Como mitigar riscos cibernéticos no home office?

Olá Pessoal,

Hoje de manhã (19/03/2020) participei de um webinar muito legal: “Como mitigar riscos cibernéticos no home office?”, feito pela [SAFEWAY]. Vou compartilhar aqui um resumo do que vi e achei legal. 😀

Começando com uma timeline do coronavírus até o momento até o momento, vide imagem abaixo:

Além disso, é importantíssimo vermos alguns dados:

• 75% dos latino-americanos possuem notebook para trabalhar (aqui não importa se é pessoal ou de trabalho);
• 30% se conectam em redes Wi-Fi públicas fora do escritório;
• 8% utilizam VPN.
• 44% trabalham em locais com políticas de segurança definidas;
• 35% estão em empresas sem nenhuma política de segurança;
• 21% desconhecem se sequer existe uma política de segurança.

Fonte: Kaspersky

Se formos analisar o perímetro de conexão de dentro da empresa é bem protegido. Até chegar à internet, precisa passar por ferramentas como:

• Firewall;

• Anti-spam;

• DLP;

• AD; 

• Web filter;

• SIEM;

• Antivírus.

O ambiente ainda não é 100% seguro, mas já é considerado bem mais seguro que o perímetro da conexão em home office. Isso pois quando estamos em casa, nossa proteção normalmente é só um antivírus básico gratuito.

Qual o problema de um antivírus gratuito?

Normalmente ele não é inteligente. Ele é baseado em assinaturas enviados pela fabricante. Um Next Generation AV com EDR (Endpoint Detection and Response) consegue:

• Detectar ameaças persistentes;
• Criar regras customizadas;
• Possui opções para remediar operações maliciosas.

O CISA identificou um aumento de atividades maliciosas da seguinte forma:

• Aumento na busca por exploits de novas vulnerabilidades em VPNs;
• Criação de 4000 domínios com o tema “Coronavírus”;
• 5% suspeitos;
• 3% maliciosos;
• Roubo de informações sensíveis através de Wi-Fi público;
• Campanhas de phishing para roubo de credenciais e extorsão.

Para mitigar isso, as empresas devem:

• Aplicar updates de VPNs, ativos de infra estrutura e dos ativos entregues aos colaboradores;
• Alertar os colaboradores que é esperado um aumento de e-mails falsos (phishing);
• Implementar duplo fator de autenticação sempre que possível, inclusive na VPN;
• Limitar o acesso apenas aos programas/arquivos absolutamente necessários `função de cada colaborador;
• Forçar um timeout de sessão em todas as aplicações consideradas sensíveis;
• Implementar política de senhas forte (mínimo 10 caracteres, com letras maiúsculas, minúsculas, números e caracteres especiais, todos embaralhados);
• Modificar a senha padrão dos roteadores Wi-Fi;
• Fornecer serviços para armazenamento remoto de arquivos e outras tarefas, não permitindo armazenamento local.

Por que tudo isso?

Muitas empresas vão utilizar o home office de agora, período do Coronavírus, como laboratório para implementar definitivamente o home office.

Espero que tenham gostado, até mais! 

Evento: Segurança não pode ser sorte - em Blumenau (promovido por Teevo e WatchGuard)

Olá Pessoal,

Ontem eu participei de um evento chamado #SegurançaNãoPodeSerSorte, que aconteceu em Blumenau no RexCo, realizado pela Teevo e WatchGuard.

Vou deixar um resumo do que vi lá:

1ª Palestra: Um ambiente pensado em recursos de proteção contra ameaças avançadas em todos os níveis – Pela WatchGuard

Slogan: Segurança inteligente de forma simples

3 especializacoes dos produtos:

- Firewall (solução utm dentro de caixa) 

- Wifisegura

- Dupla autenticacao

Ganharam a premiação pelo 3º  ano consecutivo como recomendável no 2019 NSS Labs Next Generation Firewall Group

Licenciamento(via caixa com processadores Intel) :

- caixa básica

- avançadas (DNS watch, sophos, cylances(comportamentos), 

Mais de 30 patentes do espectro de Wi-Fi e authpoint

Blog da empresa: www.secplicity.org Na página Threat Landscape (mostra malwares e ataques regionais) 

2ª Palestra: Vulnerabilidades de um ambiente sem wi-fi seguro, como elas atingem os colaboradores e impactam da empresa – Pela WatchGuard

