A Certificação ITIL é muito interessante. Aborda as melhores práticas para gestão da área de TI alinhada com as necessidades da empresa.
março 16, 2006
[Profissional] Certificação ITIL
Ontem teve o jantar com o pessoal da VeriSign para comemorar que vários de nós obtivemos a certificação ITIL Foundation pela Quint. Recebemos nosso certificado e o PIN. (Medalha, medalha, medalha....) Eu estou lá no fundinho...
A Certificação ITIL é muito interessante. Aborda as melhores práticas para gestão da área de TI alinhada com as necessidades da empresa.
A Certificação ITIL é muito interessante. Aborda as melhores práticas para gestão da área de TI alinhada com as necessidades da empresa.
março 13, 2006
[geek] Calculadora IP online
Recebi esta dica do colega Renato Jr, na lista anti-hackers: O site www.subnetmask.info/ tem uma calculadora online para endereços IP e máscaras de rede. Muito útil para o profissional da área :)
março 09, 2006
[Cybercultura] Mais sobre Ser Hacker
Aproveitando a postagem anterior, quero complementá-la apresentando algumas fontes adicionais de informação sobre "ética hacker" ("Hacker etics"):
Boa leitura para todos :)
- Há um verbete muito bem explicado sobre isso na Wikipedia
- O livro The Hacker Ethic parece ser bem interessante
- O projeto Gutenberg tem uma cópia parcial do livro "Hackers, Heroes of the Computer Revolution", do Steven Levy, que foi o cara que criou a idéia de ética hacker (capítulo 2) e a famoso conceito de que "toda informação deve ser livre". Este lívro pode ser comprado na Amazon.
Boa leitura para todos :)
março 08, 2006
[Cybercultura] Você é um hacker?
Se você se considera um hacker, então você deve usar este símbolo:
Hacker é aquela pessoa fuçadora, nerd, geek, escovadora de bit, que sente prazer em fuçar e fazer coisas novas e diferentes com seu computador. Algo bem distante do que costumamos associar a imagem do criminoso virtual / digital (que, tecnicamente, é chamado de "cracker").
Na página de FAQ deste site tem alguns links interessantes, para os excelentes textos "How To Become A Hacker", "A Brief History of Hackerdom", e o "the Jargon File" do Eric S. Raymond.
Todo esse material vale a visita e a leitura. Muito legal !!!
Hacker é aquela pessoa fuçadora, nerd, geek, escovadora de bit, que sente prazer em fuçar e fazer coisas novas e diferentes com seu computador. Algo bem distante do que costumamos associar a imagem do criminoso virtual / digital (que, tecnicamente, é chamado de "cracker").
Na página de FAQ deste site tem alguns links interessantes, para os excelentes textos "How To Become A Hacker", "A Brief History of Hackerdom", e o "the Jargon File" do Eric S. Raymond.
Todo esse material vale a visita e a leitura. Muito legal !!!
março 02, 2006
[Segurança] Retorno de Investimento em Segurança - Parte II
Hoje postei uma mensagem na lista CISSP-BR sobre ROI (Retorno do Investimento) em segurança. Essa é uma discussão que nunca vai terminar, pois faz parte de nossa incansável busca por algo que consiga justificar para a empresa os investimentos em segurança (que, em sua maioria, representam quantias volumosas - pois nessa área tudo é caro !).
Vou transcrever abaixo uma versão mais completa do texto que mandei para a lista, pois costumo enviar mensagens bem condensadas para listas de discussões (afinal, nem todo mundo tem paciência de ficar lendo e-mail dos outros).
Em poucas palavras, eu acredito que não existe ROI para projetos de segurança.
