Agosto 2009
Arquivo Mensal
Web 2.0: política de uso deve ser formulada por toda a empresa
Publicado por Denny Roger em 27 Ago 2009 | sob: Entrevistas
Para especialista, responsabilidade sobre políticas de acesso devem ser de comitês interdisciplinares e do departamento de Recursos Humanos.
Por Patrícia Lisboa, repórter da CIO
Empresas devem criar comitês interdisciplinares para identificar as necessidades de comunicação de cada departamento e, então, definir quais ferramentas da Web 2.0 devem ser liberadas – ou bloqueadas – para os funcionários durante o expediente. A afirmação foi feita pelo especialista em segurança da informação e sócio da consultoria sobre o mesmo tema EPSEC, Denny Roger, o qual defende que o CIO não deve assumir a responsabilidade de definir os níveis de acesso dos usuários aos conteúdos da internet.
Segundo ele, representantes de todas as áreas da companhia devem avaliar riscos e vantagens que redes sociais, comunicadores instantâneos e blogs podem trazer ao negócio – e, consequentemente, liberar ou bloquear acesso.
“O departamento de vendas, por exemplo, pode ser muito beneficiado pela participação em comunidades online”, diz Roger. O consultor explica, no entanto, que para evitar conflitos interpessoais que prejudicam o clima organizacional, não se pode estabelecer regras diferentes para cada área do negócio. “Por isso a discussão é válida, para que todos apresentem suas opiniões e a decisão seja tomada de forma equilibrada, com normas comuns a toda a empresa”, afirma ele.
Definidas as diretrizes em relação ao acesso à Web, é papel do departamento de recursos humanos criar um código de conduta formal para ser seguido pelos colaboradores da companhia. “O RH deve documentar o código de ética corporativo e as punições que serão aplicadas no caso de descumprimento de tal regulamento”, afirma Roger, que complementa: “Sem regras claras e conhecimento sobre as ferramentas Web, usuários não sabem o que podem ou não fazer na internet.”
De acordo com o especialista, a área de TI tem apenas a função de executar as ações que possibilitarão ou bloquearão acessos. O nível de liberdade dos funcionários reflete a cultura corporativa e é muito problemático para o CIO assumir a responsabilidade de definí-lo. “A decisão deve ser coletiva e encarada como uma política de gestão de pessoas e recursos humanos”, conclui Denny Roger.
Denny Roger é entrevistado no Jornal da CBN, ao vivo
Publicado por Denny Roger em 21 Ago 2009 | sob: Entrevistas
Por Denny Roger
Hoje participei do Jornal da CBN com o Milton Jung.
A idéia da entrevista foi explicar os motivos dos recentes ataques a internet brasileira e destacar a importância de direcionarmos os nossos jovens para ações positivas.
Confira agora a minha entrevista ao vivo ao Jornal da CBN. Acesse
Jornal da CBN
‘Das vinte gangues de hackers em todo o mundo, 19 são brasileiras’
Entrevista com Denny Roger, especialista em análise de risco, sócio-fundador da EPSEC e diretor técnico da Associação Brasileira de Segurança da Informação
Abraços,
Denny Roger
denny@epsec.com.br
Como escolher o fornecedor de segurança para pequenas empresas
Publicado por Denny Roger em 18 Ago 2009 | sob: Entrevistas
Saiba como encontrar a solução ideal e quem oferece pacotes específicos.
Por Rodrigo Afonso, da COMPUTERWORLD
Qualquer organização que possua uma infraestrutura de tecnologia, por menor que seja ela, está exposta às ameaças de segurança e, por essa razão, precisa, no mínimo, implantar algum tipo de solução que possa protegê-la.
Agora, se a pequena ou média empresa pretende abrir capital algum dia ou prestar serviços para clientes exigentes, é bom começar a pensar em um planejamento mais sério de segurança. Nesses casos, é necessário possuir uma gestão sólida de risco e conformidade, onde a segurança é um componente essencial.
De acordo com o especialista de segurança da informação da Epsec, Denny Roger, ao planejar um ambiente de rede, a companhia precisa saber exatamente quais são as suas necessidades e criar uma espécie de lista com requisitos que devem ser atendidos pelos fornecedores. A atitude evita que a empresa comece a comprar pacotes errados e tenha trabalho dobrado no futuro ou até investimentos redundantes.
Para pontuar as necessidades, é importante analisar a infraestrutura disponível. “De nada adianta instalar soluções em máquinas separadas, no computador da secretária, por exemplo”, afirma Roger. “Isso acaba demandando melhorias no equipamento, trazendo custos ainda maiores”, diz.
Nos tempos atuais, é comum que as empresas procurem pelos melhores preços, mas para ter uma política séria de segurança, é essencial eliminar o fator custo nessa primeira análise. Somente após avaliar diversos fornecedores e escolher aqueles que atendem aos diversos requisitos, esse aspecto deve ser estudado.