Possuem 4 produtos em 1: Trusted Wireless Enviroment

Utm não faz trougput da caixa diminuir

6 formas maliciosas de ataques a APs:

- AP clandestino (rogue AP) 

- AP evil twin (clonar e outras coisas com ssi de AP) 

- AP vizinho 

- Cliente clandestino (rogue client) 

- Rede ad-hoc

- AP mal configurado

O Ap420 foi o único que preveniu e detectou os 6 tipos de ataques acima descritos. Comparativo foi com outros equipamentos da Aruba que detectou e evitou 0, Cisco Meraki MR53 que detectou 1 e evitou 0, Ruckus R710 que preveniu e evitou 2.

Wi-Fi Pineapple (funciona como Rogue AP)  (tem no mercado livre por uns R$ 500) foi usado para demonstrar a insegurança de conectar numa WiFi errada e da chamada que o celular faz à WiFi de casa, por exemplo. Esse equipamento capta a chamada que o celular faz e pode disparar um sinal com o mesmo ID e capturar informações do celular.

O palestrante citou caso de engenheiro que tirou uma foto em Julho de 2017 com um post-it contendo a senha do sistemas de alerta de mísseis, e em Janeiro de 2018 foi disparado um alerta de mísseis no Havaí. Detalhes aqui: https://noticias.uol.com.br/tecnologia/noticias/redacao/2018/01/17/segundo-erro-agencia-de-emergencia-do-havai-deixa-senha-exposta-em-post-it.htm

3ª Palestra: Case da Cristalpet com a Teevo

Saíram de 0 segurança no ambiente para um ambiente com caixa da WatchGuard, Wifi, e toda a segurança provida pela Teevo.

Alcançaram uma maturidade grande em segurança em 7 meses.

Na matriz, existem uma TV de 50’ com dashboard com todos os links de Internet, conseguem ver o pico dos links, e a queda e redundância de links da matriz com as filiais em tempo real (dashboard da própria WatchGuard)

Todo pen-drive é bloqueado em todas matrizes e filiais.

Bloqueiam quase tudo de acesso de internet (grupo de acesso padrão no AD (está liberado sites de governo e uns 2 sites de notícia e possuem um outro grupo com YouTube liberado))

Unificaram todos os sites corporativos com uma solução WatchGuard (é um portal corporativo)

Diretoria da Cristalpet zela muito pela segurança, então não tiveram problemas para liberar recursos para montar um ambiente de segurança (essa empresa tem contrato fechado com a CocaCola, e investilham milhões para conseguir as ISOs exigidas pela CocaCola). 

Teevo auxiliou a equipe da Cristalpet nas migrações de tecnologia  (para o Office 365, ajudou a migrar todos os servers para Azure)

Caixas contratadas em comodata.

Ganhei um prêmio no sorteio do bingo... 

4ª Palestra: LGPD, por Robertson da Teevo

Não falaram nada de novo para quem já acompanha webinars sobre a LGPD:

- Motivação da construção da lei

- Objetivos da lei

- Abrangência (dado pessoal, lei se sobrepõe a contrato, tratar dados para serviços e produtos ) 

- Tipos de dado(pessoal, anonimizado, sensível e não pessoal) 

- Nomear DPO (com a MP pode ser terceiro) 

- Quando é permitido o uso de dados

- Empresa deve possuir políticas eficientes de governança 

- Registros de todas as operações feitas com dados de usuários 

- Relatório de impactos das operações (ter um relatório de mapeamento de todos os sistemas e nível de aderência) 

- Reparar o titular caso dado tenha vazado

- Ônus da prova de não impacto (em caso de algum malandro dizer que qualquer empresa vazou seus dados, não pode alegar nada sem provas)

- Infrações 

- Transferência de dados internacionais

- Motivos para se adequar( aumento da coleta de dados, compartilhar dados sem controle, impacto em negócios e até em eleições, perda de privacidade, prejuízo para o cidadão, possibilidade de discriminação automatizada, vazamento de dados pessoais) 

LinkedIn recebeu multa de bilhões por não proteger os dados de forma adequada, influência em eleições (USA), 

POR ONDE COMECAR

1- mapear os dados e fazer auditorias

2- mapear dados internos e fontes de Infos utilizadas

3- estabelecer um processo de governança

4- revisar políticas de segurança(quem pode acessar o que) 

