blog.dennyroger.com.br

By Denny Roger

Every day I receive emails requesting information about information security courses and certifications. My answers by email or during a lecture are always controversial, especially when I am speaking at some university. Let’s understand what really happens.

I was talking with two colleagues about how to get a good job. One of the issues discussed was how the interviewer can evaluate your knowledge. The issue came up because many professionals hold positions in the information security without having what it takes to perform the function. The fault is not of the professional who is performing the function, but the person who hired the “professional”.

The person who is recruiting do not have the knowledge necessary to evaluate the professional profile. This fact occurs all over the world. However, the employer evaluates the candidate’s knowledge through the indication and certifications.

First of all, the indication doesn’t work because the candidate can provide the contact of a friend or relative as a reference. It is obvious that the friend or relative will provide good references. This happens very often.

Second, the company requires you to have certain certifications. If you want to get a job or increase your salary, just studying and pass in some exams (for example, CISSP).

Third, many professionals are certified because the company paid the required certification. Some times, the employer required that the employee has a certification.

There are many cases where the professional is certified in a particular technology but works in another area. For example, one of our co-workers recently achieved CCIE certification. However, this professional works with Windows systems. In other words, has experience in one area but is certified in other. This co-worker only “sought” the certification because the company requested.

Fourth, the certification proves that the person has the ability to learn about any subject. Does certification not prove that the person is prepared to perform a certain function in the information security.

Fifth, the technology evolves much faster than any course or certification. In the information security we are learning new things every day. Courses and certifications are outdated very fast.

Sixth, the most important is its ability to solve problems and create proactive strategies against new threats. The certifications will not help you at the time when your computing environment is experiencing a new type of attack.

Conclusion

The personal department or even the technical interviewer needs to understand that there are immortals and mortals of information security.

The immortals are the people who can prove their experience. They are recognized by the community of information security. These are people who share their knowledge with their colleagues, lectures, develop courses, write articles, participate in discussion groups etc.

Mortals are the people that aim to have some kind of certification to try to make themselves different in the market.

Denny Roger is responsible for more than 100 projects about Information Security, including: risk management, maturity level, audits, penetration test, vulnerability management, security incident response, computer forensic investigations, information security policy and implementation of security technologies. As member of the ABNT / CB21 / CE 27, he participated in the development of ISO 27001, ISO 27002 and others ISO 27000 family standards. Contact: denny@dennyroger.com.br.

Regards,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Follow me on Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Member of International Association of Emergency Managers (IAEM)

Sem comentários »

Comentários aos aspectos relacionados com a intimidade empresarial e a intimidade pessoal dos empregados

Por Pedro Felício André Filho

Atualmente, com a tecnologia adotada e sua constante evolução dos meios de comunicação, surge uma importante questão quanto ao uso da tecnologia no ambiente de trabalho em contraste com a privacidade do empregado.

É fato que um dos meios mais céleres de comunicação hoje em dia é por meio da utilização de correio eletrônico ou programas similares de comunicação, geralmente acessíveis por qualquer computador, ferramenta de trabalho essencial para a grande maioria das empresas.

Contudo, no mesmo passo em que cresce a tecnologia a favor do desenvolvimento empresarial,
crescem na mesma proporção os meios de pirataria de informações sigilosas, como também a desídia de alguns empregados, que se utilizam das ferramentas de trabalho como instrumento de lazer.

Por estes motivos, muitas empresas adotam a política de monitoramento das atividades de seus funcionários, a fim de garantir o correto desempenho almejado pela empresa na busca de suas finalidades empresariais.

Por outro lado, temos funcionários que se sentem lesados com estas políticas, sob a alegação de violação do direito constitucional a intimidade por parte da empresa.

Neste enfoque, vale dizer que o equipamento de trabalho utilizado pelo empregado é de propriedade da Empresa, sendo tal equipamento submetido ao direito de propriedade no tocante ao uso, gozo e disposição da coisa.

Neste sentido a Carta Constitucional protege os valores sociais do trabalho e da livre iniciativa, garantindo o livre exercício de qualquer profissão, trabalho ou ofício desde que atendidas as exigências previstas em lei.

Desta feita, para o devido desenvolvimento empresarial/comercial é essencial ao empregador, fiscalizar o desenvolvimento das atividades que se destinam às finalidades precípuas da empresa, até porque o mesmo é dotado de Poder Diretivo, na forma prevista pela CLT, sendo responsável por muitos dos atos cometidos por seus funcionários.

Neste sentido o que muda, é a forma de fiscalização, que antes era exercida por funcionários com função de fiscais, gerentes, inclusive com monitoramento por câmeras etc.

Assim, com a tecnologia atual é bem possível se efetuar a “fiscalização” ou monitoramento através da própria ferramenta de trabalho, qual seja o computador.

Vale informar que este monitoramento, do ponto de vista tecnológico social, é natural, uma vez que as maioria das empresas de hoje, possui uma ampla gama de computadores ligados em rede interna, sem prejuízo de estarem conectados à rede mundial de computadores pela internet.

Desta forma, como ferramentas de trabalho da empresas, essas máquinas devem ser constantemente atualizadas e protegidas por diversos programas de segurança, uma vez que o principal conteúdo das mesmas é a intimidade da empresa.

