blog.dennyroger.com.br

Olá,

neste último sábado (06/03) estive ministrando uma palestra no VOL DAY I - Rio de Janeiro - organizado pela comunidade do Viva o Linux.

Em breve vou estar publicando as fotos do evento e comentários sobre a palestra e a reação do público presente. Aguardem!

Denny Roger
denny@dennyroger.com.br

Sem comentários »

Por Denny Roger

Ontem (02/03) tive a oportunidade de estar debatendo sobre a liberdade na internet, conjunto de normas, leis, métodos e procedimentos utilizados para combater o crime na internet.

Entre os participantes deste debate, ao vivo na MTV, estavam: Deputado Julio Semeghini, Deputado Paulo Teixeira, Sérgio Amadeu, Camilla do Vale, Delegado Carlos Sobral e eu.

Na minha opinião, apesar da forte participação do Sérgio Amadeu, todos falamos sobre Governança na internet. Ou seja, debatemos sobre o exercício de autoridade e controle que o governo pode ter sobre a internet. Fato semelhante ao que está acontecendo na França – inclusive estive na França em outubro de 2009 – em relação a uma lei chamada LOPPSI II (Lei de Orientação e Programação para a Segurança Interior, em tradução livre). Uma das propostas da lei francesa é a possibilidade do governo instalar trojans (programas espiões) em computadores para monitorar pessoas suspeitas. Acredito que irão utilizar alguma tecnologia deste tipo, acesse www.accessdata.com/ediscovery.html. No caso da França estão rotulando como um Trojan mas pela minha experiência o governo irá utilizar ferramentas forense para monitorar algumas pessoas.

No Brasil a coisa é um pouco diferente. Algumas pessoas estão preocupadas com invasão de privacidade no caso dos provedores forem obrigados a armazenarem os logs. Ou seja, será possível identificar em quais sites (pornôs ou não… estou brincando.. rs rs rs) você anda navegando, com quais pessoas você está conversando por e-mail, quantas vezes por dia você acessa seu internet banking, entre outras coisas. Tecnicamente falando é muito simples os provedores conseguirem essas informações sobre seus usuários. Inclusive é muito fácil monitorar todo o conteúdo dos e-mails. Agora a questão é quanto vai custar ($$$) para os provedores armazenarem todos esses logs e como será a gestão disso tudo.

O Delegado Sobral fez um excelente comentário: “Não há liberdade sem segurança”. Eu tenho uma outra frase que sempre uso no meio corporativo: “Tudo que a empresa não pode monitorar deve ser bloqueado”. Eu sempre falo isso porque as empresas possuem sistemas de segurança que monitoram todo o ambiente computacional. Eu não posso “desligar” os logs do firewall quando um funcionário está utilizando o recurso da empresa para fins pessoais (por exemplo, acessando o internet banking). Eu não posso desabilitar o filtro de conteúdo da empresa para que um funcionário envie seus e-mails particulares. E caso a empresa esteja monitorando o programa de mensagem instantânea pessoal do seu funcionário ou até mesmo o e-mail particular, pode sofrer uma ação judicial relacionada a invasão de privacidade. Por isso eu sempre falo que tudo que a empresa não pode monitorar deve ser bloqueado.

Bom, este não foi primeiro e nem será o último debate sobre o assunto. Tudo isso tem sido discutido há anos e está evoluindo aos poucos. Um fato positivo é a interação entre os especialistas em segurança da informação, polícia e governo.

Sobre o programa, acontece uma reprise hoje à 01h30 e quinta (04/03) às 15h00 na MTV.

Voce também pode acompanhar os comentários no Mural da MTV. Acesse:
http://mtv.uol.com.br/debate/mural.

Abraços,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Siga me no Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Membro do International Association of Emergency Managers (IAEM)

Sem comentários »

Amanhã (02/03) estou ao vivo na MTV às 22:30.

A internet deve ou não ser controlada?

Comente no mural: http://mtv.uol.com.br/debate/mural

Abraços,

Denny Roger
denny@epsec.com.br

Sem comentários »

Fonte: http://xkcd.com/327/

Sem comentários »

A Associação Brasileira de Segurança da Informação (Abrasinfo) anunciou nesta segunda-feira (21/12) a eleição de Denny Roger para o cargo de presidente. Roger era diretor técnico da Abrasinfo. Ele sucede Fabio Leto Biolo, que atuou desde a fundação da Abrasinfo e que agora assume o cargo de Secretário Executivo.