5- investir em soluções  de segurança da informacao

6- treinar e conscientizar equipes 

7- estruturar um time de copliance 

- Definir política de gestão de dados 

- Definir política de vazamento de dados

- Criar função de DPO

- Manter rotinas periódicas de treinamento

- Revisar processos internos de tratativas de dados

- Adequar os sistemas para manter só dados necessários

- Medidas técnicas : soluções em cloud são as mais próximas de estarem em Compliance com a lgpd 

- AV, cofre de senhas, criptografia em banco de dados, Autenticação em duplo fator/token, DLP, IPS, Firewall de próxima geração, VPN criptografada

- Ter log e controle de acesso de tudo

- Empresas q mandarem contrato dizendo que se abstém de possíveis problemas. Isso não é valido. A lei é superior a esse tipo de anexo/adendo/contrato.

O evento teve me deu algumas ideias bacanas para futuros eventos de segurança da informação. 😉

(Clique nas imagens para vê-las maior)

Espero que tenham gostado! Até mais 😊

Armazenando senhas corporativas de forma segura: uso do Cofre de Senhas

Você já pensou em armazenar, de forma segura,  senhas corporativas? Já pensou o que acontece quando todas as pessoas que possuem acesso a um ambiente (à console da AWS ou à Google Play Store onde é feito deploy de APPs corporativas, por exemplo) saem da empresa e não passam a "planilha mágica" contendo todos os acessos a alguma pessoa?

Foi pensando numa solução assim, que foi criado aplicações chamadas de Cofres de Senhas.

O que é um cofre de senhas?

É uma aplicação que armazena, de modo seguro, as senhas administrativas das empresas.

A ferramenta vai além...

Normalmente, essas ferramentas são vinculadas ao Active Directory então, se um usuário sai da empresa ele perde o acesso a determinado ambiente.

As ferramentas de cofres de senhas, em geral, gravam todo o acesso realizado a partir do cofre. Então se um usuário acessou um ambiente MSTSC ou Putty de cliente, fica tudo gravado.

Pode ser configurado para alterar a senha após o uso da aplicação.

Pode ser configurado para que o acesso a uma aplicação web ou dispositivo só seja liberado após um usuário administrador dar um OK.

Somente usuários administradores cadastram dispositivos compartilhados em mais pessoas.

Somente usuários administradores dizem quais aplicações/dispositivos cada usuário (ou grupo de usuários) terá acesso.

Um usuário comum pode cadastrar senhas também, porém ele não consegue compartilhar elas com ninguém.

O que o uso de um cofre trás de benefício para as empresas?

Maior rastreabilidade e identificação de uma ocorrência. Assim, será possível descobrir qual foi o usuário que excluiu um registro do banco de dados, ou alterou arquivos de configuração de um servidor, por exemplo.

Possibilidade de alterar, com poucos cliques, todas as senhas de ambientes.

Quando todas as pessoas de uma equipe saem da empresa, as novas terão acesso às senhas dos ambientes já cadastrados.

Até mais, 😀

Software gratuito para fazer o PIA na LGPD

Olá Pessoal

Quem já começou o trabalho da LGPD sabe que uma das primeiras fazes é fazer o DPIA (relatório de Avaliação de Impacto de Privacidade na LGPD).

Estou num grupo de WhatsApp onde um dos integrantes divulgou um software distribuído pela CNIL (autoridade da França) que é open/free/gratuito. Apenas contextualizando, a Europa tem uma regulamentação chamada GDPR, que é a mãe da nossa LGPD (nossa lei é baseada na GDPR).O software tem também um guideline da metodologia. O software inclusive tem interface em português (mas só parte do sistema). 

Software: PIA

Tamanho: 71,2 Mb (Windows)

S.O.: Tem para Windows, Linux e Mac.

Link para download: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment

Espero que gostem, até mais! 😀

Iniciando scripts e programas com o login do Windows por pasta

Olá Pessoal

Se você quer iniciar um programa ou um script (.bat) junto com o login no Windows, tem duas formas bem fáceis de fazer isso (que funciona para Windows 7, 8, 8.1 e 10):

1ª forma:

1º - Crie atalhos dos seus programas e/ou scripts na sua Area de Trabalho / Desktop;

2º - Abra uma pasta qualquer e navegue até o seguinte endereço: C:\Usuários\<seu usuário logado>\AppData\Roaming\Microsoft\Windows\Menu Iniciar\Programs\Inicializar ou então C:\Users\<seu usuário logado>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup; 

3º - Cole lá dentro aqueles atalhos criados na sua Area de Trabalho/Desktop.