Assim, não se trata de violação à intimidade do empregado monitorar o conteúdo e uso de uma máquina destinada ao uso da empresa, mas sim, de se proteger a intimidade a qual a empresa tem direito como pessoa jurídica que é.

Tal intimidade da pessoa jurídica diz respeito aos seus segredos industriais, segredos financeiros, segredos protegidos por patentes, segredos acionários, etc…informações e detalhes que podem fazer a diferença entre o sucesso e a falência das mesmas, fato o qual justifica o devido monitoramento a fim de se evitar o envio de informações a terceiros, bem como se evitar o uso indevido da ferramenta em detrimento à produção almejada.

O Tribunal Regional do Trabalho da 2ª Região – São Paulo (TRT-SP), compartilhando deste entendimento, em julgado recente, determinou que é direito e dever do empregador manter vigilância sobre tudo o que acontece no local de trabalho, concedendo a ele o direito de monitorar as informações dos computadores de seus funcionários.

Com base nesse entendimento, aceitou como prova válida de falta grave, diversos correios eletrônicos e documentos encontrados em computador da empresa.

É de se frisar que a empresa ao examinar um computador de sua propriedade encontrou arquivos comprovando que a sua funcionária repassou informações sigilosas a outro ex-empregado, que trabalhava para empresa concorrente.

Tal atitude resultou em demissão por justa causa, por cometer “falta gravíssima contrariando expresso dispositivo do contrato de trabalho avençado por escrito”, tendo repassado segredos comerciais para a concorrência.

Importante salientar que referido monitoramento de equipamento não viola a intimidade do empregado, uma vez que o empresário/empregador não pode esperar e/ou aceitar que o funcionário se utilize da ferramenta para funções não profissionais referentes à sua intimidade.

Por estes motivos é que se sugere às empresas possuidoras deste tipo de tecnologia, que as mesmas cientifiquem seus funcionários formalmente a respeito do monitoramento exercido, seja por meio do próprio contrato de trabalho individual ou por meio de documento autônomo.

Tal medida exonera e descaracteriza eventual expectativa de alegação de violação à privacidade por parte do empregado que fica consciente quanto ao correto e eficaz uso da ferramenta de trabalho posta a sua disposição.

PEDRO FELÍCIO ANDRÉ FILHO é advogado e consultor em São Paulo, Especialista Pós-Graduado em Direito Tributário pela Pontifícia Universidade Católica de São Paulo (PUC/SP) – E-mail: pedroandre@adv.oabsp.org.br.

Sem comentários »

Olá a todos!

Estou reproduzindo um artigo que comenta sobre as opções para quem deseja atuar na área de segurança da informação.

Boa leitura!

Denny Roger
denny@epsec.com.br

By Adriano Dias Leite

Every time someone asks me about my profession, people’s reaction is often the same: -Wow! So you’re like those hackers I see in the (Hollywood) movies! That’s really cool! Listen, can you discover someone’s password for me?

After an hour long monologue telling them the difference between hackers and crackers, the unethical implications of discovering someone else’s password, the basics of networking functionality and so on, people are still amazed by the knowledge the profession requires and the coolness of “attacking” websites and investigating a computer crime. I guess it’s a reflex of that famous TV series…

But either we like it or not, Information Security careers hold a certain glamour and ignite people’s imagination. Thus, I’ve decided to research a bit further, and write down what each job is about so the next time I’m asked, I’ll just refer people to this page.

This article is also useful if you’re considering to start your Information Security career or looking for some career tips.

So, let’s see what we’ve got. Let me highlight that the career order here purely reflects my personal preference. Objections are welcome!

The article is written in descending order to give you that suspense feeling.

10 – Information Security Analyst

This information security job involves assessing the effectiveness of Information Security policies and pointing out vulnerabilities or lack of controls to mitigate a given risk. The security analyst will work with every department in the company to make recommendations for improvements and craft detailed design documents for them to implement. This position has become common place with the advent of ISO 27001, Sarbanes-Oxley and similar regulations and compliance frameworks.

Where to look for a job: basically, every company dealing with information requires an Infosec Analyst.

9 – Incident Responder

Those employed in this information security career will monitor computer systems for security breaches, report and document such breaches and implement appropriate countermeasures. The incident responder will also undertake protective and corrective measures when a security incident is discovered.

Where to look for a job: These professionals are usually found at the SOC or network monitoring department of datacenters.

8 – Network Security Engineer

Network security engineers are responsible for developing, maintaining and troubleshooting computer network security systems, configuring security hardware and software and preparing security reports. These professionals possess deep knowledge of communications protocols, network routing, packet and content filtering. That’s how I started my career, a couple of years ago…

Where to look for a job: Almost every company with a medium/large sized network infrastructure. For small companies, do expect the network administrator to wear this hat.

7 – Chief Information Security Officer

The responsibilities of this information security career are enormous, as CISOs are in charge of an organization’s entire computer security system. The CISO will also oversee the company’s entire network of people who safeguard a company’s digital security, from systems security officers to software and hardware vendors. Their responsibilities may also include identifying a company’s digital protection objectives and defining allocation of resources based on priority areas, as well as overseeing investigation of security breaches and incident response planning. Depending on the country, CISOs are legally liable for a company’s Information Security health.

