On March 6, 2010, I participated of the VOL Day I. I talked about Cybercrime and Career Trends in Information Security.

The VOL CON (Viva o Linux Conference) are a series of highly technical Linux conferences that bring together thought leaders from all facets of the open source world – from the corporate and government sectors to academic and even researchers.

Viva o Linux is the biggest Linux community in Latin America.

Photos from the conference are now available and will be updated throughout the week. Be sure to continue checking back for the most current pictures.

View VOL DAY I photos here:
http://volcon.org/volday1/fotos/

Regards,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Follow me on Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Member of International Association of Emergency Managers (IAEM)

The Kretcheu Vídeo Blog main focus is technology and everything built/based on it. You will find news, how to’s, funny things and everything else you could think of.

In this interview, I’m talking about my presentation in VOL DAY I. The aim of my presentation was to briefly outline the experience in the work carried (information security). Please visit http://www.myinfosecjob.com/2010/02/the-immortals-and-mortals-of-information-security/. Part of my presentation was cover the elements of Cybercrime.

This is a great blog. The topics on the blog are my kind of thing and I have been watching them with great interest.

Please visit the interview: http://www.kretcheu.com.br/?p=182

Regards,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Follow me on Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Member of International Association of Emergency Managers (IAEM)

Depois do evento fiquei “preso” dentro do avião por causa da chuva. Consegui embarcar mas o avião não conseguiu decolar. Fiquei com alguns artistas da Globo no avião. Logo mais disponibilizo uma foto do que aconteceu no avião antes de decolar. Aguardem!

Abraços,

Denny Roger
denny@dennyroger.com.br

neste último sábado (06/03) estive ministrando uma palestra no VOL DAY I - Rio de Janeiro - organizado pela comunidade do Viva o Linux.

Em breve vou estar publicando as fotos do evento e comentários sobre a palestra e a reação do público presente. Aguardem!

Denny Roger
denny@dennyroger.com.br

Confira o que rolou neste debate quente sobre a liberdade na internet. Acesse:
http://mtv.uol.com.br/debate/naintegra/0203-internet-liberar-ou-controlar

Abraços,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Follow me on Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Member of International Association of Emergency Managers (IAEM)

Ontem (02/03) tive a oportunidade de estar debatendo sobre a liberdade na internet, conjunto de normas, leis, métodos e procedimentos utilizados para combater o crime na internet.

Entre os participantes deste debate, ao vivo na MTV, estavam: Deputado Julio Semeghini, Deputado Paulo Teixeira, Sérgio Amadeu, Camilla do Vale, Delegado Carlos Sobral e eu.

Na minha opinião, apesar da forte participação do Sérgio Amadeu, todos falamos sobre Governança na internet. Ou seja, debatemos sobre o exercício de autoridade e controle que o governo pode ter sobre a internet. Fato semelhante ao que está acontecendo na França – inclusive estive na França em outubro de 2009 – em relação a uma lei chamada LOPPSI II (Lei de Orientação e Programação para a Segurança Interior, em tradução livre). Uma das propostas da lei francesa é a possibilidade do governo instalar trojans (programas espiões) em computadores para monitorar pessoas suspeitas. Acredito que irão utilizar alguma tecnologia deste tipo, acesse www.accessdata.com/ediscovery.html. No caso da França estão rotulando como um Trojan mas pela minha experiência o governo irá utilizar ferramentas forense para monitorar algumas pessoas.

No Brasil a coisa é um pouco diferente. Algumas pessoas estão preocupadas com invasão de privacidade no caso dos provedores forem obrigados a armazenarem os logs. Ou seja, será possível identificar em quais sites (pornôs ou não… estou brincando.. rs rs rs) você anda navegando, com quais pessoas você está conversando por e-mail, quantas vezes por dia você acessa seu internet banking, entre outras coisas. Tecnicamente falando é muito simples os provedores conseguirem essas informações sobre seus usuários. Inclusive é muito fácil monitorar todo o conteúdo dos e-mails. Agora a questão é quanto vai custar ($$$) para os provedores armazenarem todos esses logs e como será a gestão disso tudo.

O Delegado Sobral fez um excelente comentário: “Não há liberdade sem segurança”. Eu tenho uma outra frase que sempre uso no meio corporativo: “Tudo que a empresa não pode monitorar deve ser bloqueado”. Eu sempre falo isso porque as empresas possuem sistemas de segurança que monitoram todo o ambiente computacional. Eu não posso “desligar” os logs do firewall quando um funcionário está utilizando o recurso da empresa para fins pessoais (por exemplo, acessando o internet banking). Eu não posso desabilitar o filtro de conteúdo da empresa para que um funcionário envie seus e-mails particulares. E caso a empresa esteja monitorando o programa de mensagem instantânea pessoal do seu funcionário ou até mesmo o e-mail particular, pode sofrer uma ação judicial relacionada a invasão de privacidade. Por isso eu sempre falo que tudo que a empresa não pode monitorar deve ser bloqueado.