Pronto, agora é só desligar/reiniciar/fazer logoff e ver os resultados! 😀

2ª forma:

1º - Crie atalhos dos seus programas e/ou scripts na sua Area de Trabalho / Desktop;

2º - Abra a janela do Run / Executar ( Aperte "Windows" + "R" no teclado);

3º - Digite (ou cole) o seguinte comando: %AppData%\Microsoft\Windows\Start Menu\Programs\Startup

4º - Cole lá dentro aqueles atalhos criados na sua Area de Trabalho/Desktop.

Pronto, agora é só desligar/reiniciar/fazer logoff e ver os resultados! 😀

Espero que aproveitem! 😀

Instalando fontes novas no Windows 10

Olá Pessoal,

Para quem não sabe, além de trabalhar com testes também sou escritora. No processo de criação da capa do meu livro eu testei váaaarios estilos de fontes diferentes e, para isso, tive que instalar muitas fontes. Ai eu tinha sempre o mesmo problema: achar um tutorial rápido na internet para Windows 10. (Alerta para desabafo! 😱)Caramba, como o pessoal enrola nesses tutoriais para Windows 10. Fui obrigada a procurar para Windows 7 (sim, funciona igual). Fiz este post para eu mesma achar o tutorial rapidamente, sempre que eu precisar 😉.

Vamos à instalação de fontes (que funciona para Windows 7, 8, 8.1 e 10):

1º- Abra a janela do Run / Executar ( Aperte "Windows" + "R" no teclado);

2º - Digite "%windir%\fonts". Você também pode digitar "C:\Windows\fontes" (funciona igual). Depois aperte "Enter" ou clique em "OK";

Imagem do autor. Clique nela para vê-la maior.

3º - Arraste a fonte que você baixou da pasta de origem para a pasta de fontes do Windows. Se você não for o Administrador da máquina, o Windows vai pedir a senha de Administrador para confirmar a instalação.

Imagem do autor. Clique nela para vê-la maior.

4º - Depois disso é só abrir seu editor de Imagens, PowerPoint, Illustrator, Word ou qualquer outro programa e se divertir com as fontes novas.

Espero que aproveitem! 😀

LICEcap e ScreenToGif: ferramentas leves de evidência de teste

Olá pessoal,

O LICEcap e o ScreenToGif são duas excelentes ferramentas para criar .GIFs da tela do testador. As GIFs são mais leves que os vídeos, e muitos locais pedem que o testador coloque uma evidência de teste, por isso ferramentas que geram GIFs são altamente recomendadas. 

Eu separei aqui 2 ferramentas diferentes. O objetivo é o mesmo: criar .GIF de telas.

Mas por que separar duas ferramentas então?

Porque apesar do mesmo objetivo, o LICEcap é beeeem mais simples que o ScreenToGif. Vamos as diferenças:

LICEcap: é uma ferramenta leve e extremamente simples. Tem basicamente 3 botões: Start (para iniciar a gravação), Pause (para pausar a gravação) e Stop (para finalizar a gravação). Além disso, esse programa pede para salvar a gif com o devido nome antes de finalizar a gravação, ou seja, quando você clicar em Start vai aparecer uma janela para salvar, criará o arquivo da GIF e então começará a gravar sua tela. O arquivo ficará legível somente depois que finalizar a gravação. É um aplicativo mega simples, sem nenhuma funcionalidade adicional que você dimensiona a janela para selecionar a área de gravação. Visualmente, é mais feinho.

Pessoalmente, acho ele perfeito! Uso e recomendo.

Para baixar o LICEcap: https://www.softonic.com.br/download/licecap/windows

ScreenToGif: é uma ferramenta leve mas não tão simples quanto o LICEcap. Diferente do LICEcap, o ScreenToGif possui vários recursos para a edição da GIF pós gravação da mesma. Você consegue recortar a GIF, adicionar animações, salvar como vídeo. É uma variedade enorme de possibilidades. Visualmente, é sensacional.

