julho 29, 2005

[Segurança] Montando a Política de Segurança da Empresa

Infelizmente, hoje existem várias formas simplificadas da empresa montar uma Poliítica de Segurança. Seja adquirindo uma política-de-segurança-de-prateleira (Vide "Information Security Policies Made Easy, Version 10"), ou tentando utilizar uma norma padrão (como a ISO 17799) cegamente.

Já vi empresas que contrataram "consultores de segurança" que lhes entregaram, simplesmente, uma cópia da BS traduzida (na época que ainda não tinha a NBR).

Já senti na pele que a melhor forma de criar uma política de segurança começa pela montagem de um comitê de segurança (com membros de todas as demais diretorias/áreas), que irá discutir e aprovar cada norma a ser estabelecida.

Na prática, um projeto de "how-to-make-your-super-mega-catchanga-security-policy"
seria, mais ou menos, formado pelo seguinte conjunto de passos:

1. Ter uma área que vai guiar todos trabalhos - ou seja, o Security Officer (ou CSO, CISO)
2. Ter o apoio e a bênçao do CEO/Presidente/Dono
3. Montagem do Comitê de Segurança
(em uma reunião com todos os C*O's, onde o Presidente põe todos p/ trabalhar)
4. O Security Officer agenda as reuniões do Comitê. A cada reunião:
  • O Security officer prepara um draft previamente
  • O Comitê discute a norma até o concenso (incluindo suas considerações, dúvidas, visões, etc)
  • O Security Officer prepara a versão final da norma

5. O Presidente aprova a Política de Segurança, suas Normas e Procedimentos
6. O Security Officer divulga (conscientiza), aplica os controles e monitora.

No processo de criação da política de segurança (=política+normas+procedimentos), o Security Officer deve montar apenas um "draft" (rascunho) delas, baseado no que ele conhece da empresa, para servir de base às discussões no comitê.

Os departamentos da empresa entram no Comitê de Segurança, com um (ou mais) representantes. Eles vão ajudar, e muito, a discutir, revisar e aprovar as normas. É nessa hora que conseguimos ter uma visão multidisciplinar da segurança, e o que é melhor: aplicado a realidade do negócio, do dia-a-dia. O Depto Jurídico, o de RH e o de Marketing tem papel fun-da-men-tal neste comitê. Inclusive, deles sempre recebi os melhores e mais apropriados feedbacks.

Ao incluir outras áreas (que não somente a de segurança e TI) no processo de criação da política de segurança, ganhamos como vantagem adicional um certo grau de comprometimento muito maior com o resultado.

Isso foi uma visão resumida, simplificada e rápida de todo o processo.

Dá para perceber que isso é um trabalho mais demorado e que demanda maior esforço do que contratar uma "consultoria" que te entrega pronto um CD com toda a sua política de segurança em 15 dias. É nesse momento que os "espertões" levam vantagem frente a um cliente mais leigo ou mal orientado.

Este Texto foi baseado em alguns posts recentes que fiz na lista de discussão CISSP-BR.

[Segurança] Artigo sobre Segurança de Perímetro

Eu acabei de colocar na Internet, direto do do fundo do baú, um artigo que publiquei
em agosto/03 na Security Magazine sobre Segurança de Perímetro:

http://www.diff.com.br/biblio/artigo_secmag_ago03_seg_perimetro_v1.pdf

Neste artigo, coloquei os conceitos básicos e dei exemplos de topologias de firewalls e DMZ (que, na hora de converter para PDF, melou).

Embora meio velhinho, ainda é bem útil e didático.

julho 26, 2005

[Segurança] Ferramentas essenciais - free

A SysInternals disponibiliza, gratuitamente, um conjunto grande de ferramentas para o ambiente windows:

http://www.sysinternals.com/Utilities.html

São ferramentas muito simples e ao mesmo tempo poderosas e extremamente úteis para os profissionais de TI, pois permitem acesso e monitoração de vários recursos do Windows.