Bom, este não foi primeiro e nem será o último debate sobre o assunto. Tudo isso tem sido discutido há anos e está evoluindo aos poucos. Um fato positivo é a interação entre os especialistas em segurança da informação, polícia e governo.

Sobre o programa, acontece uma reprise hoje à 01h30 e quinta (04/03) às 15h00 na MTV.

Voce também pode acompanhar os comentários no Mural da MTV. Acesse:
http://mtv.uol.com.br/debate/mural.

Abraços,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Siga me no Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Membro do International Association of Emergency Managers (IAEM)

A internet deve ou não ser controlada?

Comente no mural: http://mtv.uol.com.br/debate/mural

Abraços,

Denny Roger
denny@epsec.com.br

Every day I receive emails requesting information about information security courses and certifications. My answers by email or during a lecture are always controversial, especially when I am speaking at some university. Let’s understand what really happens.

I was talking with two colleagues about how to get a good job. One of the issues discussed was how the interviewer can evaluate your knowledge. The issue came up because many professionals hold positions in the information security without having what it takes to perform the function. The fault is not of the professional who is performing the function, but the person who hired the “professional”.

The person who is recruiting do not have the knowledge necessary to evaluate the professional profile. This fact occurs all over the world. However, the employer evaluates the candidate’s knowledge through the indication and certifications.

First of all, the indication doesn’t work because the candidate can provide the contact of a friend or relative as a reference. It is obvious that the friend or relative will provide good references. This happens very often.

Second, the company requires you to have certain certifications. If you want to get a job or increase your salary, just studying and pass in some exams (for example, CISSP).

Third, many professionals are certified because the company paid the required certification. Some times, the employer required that the employee has a certification.

There are many cases where the professional is certified in a particular technology but works in another area. For example, one of our co-workers recently achieved CCIE certification. However, this professional works with Windows systems. In other words, has experience in one area but is certified in other. This co-worker only “sought” the certification because the company requested.

Fourth, the certification proves that the person has the ability to learn about any subject. Does certification not prove that the person is prepared to perform a certain function in the information security.

Fifth, the technology evolves much faster than any course or certification. In the information security we are learning new things every day. Courses and certifications are outdated very fast.

Sixth, the most important is its ability to solve problems and create proactive strategies against new threats. The certifications will not help you at the time when your computing environment is experiencing a new type of attack.

Conclusion

The personal department or even the technical interviewer needs to understand that there are immortals and mortals of information security.

The immortals are the people who can prove their experience. They are recognized by the community of information security. These are people who share their knowledge with their colleagues, lectures, develop courses, write articles, participate in discussion groups etc.

Mortals are the people that aim to have some kind of certification to try to make themselves different in the market.

Denny Roger is responsible for more than 100 projects about Information Security, including: risk management, maturity level, audits, penetration test, vulnerability management, security incident response, computer forensic investigations, information security policy and implementation of security technologies. As member of the ABNT / CB21 / CE 27, he participated in the development of ISO 27001, ISO 27002 and others ISO 27000 family standards. Contact: denny@dennyroger.com.br.

Regards,

Denny Roger
denny@dennyroger.com.br
55 11 8136 8025

Follow me on Twitter: http://twitter.com/dennyroger
Professional profile on LinkedIn: http://www.linkedin.com/in/dennyroger
Member of International Association of Emergency Managers (IAEM)

Estão abertas as inscrições para o VOL DAY I, evento técnico promovido pela comunidade Viva o Linux para profissionais e estudantes com familiaridade em tecnologias baseadas em Linux e sistemas web.

O evento, que será realizado no dia 06 de março, no Rio de Janeiro, é o primeiro voltado a maior comunidade Linux da América Latina. Durante o evento, os congressistas assistirão a palestras técnicas sobre segurança da informação, desenvolvimento de aplicações web e carreira profissional.

A relação de temas e tecnologias promovidas pelo evento inclui ferramentas livres para teste de invasão, negação de serviço e formas de defesa, a carreira na área de segurança da informação e o Cybercrime, entre outros. Denny Roger, presidente da Associação Brasileira de Segurança da Informação (Abrasinfo) e diretor da EPSEC, está confirmado como um dos palestrantes e comenta que “A palestra tem como objetivo apresentar, na prática, as principais técnicas de ataques utilizadas pelo Cybercrime e o perfil do novo profissional de Segurança da Informação. Os participantes irão conhecer o dia-a-dia do profissional da área de segurança da informação e o novos desafios da carreira”.

As inscrições para o VOL DAY I são efetuadas através do site http://volcon.org/volday1/inscricoes/. O evento conta com o apoio da Abrasinfo e será realizado nas instalações do Instituto Infnet, Rua São José, 90/2° piso – esquina com a Av. Rio Branco, no centro do Rio de Janeiro.

Equipe EPSEC
info@epsec.com.br
www.epsec.com.br
Siga-nos no Twitter: http://twitter.com/epsec

Por Pedro Felício André Filho

Atualmente, com a tecnologia adotada e sua constante evolução dos meios de comunicação, surge uma importante questão quanto ao uso da tecnologia no ambiente de trabalho em contraste com a privacidade do empregado.

