conta Microsoft permite também compartilhar apps e licenças de software, como a do Microsoft 365 Family que já abordei em outro artigo.

O responsável pode gerenciar os membros da família, que inclui ver o histórico de atividades, definir limites de tempo de tela em Windows 10 (e superior) e Xbox, bloquear ou definir limites para aplicativos e jogos, definir restrições de conteúdo — faixa etária, bloqueios e permissões de sites web (mas apenas no Microsoft Edge, em Windows, Xbox e Android, o que é uma grande limitação), saldo e limite de gastos na Microsoft Store, e localizar no mapa.

Google

Considerando que grande parte dos celulares e tablets usa o sistema operacional Android da Google, os recursos nativos (e sem custo) do Google Family Link para controle familiar e parental neste sistema vem a calhar.

O Family Link é obrigatório para contas no Google de menores de 13 anos de idade (essa idade pode variar de acordo com o país). Os pais podem usar o Family Link para criar uma Conta do Google para o filho menor de 13 anos. Depois que o processo é concluído, a criança pode fazer login no próprio dispositivo com a nova conta. Se a criança/adolescente já tiver uma conta, o Family Link mostrará instruções para vincular a conta dos pais à do filho. Quando um filho completa 13 anos, ele poderá optar por manter as configurações atuais, ativar a supervisão ou gerenciar sua própria conta.

Com o Family Link em Android ou iOS, os pais podem acompanhar as atividades e o tempo gasto por aplicativo, permitir ou impedir download de apps na Google Play Store, gerenciar as compras em apps e ocultar apps específicos no dispositivo da criança, definir limites de tempo de uso do dispositivo, bloquear o dispositivo remotamente e ver a localização do dispositivo da criança no mapa.

Ah, dica: Contas identificadas como de menores de 13 anos sem supervisão são desativadas e excluídas pelo Google, mas ele concede um prazo para você atualizar a conta para atender a restrição de idade, seja ativar a supervisão ou corrigir a data de nascimento — requer informar um cartão de crédito (não gera débito, só valida a autorização) ou digitalizar um documento de identidade. Fique atento.

Kaspersky

A solução da Kaspersky tem uma versão gratuita limitada (veja os recursos gratuitos e pagos na tabela). A plenitude dos recursos, abrangentes e robustos, é paga de acordo com a quantidade de dispositivos e anos. Mas vale a pena, pela excelente avaliação em diversas análises (veja links no final do artigo). O pacote Kaspersky Total Security por exemplo, inclui todos os recursos de segurança contra malwares e ataques online, o Safe Kids Premium e ferramentas como VPN (rede privada virtual) e gerenciador de senhas.

O controle de crianças inclui relatórios e notificações de atividade, localizar no mapa, pesquisa segura em Bing, Google, Mail.ru, Yahoo!, Yandex e YouTube, monitoramento e controle/restrições (permissão/bloqueio) em: Internet (em qualquer navegador) por categorias e URLs avulsos, tempo de uso diário em dispositivos móveis e computadores, bem como de aplicativos individuais (em Windows, Android e, mais limitado, no iOS) — com configurações de tempo por dias da semana — e Facebook. A criança pode enviar aos responsáveis solicitações de liberação de sites e aplicativos proibidos e de tempo de uso extra.

Kidslox

O Kidslox é focado em dispositivos móveis Android e Apple/iOS e oferece controle do tempo de tela, bloqueio de aplicativos por categoria e individual (maior granularidade no Android, o iOS impõe algumas limitações) e filtros de conteúdo na Internet, YouTube e pesquisas Google e Bing. Também tem o recurso de localização do dispositivo no mapa. Os dispositivos podem ficar em modos Bloqueio (só recursos essenciais do sistema liberados), Criança (controles configuráveis de tempo, aplicativos e conteúdo) ou Pais (irrestrito). No próprio dispositivo da criança (mediante senha), ou remotamente pelo seu próprio celular ou web, os responsáveis conseguem controlar os dispositivos, desde que eles estejam conectados à internet.

O controle de tempo é excelente, permite definir tempo total de tela diário e faixas de horários permitidas e bloqueadas, para cada dia da semana. O tempo total em um dia ainda pode ser ajustado, adicionando de 5 a 120 minutos, ou liberando até o fim do dia. Ainda tem o recurso de prêmios de tempo, tempos extras que podem ser concedidos como recompensa (por dever de casa, tarefas domésticas etc.).

A versão gratuita permite controlar apenas um dispositivo e os três modos de operação. A versão Premium controla até 10 dispositivos com todos os recursos e é uma assinatura paga mensal, anual ou vitalícia. Por enquanto, só tem informações de suporte em inglês.