Entendo a preocupação e sou solidário a todos os demais colegas que discutem este tema, pois faz parte da nossa incessável busca por métricas que justifiquem, ajudem a aprovar e consigam medir a eficiência de nossos projetos de segurança. E é realmente muito difícil mostrar que um investimento em segurança valeu a pena. Afinal, a segurança serve para evitar que coisas erradas aconteçam. Como provar para a empresa que nada aconteceu (nenhum vírus infectou os computadores ou nosso website não foi "hackeado") porque nossos controles foram eficientes ou porque não iriam acontecer mesmo?
Veja a área de TI da sua empresa: as pessoas só lembram de TI para reclamar quando tem algum problema. Ninguém liga para o help desk para agradecer que, nos últimos 2 meses, o micro dele não pifou ou que ele não perdeu nenhum arquivo do Word.... A mesma coisa acontece com segurança !!!
Eu acredito que o "retorno sobre o investimento" só se mede em algo que influencia o lucro da empresa (Sugiro uma leitura na definição de ROI na Wikipedia e no site Search CIO). Um investimento tem que gerar um aumento na receita ou redução no custo maior do que o valor investido. Deve ser algo ligado diretamente ao coração do negócio. Algo que faça o faturamento aumentar ou o custo cair. Caso contrário, será muito difícil criar uma medida baseada em ROI.
E, na minha visão, isso não se aplica a projetos de segurança de uma forma geral, exceto em casos específicos: algo que afete diretamente o negócio ou algo que esteja intimamente atrelado a outro projeto.
Pois, afinal, acredito que a Segurança faz parte da infra-estrutura básica da empresa. Assim como ar-condicionado, o papel higiênico, a rede local e o desktop do pessoal administrativo. Investir nessa infra-estrutura (ventilador, router, firewall, etc) não vai aumentar seu faturamento nem diminuir seu custo. É algo que você tem (e consegue trabalhar) ou não tem (e sua empresa não consegue operar de forma minimamente saudável e/ou competitiva). Já vi muitas discussões sobre ROI terminarem com as perguntas "Quanto sua empresa gasta com cafézinho?" e "Qual o ROI do papel higiênico?"
Assim, uma medida baseada no ROI somente se aplica em projetos de segurança nos poucos casos em que a segurança pode influenciar o custo operacional da empresa diretamente (ex: colocando uam ferramenta que reduz a navegação dos usuários em sites impróprios e causa uma redução de 20% na banda internet contratada).
Outra alternativa é atrelar a segurança como requisito (infra-estrutura) para algum projeto maior, que seja diretamente relacionado ao negócio. Neste caso, calculamos o ROI deste projeto específico e a segurança seria uma das linhas de custo/investimento necessários para o projeto. Por exemplo, se sua empresa pretende implantar uma loja virtual que lhe permita aumentar o faturamento em 30% (pois vai aumentar o volume de vendas a um custo reduzido). Neste caso, ela vai ter que investir em equipamentos e serviços, tais como um servidor web, um banco de dados, um firewall, licença de antivírus, etc. No final das contas, este projeto tem que ter um ROI que agrade a direção (a grosso modo, o investimento tem que ser menor que o faturamento planejado). Neste caso, a Segurança é só uma parte do projeto e influencia só uma parte do cálculo de ROI.
Um projeto específico de segurança (ex: novo firewall corporativo, criação de uma política de segurança, etc) não se justifica baseado em cálculos de ROI. Na prática, assim como o Fernando Cima citou nesta lista de discussão, a maioria dos projetos de segurança são aprovados após a ocorrência de um incidente. Ainda mais quando o problema envolve a diretoria (vírus, vazamento de informação, perda de dados, etc). É uma abordagem que ninguém gosta de seguir, mas infelizmente é a que, na prática, apresenta maior eficiência :(
Vou transcrever abaixo uma versão mais completa do texto que mandei para a lista, pois costumo enviar mensagens bem condensadas para listas de discussões (afinal, nem todo mundo tem paciência de ficar lendo e-mail dos outros).
Em poucas palavras, eu acredito que não existe ROI para projetos de segurança.