Dentre os quesitos fundamentais, um que não deve ser deixado de lado é o treinamento: o que fazer para que o investimento, depois de realizado, não seja subutilizado ou mal gerenciado. “Se levar em consideração somente a área técnica, o planejamento de segurança tem grandes chances de fracassar”, explica Roger. “É necessário envolver pessoas que façam as análises do ponto de vista dos negócios”, completa.
A seguir, você confere informações relativas a licenças anuais dos produtos. É bom lembrar que os valores* são sugeridos pelos fornecedores e podem variar de acordo com as propostas realizadas pelos revendedores e integradores que representam cada fabricante. Os preços valem para a aquisição da ferramenta, com suporte de um ano.
Winco Winconnection e AVG Internet Security Network Edition
O pacote da Winco tem foco maior em garantia de segurança, com firewall e proxy, além de uma série de filtros e pacotes que controlam o comportamento dos usuários na rede. Entre os destaques, estão os filtros para o programa de mensagens instantâneas MSN e gerador de relatórios de uso. O pacote é modular e alguns desses recursos podem ser retirados ou adicionados, impactando o preço. Na lista abaixo, colocamos os preços da solução básica.
Quando instalado, o programa importa a base de usuários do Active Directory do Windows Server, possibilitando ao administrador da rede a criação, por meio do Winconnection, de grupos de usuários com diferentes direitos de acesso.
A Winco pode oferecer ainda solução para as ameaças virtuais. Os preços estão separados.
Preço Winconnection com filtro MSN:
10 usuários - R$ 498,75
50 usuários - R$ 1.973,75
100 usuários - R$ 3.498,75
200 usuários - R$ 6.446,00
Preço AVG Internet Security Network Edition
10 usuários - R$ 655,00
50 usuários - R$ 2.249,00
100 usuários - R$ 3.931,00
200 usuários - R$ 7.271,00
Kaspersky Business Space Security
O pacote da Kaspersky fornece soluções para proteger estações de trabalho e servidores de arquivo de forma centralizada contra spams, vírus, cavalos de tróia, programas espiões, rootkits e outras ameaças da internet.
Dentre os principais destaques estão suporte para Network Admission Control, da Cisco, tecnologia que evita repetição desnecessária de verificações de dados na rede e balanceamento de carga entre processadores do servidor. O pacote também conta com verificação de e-mails em trânsito.
Preços:
10 usuários– R$ 893
100 usuários – R$ 5.209
250 usuários – R$ 10.539
Proofpoint SMB (representado no Brasil pela S4N)
A solução da Proofpoint para o mercado de pequenas e médias empresas tem como destaque ferramenta de detecção de spams, baseada na análise de mais de 100 mil itens estruturais de cada mensagem para tentar atribuir com mais precisão os e-mails não desejados.
O pacote contempla também proteção contra vírus, administração centralizada de política de e-mails aceitáveis, segurança de perímetro avançada e suporte a mensagens seguras. O pacote é feito para empresas que, apesar de não terem grande número de usuários, possuem informações extramente críticas.
Preços:
Até 100 usuários – R$ 8.827,49
101 a 250 usuários – R$ 18.885,85
Sophos Security Suite SBE (representado no Brasil pela S4N)
A solução da Sophos combina antivirus, firewall e segurança para e-mail com gerenciamento centralizado. Dentre os destaques está o suporte específico para servidores exchange e tecnologia que permite o acesso aos dados para busca de ameaças somente naqueles que foram alterados, evitando redundâncias e sobrecarga do sistema.
Preços
10 usuários – R$ 1.515,36
100 usuários – R$ 11.849,60
250 usuários – R$ 29.642,00
Trend Micro
A companhia conta com soluções diferentes para médias e pequenas empresas. A ferramenta para as pequenas é a WFBS Hosted, também com atendimento centralizado e com proteção às ameaças da web. Os serviços de gerenciamento, no entanto, são oferecidos a partir do servidor central da Trend Micro. Assim, a empresa que o contrata não precisa de um servidor.
O serviço para empresas médias oferece proteção semelhante à solução gerenciada e acrescenta proteção nas portas USB do computador do usuário, evitando que haja infecção de vírus por meio delas.
Preço
Até 10 usuários (WFBS Hosted) – R$ 588,00
Até 250 usuários (WFBS) – O valor é cobrado por licença. Uma empresa de 51 usuários, por exemplo, paga R$ 3.081,00
Symantec Protection Suite
O pacote da Symantec trata o ambiente de tecnologia contra as ameaças virtuais e ainda coloca, na borda da infraestrutura, ferramenta que protege contra lixo eletrônico. Além disso, conta com ferramenta para controle de dispositivos, que pode bloquear acesso a pen drives na rede para a retirada de informações. A solução também inclui um utilitário para recuperação de desastres em desktops e oferece gerenciamento centralizado.