O executivo é sócio-fundador da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), Membro do International Association of Emergency Managers (IAEM), responsável por mais de 100 projetos de segurança da informação e pesquisador ativo no campo, com publicações em diversos países. Atuou como consultor sênior em segurança da informação, instrutor de cursos sobre firewall e design de rede segura. É palestrante internacional e constantemente colabora com o meio acadêmico.

Segundo Denny Roger, “A minha missão na Abrasinfo será implementar o Modelo de Maturidade de Segurança da Informação (MMSI) para avaliarmos o nível de maturidade do Sistema de Gestão da Segurança da Informação (SGSI) das empresas brasileiras”.

O MMSI, desenvolvido pela EPSEC, foi estruturado para efetuar uma ligação entre o planejamento estratégico da organização e seus processos de segurança da informação. O MMSI também identifica quais Melhores Práticas e Capacitações a organização possui e quais não possui. “Depois disso, conseguimos identificar quais devem ser implementadas para que as estratégias das organizações sejam atingidas.”, comenta o executivo.

A Abrasinfo irá publicar todos os anos, a partir de 2010, o estudo chamando de “Avaliação do Nível de Maturidade do SGSI”. O objetivo deste estudo é apresentar um perfil do mercado brasileiro no que diz respeito à Segurança da Informação. Os resultados do estudo serão segmentados em setores da economia (Petróleo, Telecomunicações, Energia, TI, Construção, entre outros), Estado e Região.

“Apesar da Abrasinfo conduzir este estudo inédito, mundialmente falando, também estaremos buscando alianças com associações internacionais que são semelhantes a Abrasinfo. Sendo assim, podemos trocar experiências com profissionais de outros países e comparar o nível de maturidade das empresas brasileiras com organizações de outros países.”, explica Roger.

Sobre a Abrasinfo

A Associação Brasileira de Segurança da Informação (ABRASINFO) é uma organização civil sem fins lucrativos que tem por objetivo a educação e capacitação da sociedade sobre a importância e a operacionalização dos sistemas de segurança da informação e da segurança digital no uso de meios de comunicação e informação.

A ABRASINFO desenvolve publicações e promove eventos educacionais, proporcionando ganhos de conhecimento, troca de experiências e evolução na carreira de seus associados.

Sem comentários »

Por Denny Roger

De acordo com um estudo realizado pelo Gartner, que ouviu 190 líderes de grandes organizações nos Estados Unidos e na Inglaterra, 43% dos executivos planejam aumentar o orçamento da área de Tecnologia da Informação em 2010.

É importante observarmos que na maioria das empresas a área de segurança da informação funciona “dentro” da área de Tecnologia da Informação. Conversando com alguns profissionais que vivem essa realidade, a principal discussão neste final de 2009 foi sobre quanto deste orçamento será disponibilizado para a área de segurança da informação.

Investimentos para segurança da informação

Os assuntos relacionados à segurança da informação trazem um nível superior de Governança Corporativa pós-crise. Isso ocorre porque houve uma evolução na adoção das Melhores Práticas durante a crise financeira global. Houve uma pressão maior por parte da alta administração para alinhar o Sistema de Gestão da Segurança da Informação ao planejamento estratégico da organização, objetivando a melhoria dos processos, redução de custos e o aumento da capacidade para assumir projetos de maior risco em 2010.

A gestão e controle de riscos ajudou a apontar mudanças em determinados processos, identificando e priorizando os investimentos necessários para que a organização possa assumir projetos mais complexos e de alto risco.

Durante o evento sobre a “Lei de Crimes Cibernéticos”, realizado no dia 14 de dezembro de 2009, onde fui um dos especialistas convidados para o debate, tive a oportunidade de conversar com gestores de grandes organizações de diferentes setores no Brasil. As novidades eram que a alta administração disponibilizou um orçamento proporcional as necessidades relacionadas a segurança. Ou seja, a área de segurança da informação está com um orçamento para 2010 superior aos anos anteriores.

