Páginas

março 27, 2006

[Cidadania] Ética

A Veja dessa semana (que tem a capa com a foto da deputada dançarina Angela Guadagnin) tem uma reportagem muito legal sobre ética, entitulada "40 questões do dia-a-dia sobre o que é certo ou errado". Nesta reportagem eles fizeram um pequeno "FAQ" mostrando atarvés de exemplos e perguntas/respostas, o que é ou não ético nas atitudes que todos nós tomamos em nosso cotidiano (ex: passar no farol vermelho a noite, pagar médico sem recibo, etc).

Felizmente essa reportagem está disponível online. Essa reportagem veio em uma hora certa, pois hoje em dia somos constantemente bombardeados por notícias de corrupção, impunidade e injustiça.

A propósito, só para atualizar meu último post, mais dois deputados foram inocentados pela Câmara, embora o relatório do Conselho de Ética tenha recomendado a cassação de ambos: dos 10 acusados de participar do "mensalão" e receber dinheiro ilegal pelo "Valerioduto", 7 foram inocentados.

março 21, 2006

[Cidadania] Que país é esse ????

Não gosto de me manifestar sobre política, religião e futebol, pois estes assuntos são muito relacionados a opinião de cada um, e nunca haverá concenso. Porém, as coisas aqui neste país estão se tornando desesperadoras....

Vou concordar com o que disse Ziraldo, no programa Altas Horas do sábado passado (18/03):
Nesta eleição, não reeleja ninguém !

Assim como ele, acredito que esta é a melhor forma de protestarmos contra a situação atual deste país. Através do voto. Não votando em branco ou nulo. Não votando para manter o status-quo.

março 20, 2006

[Segurança] COBIT, ITIL and ISO 17799

Há um tempo atrás eu vi uma nota no Blog ISMS PT apontando para um documento publicado no site da ISACA que sobre como alinhar a gestão de TI com segurança da informação, através dos padrões COBIT, ITIL e ISO 17799.

“Aligning COBIT, ITIL and ISO 17799 for Business Benefit : A new management briefing from the IT Governance Institute (ITGI) and the Office of Government Commerce (OGC)"

março 17, 2006

[Segurança] Enigma

Vi, ha um tempo atrás, um link muito legal na Wikipedia sobre a máquina Enigma no site do Codebreakers:

http://en.wikipedia.org/wiki/Enigma_machine

A máquina Enigma foi um dispositivo de criptografia que ficou famoso por ter sido utilizado pelo exército alemão durante a II Grande Guerra. A descoberta ("quebra") de seu funcionamento permitiu ao exército aliado decifrar as mensagens interceptadas entre o exército alemão e entre seus submarinos. Há alguns filmes holywwodianos que exploram isso, como o "U-571" (muito legal!) e o "Enigma".

Este site possui muitas imagens, muita explicação detalhada sobre o funcionamento e os modelos que foram criados, entre outras coisas.

março 16, 2006

[Profissional] Certificação ITIL

Ontem teve o jantar com o pessoal da VeriSign para comemorar que vários de nós obtivemos a certificação ITIL Foundation pela Quint. Recebemos nosso certificado e o PIN. (Medalha, medalha, medalha....) Eu estou lá no fundinho...



A Certificação ITIL é muito interessante. Aborda as melhores práticas para gestão da área de TI alinhada com as necessidades da empresa.

março 13, 2006

[geek] Calculadora IP online

Recebi esta dica do colega Renato Jr, na lista anti-hackers: O site www.subnetmask.info/ tem uma calculadora online para endereços IP e máscaras de rede. Muito útil para o profissional da área :)

março 09, 2006

[Cybercultura] Mais sobre Ser Hacker

Aproveitando a postagem anterior, quero complementá-la apresentando algumas fontes adicionais de informação sobre "ética hacker" ("Hacker etics"):


  • Há um verbete muito bem explicado sobre isso na Wikipedia
  • O livro The Hacker Ethic parece ser bem interessante
  • O projeto Gutenberg tem uma cópia parcial do livro "Hackers, Heroes of the Computer Revolution", do Steven Levy, que foi o cara que criou a idéia de ética hacker (capítulo 2) e a famoso conceito de que "toda informação deve ser livre". Este lívro pode ser comprado na Amazon.

Boa leitura para todos :)

março 08, 2006

[Cybercultura] Você é um hacker?

Se você se considera um hacker, então você deve usar este símbolo:


hacker emblem


Hacker é aquela pessoa fuçadora, nerd, geek, escovadora de bit, que sente prazer em fuçar e fazer coisas novas e diferentes com seu computador. Algo bem distante do que costumamos associar a imagem do criminoso virtual / digital (que, tecnicamente, é chamado de "cracker").

Na página de FAQ deste site tem alguns links interessantes, para os excelentes textos "How To Become A Hacker", "A Brief History of Hackerdom", e o "the Jargon File" do Eric S. Raymond.

Todo esse material vale a visita e a leitura. Muito legal !!!

março 02, 2006

[Segurança] Retorno de Investimento em Segurança - Parte II

Hoje postei uma mensagem na lista CISSP-BR sobre ROI (Retorno do Investimento) em segurança. Essa é uma discussão que nunca vai terminar, pois faz parte de nossa incansável busca por algo que consiga justificar para a empresa os investimentos em segurança (que, em sua maioria, representam quantias volumosas - pois nessa área tudo é caro !).