Preços:
Até 24 usuários – R$ 150,00 por licença
A partir de 25 a 50 usuários – R$ 130,00 por licença
Até 100 usuários – R$ 120,00 por licença
McAfee Total Protection for SMB
A empresa optou por padronizar o formato do gerenciamento, oferecendo modelo centralizado. Oferece tanto pacote para instalação na empresa quanto soluções como serviço. Os pacotes da McAfee são modulares e permitem a adição de diversos serviços. Os valores descritos abaixo contemplam a solução com antispam, firewall, antivírus, análise de vulnerabilidades e outras ameaças da internet, além de proteção de e-mail.
Preço:
5 usuários – A partir de R$ 260,00
50 usuários – A partir de R$ 4.000,00
200 usuários – R$ 13.800,00
Se o produto agregar criptografia às máquinas, controle de dispositivos (interfaces USB, por exemplo), ambientes virtualizados VMware e ferramentas para gateway - recomendado para estruturas com dados mais críticos-, os preços têm um acréscimo.
50 usuários – R$ 8.000,00
200 usuários – R$ 28.000,00
*Os valores fornecidos em dólar pelos fabricantes foram convertidos para real, de acordo com o câmbio comercial do dia 17/8, quando o dólar estava cotado a R$ 1,86.
Da pescaria de senhas aos espiões de namoradas
Publicado por Denny Roger em 17 Ago 2009 | sob: Artigos
Confira agora o meu artigo deste mês publicado no IDG Now!
Num mundo com mais de 6,8 bilhões de pessoas, quantas são hackers? Eis um clube exclusivo.
Acesse: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-08-17.6860038719/
Abraços,
Denny Roger
denny@epsec.com.br
Se eu precisar de uma lan house, como sei que ela é segura?
Publicado por Denny Roger em 07 Ago 2009 | sob: Entrevistas
DANIEL ANDREAZZI | Do UOL Tecnologia
Há momentos que não tem jeito: estamos longe de casa, sem acesso móvel à internet e precisamos desesperadamente daquele arquivo que está em nosso e-mail. A solução, procurar uma lan house.
O presidente da Associação Brasileira de Centros de Inclusão Digital (ABCID), Mário Brandão, afirma que usar uma lan house é similar a comer na rua: “A aparência do lugar ajuda muito, demonstra que, se o dono da loja tem cuidado com a aparência do lugar, no mínimo deve ter cuidados com a segurança também”.
Outro indicativo, segundo Brandão, é saber há quanto tempo a lan house funciona. “O usuário pode ser leigo, mas não é bobo. Se perde algum dado, não volta mais ao lugar”, explica.
Uma dica de procedimento, caso o acesso ao e-mail ou conta em banco for inevitável é, assim que possível, mudar as senhas em um computador particular. “Essa boa prática ajuda a minimizar o risco”, explica diretor técnico da Associação Brasileira de Segurança da Informação (Abrasinfo), Denny Roger.
Para tentar escapar de qualquer possibilidade de computadores com programas maliciosos, é possível usar scans online, presente nos sites dos principais fabricantes de softwares de segurança. “Esse é um procedimento que pode ajudar, mas em compensação é demorado. Um computador pode levar até 30 minutos para ser scaneado”, ensina André Carraretto, gerente de engenharia de sistemas da Symantec Brasil.
Fonte: http://tecnologia.uol.com.br/seguranca/ultnot/2009/08/07/ult6065u35.jhtm
Veja também: Dicas de segurança para computadores compartilhados
http://tecnologia.uol.com.br/seguranca/ultnot/2009/08/07/ult6065u36.jhtm
Envenenamento de DNS é um dos maiores riscos
Publicado por Denny Roger em 07 Ago 2009 | sob: Entrevistas
DANIEL ANDREAZZI | Do UOL Tecnologia
Quando um usuário de internet acessa sites que envolvem transações financeiras, como banco e comércio eletrônico, todo cuidado é pouco. Um dos principais problemas, atualmente, é o redirecionamento de DNS (Domain Name Server, converte URLs como www.uol.com.br para números que são os reais endereços do site).
Com essa prática, os crackers redirecionam o usuário para uma página clone que vai roubar os dados digitados. Os bancos buscam alternativas de segurança, mas os crackers sempre inventam novas maneiras de burlar.
A maioria deles tem a ver com programas que capturam a digitação e os cliques de um mouse. Esses programas se instalam, geralmente, por links clicados em e-mails com assuntos falsos, como de um banco, ou outros que trazem promessas pornografia, supostas informações sobre a gripe suína ou um link para baixar o novo filme que todo mundo quer ver.