Where to look for a job: Large organizations.

6 – Information Security Architect

Information Security Architects are the professionals thinking on the big picture: They need not only be aware of every piece of technology deployed within the business architecture, but also understand how and why all of these components interact with each other to achieve the objectives of the enterprise. The architect is involved (or at least should be, but we know how real life is…) at the early stages of any IT project to design and implement the security policies required to protect the integrity, confidentiality and availability of the information on an end-to-end basis.

Where to look for a job: Major organizations, Information Security Services Provider/Consultancy companies.

5 – Forensic Analyst

The professional holding this position analyzes computer systems to identify who is the responsible for the misuse of a system, or to detect whether a certain application was used to commit a crime. His task doesn’t end there: the forensic analyst is responsible for preserving, documenting and interpreting computer evidence subject to legal rules and guidelines.

Where to look for a job: Information Security Services Provider and consultancy companies, major organizations where security is paramount (banking, financial, health, etc).

4 – System, Network and Web Penetration Tester

This job involves attempting to penetrate systems, networks and applications in order to detect their vulnerabilities so that companies can correct flaws and improve their security. The tester must be able to identify flaws in security and bring up possible solutions, as well as providing suggestions on how to better allocate security resources. This information security career is also known as white-hat hacking, ethical hacking and pentesting.

Where to look for a job: Information Security services providers and consultancy companies, major organizations where security is paramount (banking, financial, health).

3 – Information Security Forensics Expert

This information security career involves analyzing the aftermath of a systems security breach by hackers in order to determine how the breach occurred and which of the company’s systems may have been compromised. This position requires security professionals with updated forensic and reverse engineering skills, as well as an awareness of the latest methods of exploiting system vulnerabilities.

Where to look for a job: Information Security services providers and consultancy companies, government agencies.

2 – Malware Analyst

This information security career involves reverse-engineering malicious software such as viruses and spyware in order to determine how they attack computer systems and how they spread as well as define signatures that could indicate their presence within a system. This profession requires a deep knowledge of high and low level programming languages.

Where to look for a job: Security Software makers.

1 – Computer Crime Investigator

This is one of the most glamorous information security jobs as the job holder assists police and forensic investigators with crimes involving computers or with aspects of a criminal investigation involving computers. The computer crime investigator uses advanced technologies to analyze evidence. They will also help law enforcement officials in recovering deleted, hidden or encrypted data from a hard drive which may be of value to an ongoing investigation. It’s also very probable that security clearance will be required if you want to become a Computer Crime Investigator.

Where to look for a job: Law enforcement agencies, Information Security consultancy companies.

Adriano Dias Leite is an IT/Information Security specialist with more than 14 years experience in the field. Possessing a strong technical background, he formerly worked at major global organizations such as DHL, VISAnet, EDS and boutique Infosec firms. Currently, Adriano runs the My Infosec Job (www.myinfosecjob.com) portal, helping thousands of professionals worldwide to find a new position and take their career to the next level.

Fonte: http://www.myinfosecjob.com/2010/02/the-10-coolest-information-security-careers/

Sem comentários »

Ao que tudo indica, teremos um 2010 muito favorável em relação aos investimentos em segurança da informação. Com o crescimento da economia brasileira – em 2% entre outubro e dezembro de 2009 – as projeções para o Produto Interno Bruto (PIB) em 2010 convergem para 6%. Isso significa que o aquecimento do mercado e a volta dos investimentos em segurança da informação devem puxar as melhorias nos processos que apresentam um alto grau de integração e sofisticação tecnológica. Mas há pelo menos 5 pontos que prometem agitar as discussões sobre segurança da informação em 2010.

Lei de crimes digitais

É provável que as discussões sobre a lei que coíbe os crimes na internet continuem quentes em 2010. Estou comentando isso porque, por exemplo, para entendermos como um vírus de computador realmente funciona, precisamos disseminá-lo em um ambiente controlado. Isso, segundo a lei contra crimes na internet, é tipificado como um crime, afetando diretamente os pesquisadores que trabalham no desenvolvimento de “vacinas” e na engenharia reversa dos vírus de computador.

Não podemos esquecer que o Brasil está atrasado em relação às leis que tratam sobre os crimes na internet. Atualmente, a polícia não consegue avançar no combate aos crimes eletrônicos porque as informações, necessárias para uma investigação, chegam atrasadas para a polícia. Podem durar meses até que as provas cheguem à polícia.

Acesso remoto seguro ou inseguro?

O executivo está conectado, remotamente, ao ambiente computacional da sua empresa. O filho desse executivo, um nativo digital que conhece técnicas de invasão, utiliza o computador da empresa para “fuçar” na intranet. Ele encontra uma área restrita relacionada ao departamento de Recursos Humanos. A curiosidade desse jovem faz com que busque alguma vulnerabilidade na intranet – na aplicação – para ter acesso total à folha de pagamento. Após poucos minutos “fuçando” na aplicação ele descobre uma brecha de segurança que permite consultar toda a relação de salários e benefícios dos funcionários da organização. E tudo isso usando o próprio computador da empresa que está conectado através de um acesso remoto (VPN). Essa é uma história real que acontece com a grande maioria das empresas.