É fato que um dos meios mais céleres de comunicação hoje em dia é por meio da utilização de correio eletrônico ou programas similares de comunicação, geralmente acessíveis por qualquer computador, ferramenta de trabalho essencial para a grande maioria das empresas.

Contudo, no mesmo passo em que cresce a tecnologia a favor do desenvolvimento empresarial,
crescem na mesma proporção os meios de pirataria de informações sigilosas, como também a desídia de alguns empregados, que se utilizam das ferramentas de trabalho como instrumento de lazer.

Por estes motivos, muitas empresas adotam a política de monitoramento das atividades de seus funcionários, a fim de garantir o correto desempenho almejado pela empresa na busca de suas finalidades empresariais.

Por outro lado, temos funcionários que se sentem lesados com estas políticas, sob a alegação de violação do direito constitucional a intimidade por parte da empresa.

Neste enfoque, vale dizer que o equipamento de trabalho utilizado pelo empregado é de propriedade da Empresa, sendo tal equipamento submetido ao direito de propriedade no tocante ao uso, gozo e disposição da coisa.

Neste sentido a Carta Constitucional protege os valores sociais do trabalho e da livre iniciativa, garantindo o livre exercício de qualquer profissão, trabalho ou ofício desde que atendidas as exigências previstas em lei.

Desta feita, para o devido desenvolvimento empresarial/comercial é essencial ao empregador, fiscalizar o desenvolvimento das atividades que se destinam às finalidades precípuas da empresa, até porque o mesmo é dotado de Poder Diretivo, na forma prevista pela CLT, sendo responsável por muitos dos atos cometidos por seus funcionários.

Neste sentido o que muda, é a forma de fiscalização, que antes era exercida por funcionários com função de fiscais, gerentes, inclusive com monitoramento por câmeras etc.

Assim, com a tecnologia atual é bem possível se efetuar a “fiscalização” ou monitoramento através da própria ferramenta de trabalho, qual seja o computador.

Vale informar que este monitoramento, do ponto de vista tecnológico social, é natural, uma vez que as maioria das empresas de hoje, possui uma ampla gama de computadores ligados em rede interna, sem prejuízo de estarem conectados à rede mundial de computadores pela internet.

Desta forma, como ferramentas de trabalho da empresas, essas máquinas devem ser constantemente atualizadas e protegidas por diversos programas de segurança, uma vez que o principal conteúdo das mesmas é a intimidade da empresa.

Assim, não se trata de violação à intimidade do empregado monitorar o conteúdo e uso de uma máquina destinada ao uso da empresa, mas sim, de se proteger a intimidade a qual a empresa tem direito como pessoa jurídica que é.

Tal intimidade da pessoa jurídica diz respeito aos seus segredos industriais, segredos financeiros, segredos protegidos por patentes, segredos acionários, etc…informações e detalhes que podem fazer a diferença entre o sucesso e a falência das mesmas, fato o qual justifica o devido monitoramento a fim de se evitar o envio de informações a terceiros, bem como se evitar o uso indevido da ferramenta em detrimento à produção almejada.

O Tribunal Regional do Trabalho da 2ª Região – São Paulo (TRT-SP), compartilhando deste entendimento, em julgado recente, determinou que é direito e dever do empregador manter vigilância sobre tudo o que acontece no local de trabalho, concedendo a ele o direito de monitorar as informações dos computadores de seus funcionários.

Com base nesse entendimento, aceitou como prova válida de falta grave, diversos correios eletrônicos e documentos encontrados em computador da empresa.

É de se frisar que a empresa ao examinar um computador de sua propriedade encontrou arquivos comprovando que a sua funcionária repassou informações sigilosas a outro ex-empregado, que trabalhava para empresa concorrente.

Tal atitude resultou em demissão por justa causa, por cometer “falta gravíssima contrariando expresso dispositivo do contrato de trabalho avençado por escrito”, tendo repassado segredos comerciais para a concorrência.

Importante salientar que referido monitoramento de equipamento não viola a intimidade do empregado, uma vez que o empresário/empregador não pode esperar e/ou aceitar que o funcionário se utilize da ferramenta para funções não profissionais referentes à sua intimidade.

Por estes motivos é que se sugere às empresas possuidoras deste tipo de tecnologia, que as mesmas cientifiquem seus funcionários formalmente a respeito do monitoramento exercido, seja por meio do próprio contrato de trabalho individual ou por meio de documento autônomo.

Tal medida exonera e descaracteriza eventual expectativa de alegação de violação à privacidade por parte do empregado que fica consciente quanto ao correto e eficaz uso da ferramenta de trabalho posta a sua disposição.

PEDRO FELÍCIO ANDRÉ FILHO é advogado e consultor em São Paulo, Especialista Pós-Graduado em Direito Tributário pela Pontifícia Universidade Católica de São Paulo (PUC/SP) – E-mail: pedroandre@adv.oabsp.org.br.