Há algum tempo, uma técnica para verificar a autenticidade de um site de banco era digitar o número errado de uma conta, pois o banco negaria o acesso caso estivesse errada, mas isso já pode não ser eficiente. “Agora, além de redirecionar o DNS, o site clonado pode ter um sistema que verifica junto à base de dados do próprio banco se o dado inserido é verdadeiro ou não”, explica André Carrareto, gerente de engenharia de sistemas da Symantec Brasil.
Outro problema, segundo o diretor técnico da Associação Brasileira de Segurança da Informação (Abrasinfo) Denny Roger, é a possível existência de programas de acesso remoto instalado nos computadores, tanto de lan houses como de empresas. “A chance de um programa desse tipo estar instalado por motivos não idôneos é maior em uma lan house, mas podemos supor que um funcionário insatisfeito de suporte técnico de empresa use o programa para o mesmo fim”, analisa.
Para o presidente da Associação Brasileira de Centros de Inclusão Digital (ABCID), Mário Brandão, os donos de lan house “se preocupam com a existência de programas maliciosos instalados, pois se o cliente tiver problema, vai acabar não voltando mais ao estabelecimento”.
Fonte: http://tecnologia.uol.com.br/seguranca/ultnot/2009/08/07/ult6065u34.jhtm
Veja também: Dicas de segurança para computadores compartilhados
http://tecnologia.uol.com.br/seguranca/ultnot/2009/08/07/ult6065u36.jhtm
Denny Roger é o novo Diretor Técnico da Abrasinfo
Publicado por Denny Roger em 03 Ago 2009 | sob: Notícias
O tema da segurança da informação vem chamando cada vez mais a atenção da sociedade. Geralmente, as pessoas se preocupam quando a mídia começa a veicular notícias de que um sistema foi invadido ou que um vírus malicioso está sendo enviado para tentar capturar dados confidenciais.
Essas situações existem, e a grande lição que podemos tirar desse tipo de ocorrência é tentar entender do que se trata e lançar mão de ferramentas, processos e procedimentos para nos prevenir de algo semelhante.
Apesar do caráter técnico da discussão, sempre com muitos bites e bytes, há um ponto que deve ser sempre ressaltado: o ser humano, suas vulnerabilidades e seu modo de agir.
Essa reflexão foi a grande responsável pela criação, há três anos, da Abrasinfo – Associação Brasileira de Segurança da Informação.
Para a Abrasinfo, a grande questão não é propriamente técnica, mas de informação. Aliás, a Abrasinfo foi criada justamente para fornecer à sociedade a melhor informação sobre segurança … da informação. E prova maior da necessidade da Abrasinfo está no fato de que a Associação tem sido constantemente chamada a opinar sobre os temas relativos à sua atuação. Uma atuação que passa a contar com a colaboração de uma dos maiores especialistas em segurança da informação do Brasil: Denny Roger.
Denny Roger já chefiou importantes projetos de segurança digital no Brasil e no exterior. Atuou como Security Officer de instituições financeiras no Brasil e é membro da ABNT/CB21 – Comitê Brasileiro sobre as normas de gestão de segurança da informação, da série 27000. Autor de diversos cursos sobre segurança da informação, Denny é presença constante nos mais importantes veículos impressos e eletrônicos do País, como TV Globo, TV Bandeirantes, TV Cultura, Rede Record, Rádio CBN, Band News, nos portais, IDG Now!, G1, UOL, Terra, Estadão, Folha de São Paulo, entre outros. Além disso, a metodologia de conscientização desenvolvida por Denny Roger é considerada inovadora porque proporciona experiências únicas em ensinar hábitos de boas práticas na rotina de trabalho e no dia-a-dia pessoal.
Agora, Denny Roger traz toda essa experiência para a Abrasinfo. Atuando como diretor técnico, Denny será mais um evangelizador da Associação, contribuindo, entre outras coisas, para disseminar o conceito de segurança da informação de forma simples e abrangente para que a sociedade, mesmo não possuindo conhecimentos técnicos, possa absorver o conceito de segurança da informação; ajudando na divulgação de práticas, processo e metodologias para o controle seguro das informações; e promovendo eventos, campanhas, treinamentos e consultorias visando ao desenvolvimento sustentável de planos de segurança da informação.
Sobre a Abrasinfo
A Associação Brasileira de Segurança da Informação (Abrasinfo) é uma organização civil sem fins lucrativos que tem por objetivo a educação e capacitação da sociedade sobre a importância e a operacionalização dos sistemas de segurança da informação e da segurança digital no uso de meios de comunicação e informação.
A Abrasinfo desenvolve publicações e promove eventos educacionais, proporcionando ganhos de conhecimento, troca de experiências e evolução na carreira de seus associados.