Apesar dos diversos controle e da interface mais amigável, acho-os desnecessários pois meu objetivo é mostrar fielmente o que acontece durante um teste. 

Para baixar o ScreenToGif:  http://www.screentogif.com/?l=pt_br

Não vou escolher o melhor ou pior, pois ambos são leves e muito funcionais, cumprindo em 100% o seu objetivo. A escolha fica de acordo com a necessidade do usuário.

Espero que tenham gostado, até mais! 😃

Massa de dados com data fixa: como evitar a quebra dos testes automatizados?

Um dos maiores medos dos testadores/automatizadores é quando um cenário de testes vem com data fixa. Se este teste é executado daqui a um tempo novamente, este cenário irá quebrar pelo simples fato de possuir uma data fixa nas pré-confições do cenário. Por exemplo, tenho testes que utilizam informações de um período de férias do mês anterior, no próximo mês o mês anterior já não será o mesmo, isso provavelmente fará o teste falhar. 

Que alternativa temos para as datas fixas?

Uma alternativa fácil, que também é sujeita a falhas, é "fixar" a data da máquina onde os testes estão executando. Eu acho esta uma prática muito errada, pois a máquina pode alterar o horário para o horário correto no meio da execução dos cenários automatizados. Aí perdemos a execução (Isso já me aconteceu devido à política de máquinas definida no AD aqui na empresa :'( ).

Outra alternativa é ter um mecanismo de "popular" a base através de um script antes de iniciar o teste. Isto permitiria que os dados inseridos fossem dinâmicos. Este script gera uma manutenção alta, pois alterações na base podem fazer com que o script pare de funcionar ou faça algo não esperado.

Existem ferramentas de mercado para inserir massas de dados que serão utilizadas nos testes?

Existe sim meus caros testadores! Uma boa opção é o DBUnit. Ele lê de um arquivo XML os registros e altera na base.

Como funciona quando uma validação precisa ser previsível?

Bom, a previsibilidade dos script pode ser garantida de forma lógica. Por exemplo, Existem cenários de testes para um processo de inserção de nota fiscal, onde o número da nota deve ser igual ao número anterior + 1. Para evitar que ocorram erros futuros quando se adicionar notas indiscriminadamente, adota-se uma validação lógica a qual seja especificada que o número da nota inserida deve ser igual ao número da nota anterior + 1. Dessa forma, ao se adicionar novas notas necessárias para outros cenários futuros não quebrará o teste.

Isso ocorre também no caso de datas exemplificado no início deste post. Repare que a especificação é estática e bem definida para o propósito de ser validado, porém por também ser lógica a implementação dela é que será dinâmica de acordo com a data em que o teste será executado.

Você já se deparou com uma situação assim? Comente como foi a solução!

Até mais! :D

A mágica da palavra "Produtividade"

Você conhece uma pessoa que, quando faz uma atividade, faz um trabalho rápido, super bem feito, com todas as possibilidades contempladas no resultado? Então você conhece uma pessoa com o rendimento acima da média, uma pessoa produtiva.

Essa pessoa, possivelmente possui ferramentas de trabalho adequadas à sua atividade, ou conhece formas de realizar sua atividade que as demais desconhecem. Não descarto as duas possibilidades juntas. O fato é que essas pessoas são excelentes às empresas e que muitos superiores as consideram mágica e essenciais numa equipe. Um time produtivo então, é o sonho de qualquer diretor pois além de produtivos eles são engajados e, quando em sintonia, trabalham unidos.

Quando o time não é produtivo e não existe perspectiva para tal, cabe aos seus superiores proverem formas de formar um time produtivo. Dinâmicas, treinamentos, tempo, companheirismo e ferramentas adequadas fazem parte de um time produtivo.

Tenho a sorte de trabalhar num time produtivo. Apesar de não possuir liberdade de escolher as ferramentas que considero 100% adequadas, trabalho com paliativos num percentual próximo. Quando vejo a necessidade de uma nova ferramenta tenho tempo para realizar pesquisa e testes rápidos, não me delongando muito com isso. Quando finalmente encontro a ferramenta correta, a palavra "produtividade" novamente entra em ação.