O executivo fora da lei

Diversos executivos, preocupados com o que os seus funcionários estão fazendo na internet e com o vazamento de informações confidenciais, estão monitorando – indevidamente – os e-mails pessoais e os programas de mensagens instantâneas. Algumas opções rotuladas como DLP (Data Loss Prevention) ainda estão fora da realidade econômica de diversas empresas. Em outras palavras, o alto custo não justifica o investimento. Porém, algumas soluções ligadas à área de forense computacional e outras, mais baratas, relacionadas à utilização de programas espiões estão sendo instaladas no ambiente computacional corporativo. Com um custo mais acessível, essas tecnologias permitem a monitoração através de palavras-chaves (em qualquer meio eletrônico: documentos, planilhas, blogs, Twitter, e-mails etc), mensagens trocadas através dos programas de mensagens instantâneas e até mesmo a realização de uma cópia de todas as informações armazenadas nos pen drives pessoais dos funcionários. Este tipo de técnica já permitiu que executivos identificassem quais funcionários estavam participando de um esquema de propina. Mas essa ação pode ser considerada invasão de privacidade porque o colaborador não assinou um termo declarando estar ciente que estará sendo monitorado.

A família espiã

Em janeiro de 2009, publicamos na coluna “Mente Hacker” o artigo “A família hacker”. Cada vez mais, pais, filhos, namorados ciumentos, amantes etc, estão instalando programas espiões para monitorar o computador de alguém da família. Estes programas permitem monitorar o conteúdo que está sendo divulgado ou lido nos sites de relacionamento, e-mails, programas de mensagens instantâneas etc. Também é possível identificar os arquivos acessados e as páginas visitadas na internet. A facilidade de compra e o preço acessível estão permitindo um aumento das vendas dos programas espiões. Um detalhe interessante é que não precisamos ter um conhecimento técnico avançado para utilizar estes programas espiões. É simples de instalar e muito fácil de usar. A família espiã estará mais ativa do que nunca em 2010.

Investimentos em segurança nem sempre evitam as invasões

A decisão dos gerentes de TI de disponibilizarem a maior parte do orçamento para a compra de dispositivos de segurança que protegem a camada de rede, por exemplo, firewall, antivírus e anti-spam, é um equivoco que poderá gerar grandes perdas financeiras para as empresas. Isso ocorre porque as principais técnicas de invasão estão relacionadas a vulnerabilidades na camada de aplicação – que recebe quase nenhum investimento. Entre outras palavras, o orçamento está sendo gasto com a proteção/tecnologia errada. É necessário evoluir as discussões sobre segurança no processo de desenvolvimento de software e na adoção de sistemas conhecidos como Web Application Firewall. Os gestores de TI devem determinar objetivos/controles de segurança para o processo de desenvolvimento de software (intranet, extranet, sistemas de venda, CRM, ERP etc), atendendo às necessidades do negócio, permitindo que a organização assuma projetos de alto risco.

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger.

Sem comentários »

Por Denny Roger

Se observarmos as principais empresas de segurança da informação, todas elas estão passando por uma reavaliação do modelo de negócios. Pode ser que já não faça tanto sentido oferecer apenas produtos “tudo em um”. Muitas empresas estão migrando determinados processos informatizados para ambientes de cloud computing, tendo como objetivo a redução de custos com energia, hardware, software, recursos humanos, móveis etc. Sendo assim, essas empresas não precisam mais comprar ou renovar tecnologias para proteção de um determinado processo da organização. O ambiente de cloud computing já oferece suporte a segurança da informação.

Independente do modelo de negócio (produto ou serviço), as empresas que desenvolvem soluções de segurança da informação têm um fluxo de dinheiro bastante previsível, de modo que se tornam alvos ideais para investidores que buscam diversificar seus investimentos. Alguns dos fatores que mantêm o mercado de segurança da informação aquecido são as novas regulamentações e a necessidade de assumir projetos de alto risco para viabilizar novos negócios. Essa combinação – bom fluxo de dinheiro e a necessidade dos clientes – tem atraído a atenção dos investidores.

Por outro lado, já se fala que o aquecimento do mercado poderia adiar a venda de uma consultoria ou fabricante de soluções de segurança da informação porque os novos contratos, assinados agora em janeiro, valorizam ainda mais o valor de venda da empresa. O crescimento da carteira de clientes e aumento da receita estava previsto para março. Porém, a retomada dos projetos pré-crise e o aumento do orçamento para segurança da informação contribuíram para que as previsões fossem antecipadas para fevereiro.

