Páginas

abril 24, 2008

[Segurança] Futuro da área de segurança, segundo o Bruce Schneier

Foi divulgado, na CISSP-Forum, um artigo muito interessante publicado na TechDirt Daily, chamado "Security-As-A-Feature And The Economics of Abundance", onde o autor (Timothy Lee) faz análises em cima de algumas opiniões do guru Bruce Schneier. O que me chamou a atenção foi o trecho abaixo:
Security products are increasingly becoming commodities. Obviously the software ones - anti-virus tools, software firewalls, intrusion detection systems - have a marginal cost of zero, and even many of the hardware devices are built on commodity parts that get cheaper every month. What hasn't gotten cheaper is the expertise required to put the bewildering array of security tools together into a coherent system that's customized for a firm's particular business. Indeed, as security products have gotten more numerous and more complex, it has actually gotten harder to keep track of them all and know which security tools are the best ones to use in any given situation.

A cada dia, as soluções tradicionais de segurança começam a fazer parte da infra-estrutura operacional básica de uma empresa (ninguém imagina uma rede sem Firewall nem um computador sem anti-vírus). Ao mesmo tempo, as tecnologias tradicionais de segurança vão atingindo um grau cada vez maior de maturidade que torna-se difícil distinguir ferramentas de concorrentes distintos: todas cobrem as funcionalidades "básicas" e, quando alguma lança algum tipo de recurso "avançado", certamente os concorrentes o farão em um curto prazo. Assim, as tecnologias de segurança tornam-se "commodities", simples produtos de prateleira. Nessa hora é que entra a capacidade do profissional de segurança e indentificar, dentro de todo o leque possível de tecnologias, ferramentas e fornecedores, quais são as ferramentas de segurança que realmente agregam valor ao negócio.

Uma empresa não compra soluções de segurança porque quer. Compra porque precisa, porque sua infra-estrutura tecnológica, por si só, não é capaz de garantir a segurança necessária contra os riscos de negócio e contra os ataques e ameaças do dia-a-dia. As soluções de segurança funcionam como uma proteção preventiva: já que a rede não tem condições de se proteger sozinha, já que as aplicações tem bugs, vamos adicionar uma camada de proteção nelas. Outro trecho deste mesmo artigo mostra isso muito bem, do ponto de vista de negócio:
(...) non-security-focused software firms buying security firms to help bolster the security and reputation of their products. This may indicate that developers of other software products are recognizing that better security is one of the key features customers are demanding in their products.

A indústria tem se mostrado, historicamente, incapaz de fabricar um software seguro. Por outro lado, a empresa não quer comprar segurança: ela quer comprar o software, a aplicação que atende sua necessidade imediata de negócio (sua folha de pagamento, seu sistema contábil, seu site de comércio eletrônico). Uma solução dedicada de segurança existe justamente porque a empresa está buscando meios de trazer segurança ao seu negócio. Hoje a empresa tem que comprar dezenas de softwares e ferramentas de segurança (Firewall, IDS, IPD, anti-virus, personal firewall, criptografia, backup, etc) justamente porque a infra-estrutura de TI não consegue garantir sua disponibilidade, confidencialidade e integridade por si só.

[Segurança] Catalogo de fraudes da RNP

O CAIS, da RNP, lancou um catálogo de fraudes muito interessante, onde apresenta as principais fraudes online identificadas e divulgadas pelo CAIS.

A intenção é utilizar este site para, a partir deste ano, apresentar todas as fraudes identificadas pelo CAIS (ordenadas de acordo com a data de distribuição), de forma a conscientizar a comunidade sobre os principais golpes que estão em circulação. O site é rico em exemplos de fraudes (mensagens de phishing scam)), descrevendo o seu tipo, o arquivo malicioso que ele tenta utilizar e um breve descritivo do seu funcionamento (além de screenshot deles).

É uma ótima iniciativa, que pode colaborar muito com a conscientização dos usuários finais.

abril 22, 2008

[Segurança] ISSA Day - Abril / 2008

No dia 23/04 (quarta-feira) o capítulo Brasil da ISSA realiza mais um ISSA Day, com patrocínio da Nokia e da Westcon. Contaremos com apresentação de Gabriel Lourenço sobre o conceito e dimensionamento de SOCs (Security Operation Centers).

19:00 - 19:15 - Welcome Coffee
19:15 - 19:30 - Abertura ISSA
19:30 - 20:00 - Palestra Westcon/Nokia
20:00 - 21:30 - Palestra "SOC - Conceito e Dimensionamento", Gabriel Lourenço
21:30 - 22:00 - Coquetel de confraternização


O evento é gratuito e será realizado no Intercontinental, na Alameda Santos, 1123 (São Paulo).

Segue uma breve descrição da palestra "SOC - Conceito e Dimensionamento":
Utilizando melhores praticas de mercado nesta palestra sao explorados os conceitos de Security Operations Center, Arquitetura Corporativa e Metricas de Seguranca demonstrando de que forma a implementacao de um SOC pode ser usada como valor agregado em qualquer empresa. Atraves de um Framework, todas as fases de operacao de um SOC sao mapeadas e servem como um guia de referencia para tracar o paralelo entre os resultados com foco no negocio da companhia e a tecnologia utilizada para manter sua estrutura de seguranca.


O Gabriel Lourenço (CCSA/NCSA/MCP/NCMA) trabalha há mais de 8 anos na área de TI como Consultor de Segurança. Dedicou parte de sua carreira especializando-se em Security Operation Centers desenvolvendo ambientes com ferramentas OpenSource, SOC Reference Model e metodologia de implementação baseada em melhores práticas de mercado. Já atuou em projetos de grande porte em instituições financeiras e atualmente é responsável pelo desenvolvimento de um Framework de SOC com aplicação voltada a Negócios e Métricas de Segurança pela empresa Y3 Tecnologia.

abril 18, 2008

[Geek] Dias, horas e timezones

Lidar com horários em diferentes partes do mundo agora ficou muito mais fácil. Quer marcar uma reunião com colegas de diferentes países e não sabe como lidar com os timezones distintos?

O site Time and Date possui um conjunto incrível de ferramentas para lidar com datas e calcular horários.

A que eu mais gosto é a ferramenta "The meeting planner", que permite que você selecione diversas cidades e vai te mostrar, em verde, amarelo e vermelho quais são os melhores horários para marcar uma reunião entre pessoas que estejam nelas. Seu time está espalhado em San Francisco, São Paulo e Londres? Faça uma conferência as de São Paulo !!!

Outras ferramentas legais são:

Quer saber quais são as principais abreviações dos nomes dos timezones?
  • EST, EDT: US Eastern Time (Ex: New York)
  • CST, CDT: US Central Time (Ex: Chicago)
  • MST, MDT: US Mountain Time (Ex: Denver)
  • PST, PDT: US Pacific Time (Ex: Los Angeles)
  • BST British Summer Time (Ex: Londres)
  • CET, CEST: Central Europe Time (Ex: Paris)
  • EET, EEST: Eastern Europe Time (Ex: Atenas)