Possuir a palavra "produtividade" numa conversa, e-mail ou reunião é algo mágico. Eu adoro essa palavra. É o argumento com mais chances de fazer você conquistar seu objetivo. Parece que é o gatilho que os nossos superiores precisam para ficarem alertas e prestarem atenção no que estamos mostrando. É claro que o meu ambiente ajuda, mas as vezes também tenho que recorrer a números e métricas para comprovar a produtividade da ferramenta. E isso vale para o Plano B também.

O plano B da ferramenta adequada que me proporcionará produtividade é a segunda melhor opção da minha pesquisa e teste. É aquela que não possui todos os recursos da ferramenta do Plano A e que possui um custo mais baixo. Cabe a você desenvolver sua lábia e saber usar a palavra "Produtividade".

Até o próximo post. :)

A difícil conquista de trabalhar com ferramentas adequadas em empresas de tecnologia

Existem diversas ferramentas disponíveis no mercado para serem utilizadas na execução de uma atividade. A ferramenta que garante o máximo aproveitamento será a mais adequada.

 

Quando uma empresa escolhe uma ferramenta para a execução alguma atividade, normalmente o custo dela pesa muito mais que qualquer outro critério. Muitas empresas esquecem que a ferramenta deveria ser madura o suficiente a ponto dos bugs não explodirem na tela do usuário a todo instante. Usabilidade então, é algo que praticamente nem consta na lista de critérios de decisão. Já dependência e integração sempre dá com o famoso e maldito jeitinho brasileiro. Maldito pois na próxima atualização da ferramenta vai ocorrer um bug crítico e a integração vai parar de funcionar, CERTEZA! Consequentemente, o aproveitamento é uma caixinha de surpesas.

 

Vamos a um exemplo clássico: ferramenta de leitura e envio de e-mail corporativo. Qual ferramenta para esta atividade amamos? O Microsoft Outlook, pois é gerenciável com qualquer servidor de e-mails. Agora os amantes do Linux vão me apedrejar afirmando que o Thunderbird é gratuito e faz um excelente trabalho de gerenciamento de e-mail. Concordo em partes: quando trabalhei com servidor Exchange o Thunderbird não deu conta. Precisou de Plug-in e ainda assim era bem "ruinzinho". Calendário do Exchange no Thunderbird então, melhor não comentar.

 

Não é questão de costume! É questão de produtividade! Consequentemente, facilidade e usabilidade contam muito. Não necessariamente uma ferramenta adequada é uma ferramenta paga. Se todos numa empresa utilizassem o LibreOffice e recebesse treinamento adequado para ela, todos a amariam! Tem muita ferramenta gratuita que se comporta igual à ferramenta paga (não, definitivamente não é o caso do LibreOffice caros colegas de TI). Mas aí, o problema é que normalmente essas ferramentas são gratuitas para uso pessoal e pagas para uso corporativo. O jeito é colocar as opções adequadas na balança e ver qual lado pesa mais: custo X produtividade.

 

Ainda bem que já existem empresas especializadas que fazem esse balanceamento para você. De qualquer forma, duvido muito que a empresa que não está disposta a gastar com um pacote básico de Office contrate uma consultoria. 

 

Eles deveriam pensar assim: Pacote básico do Microsoft Office X LibreOffice + Thunderbird + treinamento 

Eles pensam assim: Pacote básico do Microsoft Office X LibreOffice + Thunderbird + Suporte técnico 

Tenho pena do povo do suporte interno que precisa ouvir uma pergunta besta como: "Não consigo formatar a página nesse Word da China. Me ajuda?". Eu já passei por isso.

 

Em outros casos, uma ferramenta de código livre e gratuita é 100% adequada ao meu trabalho. Mas aí vem o pessoal da infraestrutura de TI com o papinho de que não é homologada, então não pode usar. Ocorre muito com ferramentas onde o pessoal da infra não possui conhecimento suficiente. Em vez de solicitar apoio, eles partem pra ignorância. Ou o trabalho deles é tanto que simplesmente não existe tempo pra homologação.

 

Eu já trabalhei na infra, então não estou querendo tocar na ferida de ninguém. Acho justo a empresa se preocupar para que eu não "perca tempo com atividades não necessárias", como os testes de uma ferramenta alternativa. Se é nessa linha que a empresa quer seguir, que homologue, pois como a descrição já diz: é gratuita. Mas essa desculpa de "ferramenta não ser homologada" em empresa de tecnologia é inaceitável!