Um segundo fator está atrasando a concretização de venda das empresas de segurança da informação. A empresa ou investidor que faz a oferta de compra de uma empresa de segurança da informação tem dificuldades em calcular quanto vale o poder de inovação da organização. Por exemplo, avaliando a contabilidade e mais alguns dados de mercado, o possível comprador oferece R$ 10 milhões pela empresa. Porém, essa empresa está desenvolvendo uma idéia ou produto que, futuramente, ajudará no crescimento acelerado da receita e na expansão do negócio. O valor “real” da empresa pode chegar a R$ 17,5 milhões graças ao poder de inovação. Mas na prática, calcular tudo isso e justificar o valor relacionado ao poder de inovação têm sido um dos principais desafios durante a negociação da venda.

A compra de uma consultoria ou fabricante de soluções de segurança pode trazer ganhos financeiros mais rápidos, em comparação aos investimentos realizados em ações na bolsa de valores. Porém, o risco para o investidor ou comprador é muito maior. O aquecimento da economia, o surgimento de novas regulamentações, leis, normas internacionais, o aumento das ameaças na internet, a informatização dos processos de negócio etc, criaram o cenário ideal para quem busca uma boa oportunidade de negócio. Esta é uma potente combinação que tem atraído a atenção de investidores, mas como saber quais empresas de segurança da informação estão à venda?

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.

Sem comentários »

Por Denny Roger *

De acordo com um estudo realizado pelo Gartner, que ouviu 190 líderes de grandes organizações nos Estados Unidos e na Inglaterra, 43% dos executivos planejam aumentar o orçamento da área de Tecnologia da Informação em 2010.

É importante observarmos que na maioria das empresas a área de segurança da informação funciona “dentro” da área de Tecnologia da Informação. Conversando com alguns profissionais que vivem essa realidade, a principal discussão neste final de 2009 foi sobre quanto deste orçamento será disponibilizado para a área de segurança da informação.

Investimentos para segurança da informação

Os assuntos relacionados à segurança da informação trazem um nível superior de Governança Corporativa pós-crise. Isso ocorre porque houve uma evolução na adoção das Melhores Práticas durante a crise financeira global. Houve uma pressão maior por parte da alta administração para alinhar o Sistema de Gestão da Segurança da Informação ao planejamento estratégico da organização, objetivando a melhoria dos processos, redução de custos e o aumento da capacidade para assumir projetos de maior risco em 2010.

A gestão e controle de riscos ajudou a apontar mudanças em determinados processos, identificando e priorizando os investimentos necessários para que a organização possa assumir projetos mais complexos e de alto risco.

Durante o evento sobre a “Lei de Crimes Cibernéticos”, realizado no dia 14 de dezembro de 2009, onde fui um dos especialistas convidados para o debate, tive a oportunidade de conversar com gestores de grandes organizações de diferentes setores no Brasil. As novidades eram que a alta administração disponibilizou um orçamento proporcional as necessidades relacionadas a segurança. Ou seja, a área de segurança da informação está com um orçamento para 2010 superior aos anos anteriores.

A pressão pela Melhoria Continua dos processos relacionados a segurança da informação ocorrem com mais freqüência nos períodos de crise. Quando tudo está indo bem, as discussões sobre o assunto diminuem na organização. Um dos comentários realizados durante o debate sobre a Lei de Crimes Cibernéticos, por um executivo da área de segurança, foi que “algumas empresas aprendem pela dor e outras pelo amor”.

A recente crise financeira global colocou a prova as competências das equipes de segurança da informação. Ocorreu a famosa “dança das cadeiras” em algumas organizações. Porém, as demissões que tive conhecimento não estavam relacionadas às dificuldades financeiras da organização. O problema detectado pela alta administração estava relacionado às competências técnicas e comportamentais de alguns profissionais. Essas competências foram colocadas a prova exatamente quando a empresa começou a aprender pela “dor”. A alta administração cobrou resultados da área de segurança da informação e a resposta de alguns profissionais não atendeu as expectativas dos executivos. Estou falando de ações isoladas de alguns profissionais (esforço individual), planejamento e controle deficiente, procedimentos não padronizados, nível de conhecimento não uniforme entre os principais envolvidos com os processos de segurança da informação, existência de conflitos internos e o pior de tudo foi o não alinhamento com os negócios da empresa.

Controles internos

Aproveitando a SETEC09, realizada em Angola entre os dias 04 à 06/12/2009, onde pude observar alguns comentários sobre os relatórios de auditorias externas. A boa notícia é que as organizações apresentaram melhorias relevantes nos controles internos.

Conversando com executivos no Brasil, os indicadores relacionados aos controles internos também foram positivos em 2009. Estas melhorias foram originadas pela necessidade dos processos de segurança da informação estarem alinhados ao planejamento estratégico. A crise pode ter sido positiva em alguns aspectos. O pós-crise, com um aumento do orçamento para segurança da informação, irá provar em um curto espaço de tempo que a Governança da Segurança da Informação está ganhando cada vez mais espaço nas organizações.

* Denny Roger é Presidente da Abrasinfo

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5741&sid=15

Sem comentários »

Investimentos para proteger a informação nem sempre freiam as ações dos crackers.

Somos dependentes da tecnologia da informação. Ela se tornou parte integrante do cotidiano da nossa vida privada e nos negócios. Utilizamos o internet banking para pagar contas, acessamos redes sociais para interagir com nossos amigos e clientes, publicamos informações corporativas e pessoais através do Twitter etc.