Entendo a preocupação e sou solidário a todos os demais colegas que discutem este tema, pois faz parte da nossa incessável busca por métricas que justifiquem, ajudem a aprovar e consigam medir a eficiência de nossos projetos de segurança. E é realmente muito difícil mostrar que um investimento em segurança valeu a pena. Afinal, a segurança serve para evitar que coisas erradas aconteçam. Como provar para a empresa que nada aconteceu (nenhum vírus infectou os computadores ou nosso website não foi "hackeado") porque nossos controles foram eficientes ou porque não iriam acontecer mesmo?
Veja a área de TI da sua empresa: as pessoas só lembram de TI para reclamar quando tem algum problema. Ninguém liga para o help desk para agradecer que, nos últimos 2 meses, o micro dele não pifou ou que ele não perdeu nenhum arquivo do Word.... A mesma coisa acontece com segurança !!!
Eu acredito que o "retorno sobre o investimento" só se mede em algo que influencia o lucro da empresa (Sugiro uma leitura na definição de ROI na Wikipedia e no site Search CIO). Um investimento tem que gerar um aumento na receita ou redução no custo maior do que o valor investido. Deve ser algo ligado diretamente ao coração do negócio. Algo que faça o faturamento aumentar ou o custo cair. Caso contrário, será muito difícil criar uma medida baseada em ROI.
E, na minha visão, isso não se aplica a projetos de segurança de uma forma geral, exceto em casos específicos: algo que afete diretamente o negócio ou algo que esteja intimamente atrelado a outro projeto.
Pois, afinal, acredito que a Segurança faz parte da infra-estrutura básica da empresa. Assim como ar-condicionado, o papel higiênico, a rede local e o desktop do pessoal administrativo. Investir nessa infra-estrutura (ventilador, router, firewall, etc) não vai aumentar seu faturamento nem diminuir seu custo. É algo que você tem (e consegue trabalhar) ou não tem (e sua empresa não consegue operar de forma minimamente saudável e/ou competitiva). Já vi muitas discussões sobre ROI terminarem com as perguntas "Quanto sua empresa gasta com cafézinho?" e "Qual o ROI do papel higiênico?"
Assim, uma medida baseada no ROI somente se aplica em projetos de segurança nos poucos casos em que a segurança pode influenciar o custo operacional da empresa diretamente (ex: colocando uam ferramenta que reduz a navegação dos usuários em sites impróprios e causa uma redução de 20% na banda internet contratada).
Outra alternativa é atrelar a segurança como requisito (infra-estrutura) para algum projeto maior, que seja diretamente relacionado ao negócio. Neste caso, calculamos o ROI deste projeto específico e a segurança seria uma das linhas de custo/investimento necessários para o projeto. Por exemplo, se sua empresa pretende implantar uma loja virtual que lhe permita aumentar o faturamento em 30% (pois vai aumentar o volume de vendas a um custo reduzido). Neste caso, ela vai ter que investir em equipamentos e serviços, tais como um servidor web, um banco de dados, um firewall, licença de antivírus, etc. No final das contas, este projeto tem que ter um ROI que agrade a direção (a grosso modo, o investimento tem que ser menor que o faturamento planejado). Neste caso, a Segurança é só uma parte do projeto e influencia só uma parte do cálculo de ROI.
Um projeto específico de segurança (ex: novo firewall corporativo, criação de uma política de segurança, etc) não se justifica baseado em cálculos de ROI. Na prática, assim como o Fernando Cima citou nesta lista de discussão, a maioria dos projetos de segurança são aprovados após a ocorrência de um incidente. Ainda mais quando o problema envolve a diretoria (vírus, vazamento de informação, perda de dados, etc). É uma abordagem que ninguém gosta de seguir, mas infelizmente é a que, na prática, apresenta maior eficiência :(
[segurança] E-mail é usado como prova contra funcionário
Saiu uma notícia ontem na página da PEGN (que vi graças a uma mensagem do Krause em outra lista de discussão):
Esta notícia fala sobre uma "decisão da 1ª Turma do Tribunal Regional do Trabalho da 2ª Região (TRT-SP), que considerou direito e dever do empregador manter vigilância sobre tudo o que acontece no local de trabalho". Segundo a notícia, a partir de agora "as empresas estão legalmente autorizadas a vasculhar os computadores utilizados por seus funcionários" e "usar dados arquivados na máquina como provas".