Eu acredito que a pressão pela Melhoria Continua dos processos relacionados a segurança da informação ocorrem com mais freqüência nos períodos de crise. Quando tudo está indo bem, as discussões sobre o assunto diminuem na organização. Um dos comentários realizados durante o debate sobre a Lei de Crimes Cibernéticos, por um executivo da área de segurança, foi que “algumas empresas aprendem pela dor e outras pelo amor”.

A recente crise financeira global colocou a prova as competências das equipes de segurança da informação. Ocorreu a famosa “dança das cadeiras” em algumas organizações. Porém, as demissões que tive conhecimento não estavam relacionadas às dificuldades financeiras da organização. O problema detectado pela alta administração estava relacionado às competências técnicas e comportamentais de alguns profissionais. Essas competências foram colocadas a prova exatamente quando a empresa começou a aprender pela “dor”. A alta administração cobrou resultados da área de segurança da informação e a resposta de alguns profissionais não atendeu as expectativas dos executivos. Estou falando de ações isoladas de alguns profissionais (esforço individual), planejamento e controle deficiente, procedimentos não padronizados, nível de conhecimento não uniforme entre os principais envolvidos com os processos de segurança da informação, existência de conflitos internos e o pior de tudo foi o não alinhamento com os negócios da empresa.

Controles internos

Aproveitando a SETEC09, realizada em Angola entre os dias 04 à 06/12/2009, onde fui um dos palestrantes, pude observar alguns comentários sobre os relatórios de auditorias externas. A boa notícia é que as organizações apresentaram melhorias relevantes nos controles internos.

Conversando com executivos no Brasil, os indicadores relacionados aos controles internos também foram positivos em 2009.

Eu acredito que estas melhorias foram originadas pela necessidade dos processos de segurança da informação estarem alinhados ao planejamento estratégico. A crise pode ter sido positiva em alguns aspectos. O pós-crise, com um aumento do orçamento para segurança da informação, irá provar em um curto espaço de tempo que a Governança da Segurança da Informação está ganhando cada vez mais espaço nas organizações.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

Sem comentários »

O debate sobre a Lei de Crimes Cibernéticos, que foi transmitido ao vivo por meio da TV Decision no dia 14/12, com a participação de mais de 1.600 internautas, teve como objetivo discutir a demora na aprovação da Lei.

Participaram deste debate o diretor da EPSEC e da Associação Brasileira de Segurança da Informação, Denny Roger, a Cristine Hoepers, gerente geral do CERT.br, o Deputado Federal Julio Semeghini, e o presidente do Conselho de TI da Fecomercio e advogado especializado em direto eletrônico, Renato Opiceblum; entre outros executivos especialmente convidados para este evento.

Confira algumas fotos do debate. Em breve estaremos divulgando os vídeos sobre o evento “Crimes Digitais III”.

Sem comentários »

Buenas!!!!

Hoje estive acompanhando o programa “CBN Tecnologia da Informação” sobre “Golpes na reformulação do Orkut”. Encontrei também a seguinte notícia na internet “Convite para novo Orkut movimenta Mercado Livre e atrai golpes na web“.

O detalhe mais interessante disso tudo é que não existem evidências do tal golpe ou de algum vírus. Nenhum colega perito ficou sabendo de algum caso envolvendo golpes no novo Orkut, principalmente sobre disseminação de vírus. Eu também não tive acesso a qualquer evidência sobre vírus ou qualquer tipo de golpe. Ou seja, isso tudo é verdade ou mentira?

Questionei a equipe da IDG Now! sobre o assunto. Inclusive sou colunista do maior portal de notícias sobre TI no Brasil. Recebi uma resposta informando que o Editor era a pessoa responsável pela tal notícia. Voltei a criticar e estou aguardando as “cenas dos próximos capítulos”.

Agora, abri a discussão em uma lista formada por profissionais de segurança da informação do Brasil todo. Vamos ver o que rola por lá e se alguém consegue encontrar a “verdade” na tal informação que está circulando na internet e rádio.

Assim que descobrirmos a “real” eu publico no blog.

Abração!!!!

Denny Roger
denny@epsec.com.br

Sem comentários »

Um colega disponibilizou a notícia abaixo que resolvi reproduzir no meu blog. Estou comentando isso porque estamos trabalhando na implementação da ISO/IEC 27001 e ISO/IEC 20000-1 juntas.