Embora ofereçam funcionalidades inéditas, essas novas tecnologias também introduzem novos riscos e um ambiente mais difícil de controlar e monitorar. Uma vulnerabilidade de segurança terá um grande impacto na vida pessoal e nos negócios corporativos.

Todos estão preocupados com a privacidade de suas informações e perdas nos negócios. Conseqüentemente, a segurança da informação hoje é parte da governança corporativa. Podemos constatar que os investimentos em segurança estão ligados ao risco real de uma vulnerabilidade impactar sua vida pessoal ou os negócios da sua empresa.

Hoje as pessoas estão preocupadas em ter um firewall pessoal, um bom antivírus e antispam instalados. As empresas realizam avaliação de risco para auxiliar os tomadores de decisão. Mas a segurança da informação exige uma melhoria contínua dos processos, e isso não está ocorrendo.

Vulnerabilidades

As empresas continuam com os mesmos problemas após investirem em tecnologias de segurança, tais como firewalls, antispam, sistema de detecção de intrusos, antivírus etc. Os hackers provaram que é possível acessar informações confidencias (pessoais ou corporativas) explorando vulnerabilidades nas aplicações, atropelando todas as tecnologias de segurança comentadas anteriormente.

Toda vez que especialistas mundiais em assuntos sobre segurança da informação discutem avaliação do Sistema de Gestão da Segurança da Informação (SGSI), a pergunta mais comum é: “como avaliar o nível de maturidade do SGSI em uma organização?.”

A realidade é que, na opinião de alguns especialistas que tentam utilizar alguma metodologia sobre níveis de maturidade para os processos focados na segurança da informação, tais modelos são subjetivos ou estão incompletos.

Sempre que a oportunidade se apresenta, diretores e gerentes de TI, bem como consultores e analistas de segurança da informação, costumam fazer precisamente essas perguntas sobre a avaliação do nível de maturidade do SGSI: como eu sei a situação atual da minha empresa em relação à segurança? Quais processos precisam de melhoria de acordo com a estratégia da organização? Os investimentos em segurança estão resolvendo os problemas? Os resultados obtidos estão na mesma proporção do que gastamos?

O objetivo da avaliação do nível de maturidade de segurança da informação pode ser definido como a soma de “melhores práticas” para diagnóstico e avaliação de maturidade do SGSI em uma organização.

Padrões

Dessa forma, a organização consegue mapear a situação atual, estabelecer e monitorar passo-a-passo as melhorias dos processos rumo à estratégia da organização e comparar com a situação das melhores organizações no segmento (benchmarking) e com padrões internacionais (por exemplo, ISO/IEC 27002).

Devem também desenvolver um plano de crescimento da maturidade estruturado em efetuar uma ligação entre o planejamento estratégico da empresa e a segurança da informação. Assim, os objetivos de segurança podem ser mais bem avaliados.

Embora existam muitos profissionais preocupados com essas questões, a mais proveitosa sempre foi identificar quais processos precisam de melhoria de acordo com a estratégia da organização.

Seja como for, é importante observar que a criação de um plano de crescimento a curto e longo prazos é indispensável para tornar os processos avaliados mais robustos e precisos.

É possível ainda registrar as dimensões presentes em cada nível de maturidade. Ou seja, a organização irá identificar a taxa de satisfação das necessidades de negócios e objetivos de segurança de acordo com o alinhamento estratégico, competência comportamental, estrutura organizacional, informatização, metodologia e competência técnica.

O assunto ganhou destaque há pouco tempo por meio de relatos críticos de organizações que necessitam de um guia para ações das melhorias dos processos de segurança da informação.

É importante comentar também que o diagnóstico e a avaliação do nível de maturidade de segurança da informação representa a metodologia mais adequada para demonstrar quão hábil uma organização está em relação à gestão dos processos de segurança da informação.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Fonte: http://idgnow.uol.com.br/seguranca/mente_hacker/idgcoluna.2009-12-14.8546420650/

Sem comentários »

Por Denny Roger

Na área de segurança da informação um dos principais ensinamentos que podemos ter é o fato de que a tecnologia evolui muito mais rápido que qualquer curso ou certificação profissional. Sempre há a necessidade de aprendermos coisas novas.

É verdade que as ameaças evoluem muito mais rápido que as tecnologias que gerenciamos e/ou administramos no nosso ambiente virtual. Mas, como anda a evolução dos conhecimentos dos profissionais que atuam na área de segurança da informação ou TI?

Viajando ao redor do mundo, tive a oportunidade de conversar com alguns dos melhores profissionais que atuam com o desenvolvimento de metodologias e tecnologias ligadas a segurança da informação. Todas as conversas se resumiam a questão da evolução da nossa área. Tanto as características e motivações pessoais, como também a chegada da Governança da Segurança da Informação ao dia-a-dia das organizações, estarão presentes em 2010.

Governança da Segurança da Informação

As organizações estão optando cada vez mais pelas boas práticas de Governança Corporativa, demonstrando como linhas mestras a transparência, a prestação de contas, a equidade e a responsabilidade corporativa.

Um aspecto significativo é a inclusão da segurança da informação como parte do risco operacional, na definição mais ampla de Governança Corporativa.