Ao final, a notícia diz que, na visão do juiz, "a empresa não quebrou sigilo de correspondência, pois os computador e os assuntos nele armazenados eram de propriedade da própria empresa".
De qualquer forma, não podemos esquecer que é altamente recomendável que a empresa possua um conjunto de normas internas, onde (entre outras coisas) esteja formalizado que ela é dona dos equipamentos de informática que coloca a disposição dos funcionários, que estes devem ser utilizados para fins profissionais e que se julga no no direito de monitorar todos os acessos e ativos de sua propriedade. Isto normalmente é expresso na "política de segurança da informação", quando existir, e em um termo específico de responsabilidade, que deve ser distribuído e assinado pelos funcionários quando são contratados. A assinatura deste termo deve ser exigida antes que o novo usuário ganhe acesso a rede da empresa (login e senha).
E-mail é usado como prova contra funcionário
Esta notícia fala sobre uma "decisão da 1ª Turma do Tribunal Regional do Trabalho da 2ª Região (TRT-SP), que considerou direito e dever do empregador manter vigilância sobre tudo o que acontece no local de trabalho". Segundo a notícia, a partir de agora "as empresas estão legalmente autorizadas a vasculhar os computadores utilizados por seus funcionários" e "usar dados arquivados na máquina como provas".
Ao final, a notícia diz que, na visão do juiz, "a empresa não quebrou sigilo de correspondência, pois os computador e os assuntos nele armazenados eram de propriedade da própria empresa".
De qualquer forma, não podemos esquecer que é altamente recomendável que a empresa possua um conjunto de normas internas, onde (entre outras coisas) esteja formalizado que ela é dona dos equipamentos de informática que coloca a disposição dos funcionários, que estes devem ser utilizados para fins profissionais e que se julga no no direito de monitorar todos os acessos e ativos de sua propriedade. Isto normalmente é expresso na "política de segurança da informação", quando existir, e em um termo específico de responsabilidade, que deve ser distribuído e assinado pelos funcionários quando são contratados. A assinatura deste termo deve ser exigida antes que o novo usuário ganhe acesso a rede da empresa (login e senha).
fevereiro 24, 2006
[Cybercultura] Etiqueta na Internet
Além da boa e velha Netiqueta, esses dias descobri um texto bem legal, chamado "Guia do e-mala" publicado pelo pessoal da Linux in Brazil.
Seria tão bom se todos os usuários da Internet fossem obrigados a ler isso antes de ter acesso a sua primeira conta de e-mail.... heheheheheh
Seria tão bom se todos os usuários da Internet fossem obrigados a ler isso antes de ter acesso a sua primeira conta de e-mail.... heheheheheh
[Segurança] Retorno de Investimento em Segurança
Muito se discute sobre o retorno sobre o investimento (ROI) em segurança. Como provar, mostrar ou garantir que o dinheiro gasto com infraestrutura e processos em segurança da informação foi eficiente? Que benefícios trouxeram? Algum prejuízo foi evitado? Quanto?
O ROI é uma medida genbérica que os administradores utilizam para avaliar se um determinado projeto deve ser levado adiante. Mas, na maioria das vezes, o investimento em segurança não vai representar um aumento no lucro da empresa (seja um maior faturamento, ou mesmo um custo menor).
