blog.dennyroger.com.br

Fonte: http://xkcd.com/327/

Sem comentários »

Olá a todos!

Estou reproduzindo um artigo que comenta sobre as opções para quem deseja atuar na área de segurança da informação.

Boa leitura!

Denny Roger
denny@epsec.com.br

By Adriano Dias Leite

Every time someone asks me about my profession, people’s reaction is often the same: -Wow! So you’re like those hackers I see in the (Hollywood) movies! That’s really cool! Listen, can you discover someone’s password for me?

After an hour long monologue telling them the difference between hackers and crackers, the unethical implications of discovering someone else’s password, the basics of networking functionality and so on, people are still amazed by the knowledge the profession requires and the coolness of “attacking” websites and investigating a computer crime. I guess it’s a reflex of that famous TV series…

But either we like it or not, Information Security careers hold a certain glamour and ignite people’s imagination. Thus, I’ve decided to research a bit further, and write down what each job is about so the next time I’m asked, I’ll just refer people to this page.

This article is also useful if you’re considering to start your Information Security career or looking for some career tips.

So, let’s see what we’ve got. Let me highlight that the career order here purely reflects my personal preference. Objections are welcome!

The article is written in descending order to give you that suspense feeling.

10 – Information Security Analyst

This information security job involves assessing the effectiveness of Information Security policies and pointing out vulnerabilities or lack of controls to mitigate a given risk. The security analyst will work with every department in the company to make recommendations for improvements and craft detailed design documents for them to implement. This position has become common place with the advent of ISO 27001, Sarbanes-Oxley and similar regulations and compliance frameworks.

Where to look for a job: basically, every company dealing with information requires an Infosec Analyst.

9 – Incident Responder

Those employed in this information security career will monitor computer systems for security breaches, report and document such breaches and implement appropriate countermeasures. The incident responder will also undertake protective and corrective measures when a security incident is discovered.

Where to look for a job: These professionals are usually found at the SOC or network monitoring department of datacenters.

8 – Network Security Engineer

Network security engineers are responsible for developing, maintaining and troubleshooting computer network security systems, configuring security hardware and software and preparing security reports. These professionals possess deep knowledge of communications protocols, network routing, packet and content filtering. That’s how I started my career, a couple of years ago…

Where to look for a job: Almost every company with a medium/large sized network infrastructure. For small companies, do expect the network administrator to wear this hat.

7 – Chief Information Security Officer

The responsibilities of this information security career are enormous, as CISOs are in charge of an organization’s entire computer security system. The CISO will also oversee the company’s entire network of people who safeguard a company’s digital security, from systems security officers to software and hardware vendors. Their responsibilities may also include identifying a company’s digital protection objectives and defining allocation of resources based on priority areas, as well as overseeing investigation of security breaches and incident response planning. Depending on the country, CISOs are legally liable for a company’s Information Security health.

Where to look for a job: Large organizations.

6 – Information Security Architect

Information Security Architects are the professionals thinking on the big picture: They need not only be aware of every piece of technology deployed within the business architecture, but also understand how and why all of these components interact with each other to achieve the objectives of the enterprise. The architect is involved (or at least should be, but we know how real life is…) at the early stages of any IT project to design and implement the security policies required to protect the integrity, confidentiality and availability of the information on an end-to-end basis.

Where to look for a job: Major organizations, Information Security Services Provider/Consultancy companies.

5 – Forensic Analyst

The professional holding this position analyzes computer systems to identify who is the responsible for the misuse of a system, or to detect whether a certain application was used to commit a crime. His task doesn’t end there: the forensic analyst is responsible for preserving, documenting and interpreting computer evidence subject to legal rules and guidelines.

Where to look for a job: Information Security Services Provider and consultancy companies, major organizations where security is paramount (banking, financial, health, etc).

4 – System, Network and Web Penetration Tester

This job involves attempting to penetrate systems, networks and applications in order to detect their vulnerabilities so that companies can correct flaws and improve their security. The tester must be able to identify flaws in security and bring up possible solutions, as well as providing suggestions on how to better allocate security resources. This information security career is also known as white-hat hacking, ethical hacking and pentesting.