Maturidade de infraestrutura de TI deixa a desejar, diz estudo

Cinquenta por centro das empresas brasileiras não têm conhecimento suficiente para aplicar as melhores práticas de gestão de TI. A conclusão é de pesquisa realizada em conjunto pela IDC e Accenture, entre agosto e este mês, com 150 empresas com mais de mil funcionários, de vários segmentos de atividade, tais como finanças, óleo e gás, manufatura, comércio, telecomunicações, utilities, mídia e governo.

O estudo, divulgado nesta quarta-feira, 23, teve como objetivo avaliar o grau de maturidade no uso de infraestrutura de TI, e para a qual foi usada uma metodologia denominada Operations Maturity Model (OMM), prática global que combina também as de mercado, como ITIL, Cobit, CMM e Prince, aplicada em 15 áreas funcionais-chave.

A partir daí, foram estabelecidos cenários de TI, para qual seu estabeleceu notas de 1 a 5, sendo 1 para o ambiente informal, 2 para repetível, 3 para definido, 4 para controlado e 5 para otimizado. Ou seja, esses cenários mostram se o orçamento de TI das empresas é usado de forma criteriosa ou não pelos CIOs.

“O problema não é o tamanho do orçamento nas empresas, mas como ele é aplicado. Hoje ele é usado apenas para manter a máquina funcionando, no operacional”, afirma Ricardo Chisman, líder da área de TI da Accenture.

O principal pilar para avaliação da maturidade foi o conhecimento das práticas de ITIL. Ela mostrou que 5% dos CIOs a desconhecem totalmente, 12% a conhecem mal, 33% a conhecem razoavelmente, 31% a conhecem bem e 19% a conhecem muito bem. Ou seja, 50% estão entre o desconhecimento total e o conhecimento razoável. O ideal, segundo Roberto Gutierrez, analista da IDC, seria dois terços de conhecimento.

Dentro do critério de 1 a 5 da pesquisa, a meta seria que as empresas atingissem nível 3 ou superior, no entanto o índice alcançado foi de 2,4.

A metodologia OMM aplicada em oito áreas de TI mostra que as empresas deixaram a desejar em vários itens. Em TI verde e data center, a média foi 2,3; em segurança, também 2,3; em redes, 2,6; operações – delivery, 2,2; operações – suporte, 2,4; governança, 2,5; mobilidade, 2,5; e investimentos em TI, 2,9.

“A gestão de entrega de TI ao usuário final é o menor índice de maturidade. TI está deixando a desejar. Não está entregando o que o usuário deseja”, alerta Jesus Lopes Aros, que coordenou a pesquisa pela Accenture.

No item segurança, por exemplo, a política e procedimentos para identificação do usuário do sistema teve média de 2,8, acima da média, mas, no entanto, nos critérios para o usuário acessar o sistema a média foi 1,6. Ou seja a política existe, mas não é praticada.

Conclusões do estudo

Segundo dados da IDC, o mercado brasileiro de TI e telecomunicações é de US$ 98 bilhões e apresenta, mesmo com a crise econômica, um índice de 5,79% de crescimento, acima da média da América Latina, que é de 4%.

O perfil da adoção de TI pelas empresas brasileiras mostra que hoje elas investem 50% do orçamento em infraestrutura e percentagem igual em software e serviços. Para efeito de comparação, os dos últimos itens, nos Estados Unidos, representam 75% do orçamento.

A pesquisa conclui que a empresas no Brasil estão gastando mais em operação do que investindo em inovação; planejam melhor do que executam; TI verde não está na agenda do CIOs e o que o nível de maturidade está abaixo da meta desejada.

Fonte: http://www.tiinside.com.br/News.aspx?ID=149937&C=263.

Eu não conheço a metodologia OMM. Porém, é importante observar que a maioria das metodologias são subjetivas. Recomendo que sempre utilize metodologias objetivas para calcular o nível de maturidade, principlamente quando estamos falando de segurança da informação.

Abraços,

Denny Roger
denny@epsec.com.br

Sem comentários »

Após muita batata frita e croissant na França, estou de volta ao Brasil, com direito a arroz e feijão.

Como a falta de vagas é muito comum em Paris, algumas pessoas estão usando o “jeitinho brasileiro” para estacionar o carro.

Abraços,

Denny Roger
denny@epsec.com.br

Sem comentários »