Veja também:

• Controle Parental, por Ministério da Justiça e Segurança Pública.
• Controle parental: como garantir um ambiente seguro para seus filhos na internet (com reportagem em vídeo), por Olhar Digital, 12/07/2019.
• The Best Parental Control Software for 2021, por Kim Kay, PCMag, 02/04/2021, atualizado 15/12/2024. 2021: Melhor pelos excelentes recursos: Qustodio, Melhor para famílias grandes: Kaspersky Safe Kids, Melhor pelas configurações fáceis: Norton Family Premier, Melhor pré configuração: Circle Home Plus (hardware), Melhor substituto de roteador: Clean Router (hardware), Melhor suporte multi-plataforma: Mobicip, Melhor para usuários econômicos: OpenDNS Home Vip, Melhores filtros web personalizados: Net Nanny, Melhor filtro baseado em DNS: SafeDNS, Melhor para suporte ilimitado a dispositivos: McAfee Safe Family. 2024: Best for Establishing Online Rules: Norton Family, Best Apps: Qustodio, Best for Activity Scheduling: Mobicip, Best for Social Media Monitoring: Bark, Best for Android Device Monitoring: Boomerang, Best for Mobile Users: FamilyTime Premium, Best for Location Tracking: Locategy, Best for Online Monitoring: Net Nanny.
• Best Parental Control Software, por Thomas Boldt, SoftwareHow, 21/03/2021, atualizado 18/12/2023. Melhor escolha: Qustodio, Também ótimo: Kaspersky Safe Kids, Menção honrosa: OpenDNS FamilyShield, Ourtros considerados: Net Nanny, uKnowKids Premier, Norton Security Premium, Microsoft Family, KidLogger.
• Best parental control app of 2024, por Benedict Collins, Tech Radar Pro, 16/07/2024. Best Parental Control Overall: Aura, Best Package for a Parental Control App: Qustodio, Best Parental Control App for Content Filtering: Net Nanny, Best Parental Control App for School Work: Norton Family.

Na medida do possível, empresas e governo estão adotando o trabalho remoto ou home-office em larga escala, tentando se valer, por um lado, de ferramentas de acesso remoto, redes privadas virtuais (VPN) e serviços em nuvem para que os funcionários, clientes, usuários e parceiros tenham acesso a recursos computacionais corporativos a partir de casa. Por outro, buscam ferramentas de videoconferência ou reunião on-line para as comunicações e interações entre pessoas e equipes.

Escolas, principalmente no ensino fundamental e médio, também estão tendo que adotar às pressas videoaulas para que os alunos possam efetivamente interagir com professores e continuarem de alguma forma o aprendizado, enquanto escolas físicas permanecerem fechadas. O ensino à distância (EAD) já é muito popular para cursos de nível superior, pós-graduação, cursos livres e especializados, voltados ao público adulto. A novidade tem sido o desafio do ensino à distância com crianças e adolescentes.

As principais redes sociais já oferecem recursos de conteúdo ao vivo, como “as lives” de YouTube, Facebook e Instagram por exemplo, mas é uma interação praticamente “unidirecional”. Um usuário veicula vídeo em tempo real e todo o público apenas assiste, tendo sua interação de retorno limitada a reações na forma de mensagens de chat e emoticons. Vi vários artistas musicais em lives comentando o quanto se sentiam estranhos, pois apesar de saberem que haviam milhares ou até milhões de usuários visualizando, parecia que estavam fazendo show para ninguém, sem sentir o calor e a vivacidade do público presente.

Até a interação entre grupos de familiares e amigos está ganhando a escala dos encontros por vídeo. Como fazer sem os tradicionais ambientes de encontro presencial como bares, casa de shows e outros espaços públicos, sem happy-hours, festas, aniversários, churrascos, passeios…? Como escapar da sensação entediante e deprimente da falta de interação e do isolamento?

Esse cenário grave e inusitado é terreno fértil para as empresas fornecedoras de soluções de comunicação remota, videoconferência e reuniões virtuais. Estas tem buscado evoluir os recursos e capacidades de seus produtos, expandir a escala e limites de acessos simultâneos e tráfego, oferecer usos gratuitos principalmente a empresas e escolas. Também têm visto emergir as fraquezas e falhas de segurança, desempenho, recursos e usabilidade diante de um cenário de uso inimaginavelmente maior e mais intenso.