Where to look for a job: Information Security services providers and consultancy companies, major organizations where security is paramount (banking, financial, health).

3 – Information Security Forensics Expert

This information security career involves analyzing the aftermath of a systems security breach by hackers in order to determine how the breach occurred and which of the company’s systems may have been compromised. This position requires security professionals with updated forensic and reverse engineering skills, as well as an awareness of the latest methods of exploiting system vulnerabilities.

Where to look for a job: Information Security services providers and consultancy companies, government agencies.

2 – Malware Analyst

This information security career involves reverse-engineering malicious software such as viruses and spyware in order to determine how they attack computer systems and how they spread as well as define signatures that could indicate their presence within a system. This profession requires a deep knowledge of high and low level programming languages.

Where to look for a job: Security Software makers.

1 – Computer Crime Investigator

This is one of the most glamorous information security jobs as the job holder assists police and forensic investigators with crimes involving computers or with aspects of a criminal investigation involving computers. The computer crime investigator uses advanced technologies to analyze evidence. They will also help law enforcement officials in recovering deleted, hidden or encrypted data from a hard drive which may be of value to an ongoing investigation. It’s also very probable that security clearance will be required if you want to become a Computer Crime Investigator.

Where to look for a job: Law enforcement agencies, Information Security consultancy companies.

Adriano Dias Leite is an IT/Information Security specialist with more than 14 years experience in the field. Possessing a strong technical background, he formerly worked at major global organizations such as DHL, VISAnet, EDS and boutique Infosec firms. Currently, Adriano runs the My Infosec Job (www.myinfosecjob.com) portal, helping thousands of professionals worldwide to find a new position and take their career to the next level.

Fonte: http://www.myinfosecjob.com/2010/02/the-10-coolest-information-security-careers/

Sem comentários »

Ao que tudo indica, teremos um 2010 muito favorável em relação aos investimentos em segurança da informação. Com o crescimento da economia brasileira – em 2% entre outubro e dezembro de 2009 – as projeções para o Produto Interno Bruto (PIB) em 2010 convergem para 6%. Isso significa que o aquecimento do mercado e a volta dos investimentos em segurança da informação devem puxar as melhorias nos processos que apresentam um alto grau de integração e sofisticação tecnológica. Mas há pelo menos 5 pontos que prometem agitar as discussões sobre segurança da informação em 2010.

Lei de crimes digitais

É provável que as discussões sobre a lei que coíbe os crimes na internet continuem quentes em 2010. Estou comentando isso porque, por exemplo, para entendermos como um vírus de computador realmente funciona, precisamos disseminá-lo em um ambiente controlado. Isso, segundo a lei contra crimes na internet, é tipificado como um crime, afetando diretamente os pesquisadores que trabalham no desenvolvimento de “vacinas” e na engenharia reversa dos vírus de computador.

Não podemos esquecer que o Brasil está atrasado em relação às leis que tratam sobre os crimes na internet. Atualmente, a polícia não consegue avançar no combate aos crimes eletrônicos porque as informações, necessárias para uma investigação, chegam atrasadas para a polícia. Podem durar meses até que as provas cheguem à polícia.

Acesso remoto seguro ou inseguro?

O executivo está conectado, remotamente, ao ambiente computacional da sua empresa. O filho desse executivo, um nativo digital que conhece técnicas de invasão, utiliza o computador da empresa para “fuçar” na intranet. Ele encontra uma área restrita relacionada ao departamento de Recursos Humanos. A curiosidade desse jovem faz com que busque alguma vulnerabilidade na intranet – na aplicação – para ter acesso total à folha de pagamento. Após poucos minutos “fuçando” na aplicação ele descobre uma brecha de segurança que permite consultar toda a relação de salários e benefícios dos funcionários da organização. E tudo isso usando o próprio computador da empresa que está conectado através de um acesso remoto (VPN). Essa é uma história real que acontece com a grande maioria das empresas.