O artigo "It’s hard to determine the ROI of information security measures" da Networkworld foi comentado recentemente na lista CISSP-BR e tem um trecho interessante, que eu concordo plenamente e reproduzo a seguir:
O ROI é uma medida genbérica que os administradores utilizam para avaliar se um determinado projeto deve ser levado adiante. Mas, na maioria das vezes, o investimento em segurança não vai representar um aumento no lucro da empresa (seja um maior faturamento, ou mesmo um custo menor).
O artigo "It’s hard to determine the ROI of information security measures" da Networkworld foi comentado recentemente na lista CISSP-BR e tem um trecho interessante, que eu concordo plenamente e reproduzo a seguir:
Information security suffers from a serious structural problem: the better we are at preventing harm to our information, the less hard evidence we can present to naïve colleagues that our measures are effective. We are accused of being like the madman on the street corner who is waving a dead chicken around his head. “Why are you doing that?” people ask. “To keep the flying elephants away.” “But,” people protest, “there are no flying elephants.” “See?” he responds in triumph. “It works!”
fevereiro 14, 2006
[Segurança] Blog muito bom
Visitei hoje um blog muito legal sobre segurança, escrito pelo pessoal da Comunidade Portuguesa de Segurança da Informação:
"Comunidade ISMS PT"
O site é bem feito, caprichado, com muitos textos, links e artigos.
"Comunidade ISMS PT"
O site é bem feito, caprichado, com muitos textos, links e artigos.
[segurança] nasce o site antispam.br
O Comitê Gestor (CGI) está lançando o site antispam.br, com objetivo de informar os usuários e profissionais de segurança sobre o combate ao spam, suas implicações e formas de proteção.
O site possui, entre outras coisas, páginas com dicas e orientações sobre prevenção, boas práticas e como denunciar SPAM. A seção de Links também está bem completa.
´
Também merece um destaque especial a página antispam.br/admin/ com informações técnicas específicas para administradores de rede, com conceitos básicos e técnicas para evitar o recebimento e propagação de SPAM na sua rede.
Também estão disponibilizados alguns banners para divulgação do site, na página http://antispam.br/campanha/. Podem ser úteis para uma campanha interna de conscientização !
O site antispam.br é uma iniciativa da Comissão de Trabalho Anti-Spam
(CT-Spam), que tem como missão propor e coordenar uma iniciativa
nacional contra o abuso no envio de e-mails não solicitados, articulando
um conjunto de ações que possa mobilizar os diversos atores relevantes
envolvidos no tratamento desse problema. A CT-Spam é formada por
conselheiros do CGI.br, especialistas do Núcleo de Informação e
Coordenação do Ponto br (NIC.br), braço executivo do CGI.br, e por
especialistas convidados. Saiba mais sobre a CT-Spam em
http://www.cgi.br/sobre-cg/antispam.htm.
O site possui, entre outras coisas, páginas com dicas e orientações sobre prevenção, boas práticas e como denunciar SPAM. A seção de Links também está bem completa.
´
Também merece um destaque especial a página antispam.br/admin/ com informações técnicas específicas para administradores de rede, com conceitos básicos e técnicas para evitar o recebimento e propagação de SPAM na sua rede.
Também estão disponibilizados alguns banners para divulgação do site, na página http://antispam.br/campanha/. Podem ser úteis para uma campanha interna de conscientização !
O site antispam.br é uma iniciativa da Comissão de Trabalho Anti-Spam
(CT-Spam), que tem como missão propor e coordenar uma iniciativa
nacional contra o abuso no envio de e-mails não solicitados, articulando
um conjunto de ações que possa mobilizar os diversos atores relevantes
envolvidos no tratamento desse problema. A CT-Spam é formada por
conselheiros do CGI.br, especialistas do Núcleo de Informação e
Coordenação do Ponto br (NIC.br), braço executivo do CGI.br, e por
especialistas convidados. Saiba mais sobre a CT-Spam em
http://www.cgi.br/sobre-cg/antispam.htm.
Assinar:
Postagens (Atom)
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.