Quem saiu na frente em popularização foi a Zoom, com seu sistema de videoconferências Reuniões Zoom (Zoom Meetings), oferecendo versão gratuita com reuniões em grupo para até 100 participantes com limite de duração de 40 minutos, fácil configuração e acesso em navegadores web, aplicativos desktop Windows e móveis Android e iOS, e recursos poderosos como compartilhamento de tela, transferência de arquivos e gravação local de reuniões.

Porém, rapidamente surgiram notícias de diversas falhas de segurança e privacidade reveladas no Zoom, como relativa facilidade de se descobrir e invadir reuniões alheias, links e criptografia vulneráveis. Mesmo com o anúncio da empresa de um plano de 90 dias para melhorias de segurança, incluindo lançamento da nova versão 5.0, foi um banho de água fria na credibilidade da ferramenta, principalmente para usos mais críticos.

Foi a vez de gigantes como Microsoft e Google destacarem a robustez e evolução de seus produtos e oferecerem usos gratuitos principalmente para trabalho e educação, com as ferramentas Microsoft Teams e Google Meet. Ambos os fornecedores também tem produtos gratuitos mais simples voltados para usuários pessoais: Microsoft Skype e Google Duo.

Esse mercado ainda conta com outros fornecedores de peso. Citando o quadrante mágico do Gartner para Meeting Solutions em agosto de 2019, tínhamos no quadrante líder, junto com Microsoft e Zoom, Cisco (Webex) e — mais atrás — LogMeIn (GoToMeeting), como desafiantes Google e Adobe (Connect), e visionários BlueJeans by Verizon, StarLeaf, Pexip e Lifesize.

Nessa onda, até aplicativos como o popular WhatsApp aproveitaram para expandir seus recursos. WhatsApp passou a permitir chamadas de vídeo e de voz em grupo com até 8 participantes (28 de abril de 2020). E muitos não sabem que o Facebook Messenger, pouco usado no Brasil, permite vídeo chat em grupo desde dezembro de 2016.

A pandemia de COVID-19, ao mesmo tempo que é uma tragédia mundial, tem impulsionado considerável revolução tecnológica e rupturas de hábitos e culturas nas pessoas, grupos sociais e organizações, como neste caso das reuniões remotas. O tempo dirá o que restou de bom.

Para saber mais:

• Zoom: Zoom Centro de Ajuda; Zoom – Suporte durante a pandemia de COVID-19. Veja também Planos Reuniões Zoom para Sua Empresa; e Zoom Release Notes.
• Microsoft Teams: Auxílio e aprendizado do Microsoft Teams; Microsoft oferece Microsoft Teams gratuitamente para manter organizações e escolas conectadas durante o COVID-19, Microsoft News Center Brasil, 12 de março de 2020. Veja também Microsoft Teams versão gratuita, chat, chamadas de vídeo e colaboração gratuitos para empresas (trabalho remoto) e educação (ensino à distância); e Diferenças entre o Microsoft Teams e o Microsoft Teams gratuito, portal de Suporte da Microsoft.
• Google Meet: Ajuda do Google Meet e Treinamento e ajuda do Google Meet; Helping businesses and schools stay connected in response to Coronavirus, Google Cloud Blog, 3 de março de 2020: acesso gratuito aos recursos avançados de videoconferência do Google Meet para todos os clientes do G Suite e G Suite for Education globalmente foi estendido até 30 de setembro de 2020. Google Meet: videoconferências gratuitas com alta qualidade – para todos [com uma conta Google], Blog do Google Brasil, 29 de abril de 2020: “nosso produto de videoconferências premium será gratuito para todos, e passará a estar disponível ao longo das próximas semanas; (…) a partir de 4 de maio vamos ampliar aos poucos a disponibilidade do Meet”. E Google Meet premium video meetings—free for everyone (em inglês), The Keyword Google official blog, 29 de abril de 2020. Veja também Compare as edições do G Suite – Google Meet.
• Review: colocamos à prova os 5 principais serviços de videoconferência — Comparamos o Zoom, o Cisco Webex, o Microsoft Teams, o GoToMeeting e o Google Meet nos testes do mundo real, por Charlotte Trueman, Computerworld internacional, 05 de maio de 2020.
• Qual é o limite de usuários simultâneos dos apps de videoconferência?, por Lucas Lima, Tecnoblog.
• Which Video Call Apps Can You Trust? (em inglês), por Ashley Boyd, The Mozilla Blog, 28 de abril de 2020.
• The best alternatives to Zoom for videoconferencing (em inglês), por Barbara Krasnoff, The Verge, 1º de maio de 2020.

Também publicado no LinkedIn.