O novo paradigma de gestão tem como epicentro a implementação do Gerenciamento de Serviços de TI (ISO/IEC 20000) em conjunto com o Sistema de Gestão da Segurança da Informação (ISO/IEC 27001), onde as organizações tem como objetivo criar resultados com base no alinhamento estratégico e na melhoria continua.

Apesar de atualmente não termos um guia abordando os aspectos principais necessários para a implementação dos dois sistemas de gestão, esta iniciativa deverá proporcionar uma série de benefícios para a Governança da Segurança da Informação, tais como: melhoria dos processos, políticas e procedimentos de TI e segurança da informação.

A carreira do profissional de segurança da informação

O ensino da cadeira de segurança da informação nas universidades e escola está em franca expansão. É um passo importante para a educação de um país que tem algumas das principais gangues de Crackers (criminosos do mundo real que atuam no mundo virtual) do mundo.

Sem dúvida, um curso ajudará no aprendizado e agrega valor ao currículo. Todavia, muita energia pode ser poupada e tempo economizado se o acesso às tecnologias e às metodologias adequadas de segurança da informação ocorrem no tempo certo.

Apesar de existirem muitas fontes de informação, identificar quais tecnologias ou metodologias são adequadas pode não ser fácil. No entanto, existem algumas dicas que podem auxiliar você nessa tarefa.

Primeiro, no meu ponto de vista, uma das melhores formas de estimular a geração de novas idéias, seja para a implementação de melhorias ou para responder a um novo tipo de ataque ao ambiente computacional, é o método de brainstorming (tempestade cerebral). Quando estamos reunidos com outras pessoas, surgem novas idéias ou soluções mais simples para um determinado problema ou para a concepção de um novo produto / projeto.

Segundo, as organizações estão buscando cada vez mais profissionais que consigam mapear a situação atual organização. Ou seja, a alta administração da sua empresa quer saber como estão os aspectos relacionados ao desempenho dos processos de TI e segurança da informação. Esse “raio X” pode ser gerado através da avaliação do nível de maturidade e da análise de risco.

Terceiro, o gestor ligado a segurança da informação e/ou TI precisa estabelecer e monitorar passo a passo as melhorias dos processos rumo à estratégia da organização.

Quarto, realize benchmarking e entenda os melhores desempenhos de segurança da informação do mercado e determine como a sua organização e seus processos se comparam a eles. A identificação, compreensão e adaptação de melhores práticas observadas em empresas que possuem uma reconhecida reputação de liderança no gerenciamento dos processos de segurança da informação, ajudará a melhorar significativamente o desempenho da sua empresa.

Quinto, implementar padrões internacionais pode trazer escalabilidade (bom potencial de crescimento e capacidade de assumir projetos de alto risco para o desenvolvimento de novos negócios). Não deixe de avaliar a conformidade e o desempenho da sua empresa em relação ao conjunto de melhores práticas reunidas na ISO 27002 (Código de Prática para a Gestão da Segurança da Informação) e na ISO 20000-2 (Gestão de Serviços – Parte 2: Código de prática).

Sexto, desenvolva ações para melhoria continua dos processos de segurança da informação. Após a avaliação do nível de maturidade, é possível elaborar o Plano de Crescimento (longo e curto prazo) para refletir o nível máximo ao qual a sua empresa deseja chegar e o prazo para implementação das melhorias para seus processos, apresentando as ações que irão possibilitar o crescimento da maturidade.

Enfim, desenvolver as seis dicas não é fácil, pois estão envolvidos vários fatores, entre eles o apoio da alta administração e o seu tempo para aprimorar os conhecimentos relacionados à Governança da Segurança da Informação. Essas dicas podem ser essenciais para você que dispõe do comprometimento e da energia indispensável para levar a sua carreira e sua empresa até o topo do sucesso em 2010.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Sem comentários »

Após viajar muito, resolvi voltar aos meus treinos de jiu-jitsu. Liguei para o meu colega de treino, o Alexandre, e visitamos uma academia que possui um tatame para treinos de karatê. Encontramos um horário entre as aulas para utilizar o espaço para o jiu-jitsu.

Depois de alguns treinos e algumas câimbras, hoje estou “quebrado”. Dores musculares, alguns hematomas, maxilar machucado etc. Mas vale a pena? Claro que vale! E vale muito a pena. Não estou falando dos machucados.

Atualmente estou trabalhando muito com Governança da Segurança da Informação. Assunto que é relativamente novo para muitas empresas e profissionais. Ou seja, são dezenas de e-mails que respondo diariamente, telefonemas de tudo quanto é canto do planeta, conferencias pelo Skype e preparação de palestras e treinamentos sobre o assunto. A prática de um esporte ajuda no meu bem estar, na minha concentração e na minha energia para trabalhar. Por isso vale a pena.

