julho 27, 2010

[Segurança] Segurança em Cloud Computing

Eu vou ter a honra de participar da primeira edição do CNASI Courses & Training, onde darei um curso de 8 horas sobre segurança em Cloud Computing.

Quero compartilhar com todos uma lista de sites e artigos interessantes sobre segurança em Cloud Computing. Eu preparei esta lista para o curso, mas quero compartilhar ela com todos os leitores do meu blog.



O CNASI Courses & Training acontecerá na semana que vem, de 03 a 05 de agosto em São Paulo, e meu curso, chamado "Cloud Computing - Conhecendo os Novos Riscos", será no dia 05, quinta-feira. O material do curso foi baseado em mais de um ano acompanhando a evolução da discussão sobre segurança em ambientes de Cloud Computing, e que me permitiu dar palestras sobre esse tema em alguns eventos desde o ano passado.

Eu disponibilizei no SlideShare os slides da palestra sobre riscos em Cloud Computing no GTS do ano passado.



Observação: adicionado um artigo em 24/08

julho 19, 2010

[Segurança] Quando profissionais de SI jogam futebol

A copa do mundo já acabou, mas neste ano teremos a primeira Hack Cup, que vai acontecer no dia 30 de Julho, em Las Vegas, junto com a Defcon.

A pergunta natural que vem na mente de todos deve ser: "ué, desde quando geek sabe jogar bola?". Como a resposta é óbvia ("Não, só no Playstation e olha lá"), vamos para a próxima: como seria uma seleção formada por profissionais de segurança?

Esta é uma ótima oportunidade para fazer uma divertida associação entre os diferentes tipos de profissionais de segurança da informação e os jogadores que normalmente vemos em uma partida de futebol. Na minha opinião (e graças também a uns comentários do amigo Rodrigo Montoro(Sp0oKeR) em uma lista de discussão recentemente), a escalação seria mais ou menos a seguinte:
  • Security officers e CSOs (CISSPs): são os técnicos e os cartolas, eles são responsáveis por projetar as jogadas de ataque e as estratégias de defesa
  • Os Analistas de Firewall são os goleiros do time
  • Os Pesquisadodes de Vulnerabilidades ficam no meio campo procurando os pontos falhos e armando as jogadas
  • Os PenTesters são os atacantes
  • Os Auditores CISA seriam os juízes
  • Os Analistas de IDS trabalham como bandeirinhas, alertando quando algo de errado acontece
  • O pessoal que trabalha com análise de logs e forense vão fazer bico na TV para mostrar o tira-teima


O complicômetro nessa brincadeira toda é que "regulamento" vai ser chamado de "Política Corporativa de Segurança" e o CISSP só vai jogar se a bola for certificada :)

Esta brincadeira mostra a diversidade de papéis e funções diferentes que existem na carreira em segurança da informação. Assim como no futebol, um time não está completo nem conseguirá vencer seus adversários se não contar com uma equipe diversificada, equilibrada e que saiba trabalhar em conjunto. Para isso, a empresa deve contar com um gestor competente, que saiba fazer uma escalação apropriada e diversificada, motivando os seus "jogadores" e sabendo explorar o papel específico de cada um. Por exemplo, não dá para esperar que um bom atacante vá ser um bom goleiro, da mesma forma que um profissional que sabe criar exploits e descobrir vulnerabilidades não será, necessariamente, a melhor pessoa para definir como a empresa deve se defender.

E aí, o que você achou dessa escalação?
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.