Vou transcrever abaixo uma versão mais completa do texto que mandei para a lista, pois costumo enviar mensagens bem condensadas para listas de discussões (afinal, nem todo mundo tem paciência de ficar lendo e-mail dos outros).

Em poucas palavras, eu acredito que não existe ROI para projetos de segurança.

Entendo a preocupação e sou solidário a todos os demais colegas que discutem este tema, pois faz parte da nossa incessável busca por métricas que justifiquem, ajudem a aprovar e consigam medir a eficiência de nossos projetos de segurança. E é realmente muito difícil mostrar que um investimento em segurança valeu a pena. Afinal, a segurança serve para evitar que coisas erradas aconteçam. Como provar para a empresa que nada aconteceu (nenhum vírus infectou os computadores ou nosso website não foi "hackeado") porque nossos controles foram eficientes ou porque não iriam acontecer mesmo?

Veja a área de TI da sua empresa: as pessoas só lembram de TI para reclamar quando tem algum problema. Ninguém liga para o help desk para agradecer que, nos últimos 2 meses, o micro dele não pifou ou que ele não perdeu nenhum arquivo do Word.... A mesma coisa acontece com segurança !!!

Eu acredito que o "retorno sobre o investimento" só se mede em algo que influencia o lucro da empresa (Sugiro uma leitura na definição de ROI na Wikipedia e no site Search CIO). Um investimento tem que gerar um aumento na receita ou redução no custo maior do que o valor investido. Deve ser algo ligado diretamente ao coração do negócio. Algo que faça o faturamento aumentar ou o custo cair. Caso contrário, será muito difícil criar uma medida baseada em ROI.

E, na minha visão, isso não se aplica a projetos de segurança de uma forma geral, exceto em casos específicos: algo que afete diretamente o negócio ou algo que esteja intimamente atrelado a outro projeto.

Pois, afinal, acredito que a Segurança faz parte da infra-estrutura básica da empresa. Assim como ar-condicionado, o papel higiênico, a rede local e o desktop do pessoal administrativo. Investir nessa infra-estrutura (ventilador, router, firewall, etc) não vai aumentar seu faturamento nem diminuir seu custo. É algo que você tem (e consegue trabalhar) ou não tem (e sua empresa não consegue operar de forma minimamente saudável e/ou competitiva). Já vi muitas discussões sobre ROI terminarem com as perguntas "Quanto sua empresa gasta com cafézinho?" e "Qual o ROI do papel higiênico?"

Assim, uma medida baseada no ROI somente se aplica em projetos de segurança nos poucos casos em que a segurança pode influenciar o custo operacional da empresa diretamente (ex: colocando uam ferramenta que reduz a navegação dos usuários em sites impróprios e causa uma redução de 20% na banda internet contratada).

Outra alternativa é atrelar a segurança como requisito (infra-estrutura) para algum projeto maior, que seja diretamente relacionado ao negócio. Neste caso, calculamos o ROI deste projeto específico e a segurança seria uma das linhas de custo/investimento necessários para o projeto. Por exemplo, se sua empresa pretende implantar uma loja virtual que lhe permita aumentar o faturamento em 30% (pois vai aumentar o volume de vendas a um custo reduzido). Neste caso, ela vai ter que investir em equipamentos e serviços, tais como um servidor web, um banco de dados, um firewall, licença de antivírus, etc. No final das contas, este projeto tem que ter um ROI que agrade a direção (a grosso modo, o investimento tem que ser menor que o faturamento planejado). Neste caso, a Segurança é só uma parte do projeto e influencia só uma parte do cálculo de ROI.

Um projeto específico de segurança (ex: novo firewall corporativo, criação de uma política de segurança, etc) não se justifica baseado em cálculos de ROI. Na prática, assim como o Fernando Cima citou nesta lista de discussão, a maioria dos projetos de segurança são aprovados após a ocorrência de um incidente. Ainda mais quando o problema envolve a diretoria (vírus, vazamento de informação, perda de dados, etc). É uma abordagem que ninguém gosta de seguir, mas infelizmente é a que, na prática, apresenta maior eficiência :(

[segurança] E-mail é usado como prova contra funcionário

Saiu uma notícia ontem na página da PEGN (que vi graças a uma mensagem do Krause em outra lista de discussão):

E-mail é usado como prova contra funcionário


Esta notícia fala sobre uma "decisão da 1ª Turma do Tribunal Regional do Trabalho da 2ª Região (TRT-SP), que considerou direito e dever do empregador manter vigilância sobre tudo o que acontece no local de trabalho". Segundo a notícia, a partir de agora "as empresas estão legalmente autorizadas a vasculhar os computadores utilizados por seus funcionários" e "usar dados arquivados na máquina como provas".

Ao final, a notícia diz que, na visão do juiz, "a empresa não quebrou sigilo de correspondência, pois os computador e os assuntos nele armazenados eram de propriedade da própria empresa".

De qualquer forma, não podemos esquecer que é altamente recomendável que a empresa possua um conjunto de normas internas, onde (entre outras coisas) esteja formalizado que ela é dona dos equipamentos de informática que coloca a disposição dos funcionários, que estes devem ser utilizados para fins profissionais e que se julga no no direito de monitorar todos os acessos e ativos de sua propriedade. Isto normalmente é expresso na "política de segurança da informação", quando existir, e em um termo específico de responsabilidade, que deve ser distribuído e assinado pelos funcionários quando são contratados. A assinatura deste termo deve ser exigida antes que o novo usuário ganhe acesso a rede da empresa (login e senha).