Aproveito os momentos em que estou treinando jiu-jitsu para passar um tempo a mais com os meus dois filhos. O Enrique (7 anos) e a Paola (5 anos). Os dois treinam jiu-jitsu comigo há uns 3 anos. Além disso, os dois também treinam judô, fazem natação, aulas de tênis etc. Os treinos de jiu-jitsu são excelentes para nos divertirmos e passarmos mais tempo juntos. Estou comentando isso porque tenho colegas (que lêem este blog) que trabalham em um ritmo tão alucinante quanto o meu. São tão apaixonados por segurança da informação e às vezes não “encontram” tempo para ficar com a família.

Não fique com a cara enfiada nos livros o tempo todo. Não fique na internet (que vicia) o tempo todo. Cuide da sua saúde. A sua produtividade vai melhorar em tudo. Voce não vai ser aquela pessoa chata que só fala de trabalho. Aproveite este feriado para praticar algum esporte e cuidar da sua saúde. Eu vou aproveitar este feriado para surfar com os meus dois filhos. Porém, na mochila estará algum livro para ler às vezes.

Bom feriado!

Denny Roger
denny@epsec.com.br

Sem comentários »

Por Denny Roger

Não é fácil implementar mudanças relacionadas a segurança da informação, não importa em que tipo de empresa, ainda que todas as áreas envolvidas estejam convencidas de sua necessidade. Vamos conhecer, resumidamente, como as organizações estão continuamente melhorando a eficácia do Sistema de Gestão da Segurança da Informação (SGSI) por meio do uso da “avaliação do nível de maturidade” e desenvolvimento do “plano de crescimento”.

Evoluindo através da melhoria continua

A idéia de avaliar o nível de maturidade da segurança da informação ocorre com maior freqüência em organizações que buscam se sobressair em um mercado congestionado. Por exemplo, uma empresa que realiza suas vendas através da internet, normalmente, apresenta aos seus clientes alguns processos de segurança da informação, tais como: política de privacidade, processamento dos dados do cartão de crédito, criptografia das informações etc. Essas informações podem estabelecer algumas diferenças no momento em que o cliente está decidindo em qual loja irá efetuar a compra. Você não quer os dados do seu cartão de crédito sendo vendidos ou utilizados por terceiros na internet. Sendo assim, partindo do conhecimento de alguns processos de segurança utilizados por uma determinada loja virtual, o cliente decide em qual loja comprar e, conseqüentemente, a segurança da informação contribui com o aumento do lucro da organização.

A adoção da avaliação dos processos de segurança tem como objetivo levar uma organização a um grau de maturidade e qualidade que permita o uso eficaz e eficiente do seu SGSI, sempre com o foco no alinhamento estratégico, competência técnica, informatização dos processos de segurança, utilização de metodologias e competência comportamental. Além disso, a avaliação demonstra a maturidade que a segurança da informação adquiriu ao longo do tempo, utilizando o plano de crescimento de longo prazo, refletindo o nível máximo ao qual a organização deseja chegar e o prazo para implementação, e o plano de curto prazo, apresentando as ações que irão possibilitar o crescimento da maturidade em 1 ano.

A avaliação do nível de maturidade e o desenvolvimento do plano de crescimento apresentam desafios que implicam em mudar o “modus operandi” dos processos. É possível que, durante a fase de planejamento, seja necessário suportar discussões sobre “interesses pessoais”. Por exemplo, alguns funcionários insistem em utilizar os recursos da empresa para fins pessoais, expondo a organização a diversos riscos. Sendo assim, o gerenciamento das mudanças nos processos terá de ser robusto o suficiente para garantir o êxito da sua empreitada.

Quando as empresas estão avaliando o nível de maturidade de um determinado processo de segurança da informação, é muito útil a assessoria de um consultor especializado no assunto nos primeiros dias, a fim de evitar erros na elaboração do plano de crescimento do nível de maturidade e manter seu foco na descrição da situação atual do processo analisado.

A maioria das empresas recorrem primeiro a consultores externos, visando disseminar o conhecimento sobre o SGSI por toda a área de Tecnologia da Informação (TI). Porém, quando os consultores se forem, algum profissional da organização deverá assumir o papel de “especialista interno”.

Quando aparecerão os primeiros resultados?

Um ano é uma boa estimativa para implementação do plano de crescimento de “curto prazo” do nível de maturidade da sua organização. Ou seja, os primeiros resultados de melhorias nos processos analisados devem aparecer em 12 meses. Caso as melhorias demorem para aparecer (mais do que 1 ano), os céticos logo começarão a imaginar para que serviram todas aquelas reuniões e discussões.

Depois que as primeiras ações do plano de crescimento estiverem em andamento, será necessário medir com “conta-gotas” qualquer progresso em termos de eficiência, bem como encorajar todos os envolvidos na implementação das melhorias a defender o novo modus operandi.

Comprometimento e comunicação

O reconhecimento de que um processo de segurança da informação melhorou e o incentivo de recompensas para os responsáveis são técnicas eficazes para manter a avaliação do nível de maturidade e o plano de crescimento em pauta.

Vale a pena obter aprovação do executivo de cargo mais elevado na sua organização para a divulgação sobre como a empresa conseguiu melhorar a qualidade dos seus processos de segurança da informação. Esta ação pode ser um trunfo para que a sua organização ganhe mais credibilidade no mercado e aumente o comprometimento dos seus funcionários.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Sem comentários »