Entre elas, destaco:

  • Filemon v7.0: This monitoring tool lets you see all file system activity in real-time.
  • PsTools v2.16: The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more.
  • TDIMon v1.01: TCP/IP monitor.
  • TCPView v2.4: See all open TCP and UDP endpoints. On Windows NT, 2000 and XP TCPView even displays the name of the process that owns each endpoint. Includes a command-line version, tcpvcon. (meu preferido - vide figura abaixo)
  • Filemon v7.0: This monitoring tool lets you see all file system activity in real-time.
  • Process Explorer v9.12: Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more. This uniquely powerful utility will even show you who owns each process.

julho 25, 2005

[Segurança] Crimes na Internet & Tipos penais

No site da Polícia Civil do Rio, vi na seção "artigos" o texto abaixo, da Delegacia de Repressão aos Crimes de Informática (DRCI), que mostra de forma sintética as tipificações penais que podem ser aplicadas nos crimes eletrônicos:

http://www.policiacivil.rj.gov.br/artigos/ARTIGOS/drci.htm

Muito legal :)

julho 19, 2005

[fun] Vírgula grotesca

Uma simples vírgula pode fazer muita diferença... Vejam só a frase que ouvi hoje, de um amigo descrevendo uma terceira pessoa:

Versão 1: "Imagine algo grotesco, como você de cabelão enorme"
Versão 2: "Imagine algo grotesco como você, de cabelão enorme"

Poizé, as testemunhas presentes discordam sobre qual versão representou a intenção do interlocutor... E agora?

:)

[Segurança] Posters muito criativos

Visitando o excelente site do não-menos-excelente Marcus Ranum, vi uma página onde ele reproduziu um calendário sobre segurança, parecido com aqueles famosos "posters motivacionais". É um material bem criativo, e que pode servir de inspiração para campanhas de conscientização de usuários por aí.
Na verdade, o site todo vale uma bela visita. Dezenas de artigos e papers de qualidade.

[Dica] Busca por RFC's

Essa dica é pq eu sempre me esqueço desses sites, quando preciso...
As RFC's (Request for Comments) são os documentos que, oficialmente, padronizam os protocolos, conceitos, procedimentos e tudo o mais relativo a Internet.
Apesar de serem oficialmente mantidas pelo IETF (Internet Engineering Task Force), os sites abaixo são muito úteis:

julho 16, 2005

[Segurança] Denunciando Phishing Scam

No evento do Grupo de Engenharia e Operação de Redes e do Grupo de Segurança do Comitê Gestor e, em uma das apresentações, nos foi informado que as mensagens de Phishing Scam podem ser denunciadas para o CAIS, no e-mail phishing@cais.rnp.br .

Este serviço é novo, eles estão começando a centralizar isso agora.

julho 15, 2005

[Segurança] Sites com dicas básicas de segurança (Português)

A Febraban tem 1 site que fala várias coisas s/ segurança, incluindo um glossário, artigos e dicas de prevenção: http://www.febraban.com.br/seguranca_site/seguranca.asp

Há também um site interessante do Movimento Internet Segura: http://www.internetsegura.org/

[Segurança] Próximos eventos imperdíveis

Para o segundo semestre, teremos alguns eventos de segurança muito legais aqui em SP:

julho 08, 2005

[ferramenta] Muito doida !!!!!

No site http://earth.google.com/ tem uma ferramenta free MUUUUITO legal do Google: éla permite visualizar mapas de cidades obtidos a partir de imagem de satélites. E é possível "passear" pelo mapa (arrastando o mouse p/ ir p/ os lados).

Veja abaixo um exemplo de screenshot da ferramenta:



As imagens são estáticas, obtidas da junção de imagens de diversos satélites. Conforme navegamos na ferramenta, as imagens são recebidas por streamming. Mas é bem divertido e com um nível de detalhe surpreendente.

Na Europa e EUA tem mapa de quase tudo quanto é cidade. No Brasil, há mapas de SP, Rio e Brasília.

julho 06, 2005

[Site Legal] Números Aleatórios?

Você precisa de um gerador de números aleatórios?
Quer disputar par-ou-ímpar ou fazer um sorteio?

Então, o gerador de números aleatórios do site randon.org é a solução:

[Segurança & Internet] Sites do Comitê Gestor e Cert.br

Ha questão de poucos dias atrás a galera do Comitê Gestor mudou sua identidade visual e deu uma reformulada em seus sites.


  • Site do CERT.BR, antigo NBSO: Com várias informações básicas de segurança (ferramentas, links, notícias e apresentações);
  • Site do Registro.BR, onde podemos pesquisar no whois os donos domínios ou endereços IP.


Mais do que nunca, portanto, vale lembrar que uma visitinha periódica é obrigatória.

julho 04, 2005

[Frase do Dia] Programação Segura

Frase atribuída ao Bruce Schneier em uma apresentação feita no evento do GTS:
"Nós não precisaríamos gastar tanto tempo, dinheiro e esforço em segurança de redes se não tivéssemos uma segurança em software tão ruim"
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.