O executivo fora da lei

Diversos executivos, preocupados com o que os seus funcionários estão fazendo na internet e com o vazamento de informações confidenciais, estão monitorando – indevidamente – os e-mails pessoais e os programas de mensagens instantâneas. Algumas opções rotuladas como DLP (Data Loss Prevention) ainda estão fora da realidade econômica de diversas empresas. Em outras palavras, o alto custo não justifica o investimento. Porém, algumas soluções ligadas à área de forense computacional e outras, mais baratas, relacionadas à utilização de programas espiões estão sendo instaladas no ambiente computacional corporativo. Com um custo mais acessível, essas tecnologias permitem a monitoração através de palavras-chaves (em qualquer meio eletrônico: documentos, planilhas, blogs, Twitter, e-mails etc), mensagens trocadas através dos programas de mensagens instantâneas e até mesmo a realização de uma cópia de todas as informações armazenadas nos pen drives pessoais dos funcionários. Este tipo de técnica já permitiu que executivos identificassem quais funcionários estavam participando de um esquema de propina. Mas essa ação pode ser considerada invasão de privacidade porque o colaborador não assinou um termo declarando estar ciente que estará sendo monitorado.

A família espiã

Em janeiro de 2009, publicamos na coluna “Mente Hacker” o artigo “A família hacker”. Cada vez mais, pais, filhos, namorados ciumentos, amantes etc, estão instalando programas espiões para monitorar o computador de alguém da família. Estes programas permitem monitorar o conteúdo que está sendo divulgado ou lido nos sites de relacionamento, e-mails, programas de mensagens instantâneas etc. Também é possível identificar os arquivos acessados e as páginas visitadas na internet. A facilidade de compra e o preço acessível estão permitindo um aumento das vendas dos programas espiões. Um detalhe interessante é que não precisamos ter um conhecimento técnico avançado para utilizar estes programas espiões. É simples de instalar e muito fácil de usar. A família espiã estará mais ativa do que nunca em 2010.

Investimentos em segurança nem sempre evitam as invasões

A decisão dos gerentes de TI de disponibilizarem a maior parte do orçamento para a compra de dispositivos de segurança que protegem a camada de rede, por exemplo, firewall, antivírus e anti-spam, é um equivoco que poderá gerar grandes perdas financeiras para as empresas. Isso ocorre porque as principais técnicas de invasão estão relacionadas a vulnerabilidades na camada de aplicação – que recebe quase nenhum investimento. Entre outras palavras, o orçamento está sendo gasto com a proteção/tecnologia errada. É necessário evoluir as discussões sobre segurança no processo de desenvolvimento de software e na adoção de sistemas conhecidos como Web Application Firewall. Os gestores de TI devem determinar objetivos/controles de segurança para o processo de desenvolvimento de software (intranet, extranet, sistemas de venda, CRM, ERP etc), atendendo às necessidades do negócio, permitindo que a organização assuma projetos de alto risco.

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger.

Sem comentários »

A tendência para os primeiros meses de 2010 surpreendeu as empresas de segurança da informação. Isso ocorre porque janeiro costuma ser um mês de queda de negócios. “Algumas pessoas gostam de dizer que o Brasil só funciona depois do carnaval. Porém, a situação agora é outra e foi uma boa surpresa para as empresas que atuam com segurança da informação”, explica Denny Roger, diretor da EPSEC.

A demanda por novos projetos, que começou a surgir no pós-crise a partir de outubro, continuou forte em janeiro. A tendência surpreendeu, porque janeiro costuma ser um mês de queda nos negócios, e tem chamado a atenção de investidores. “Com a demanda de crédito para investimento, muitas empresas retomaram os projetos pré-crise e estão investindo na melhoria dos processos de segurança da informação. Isso ocorre porque algumas empresas estão se preparando para abrir o capital e outras precisam assumir projetos de alto risco. O Sistema de Gestão da Segurança da Informação fornece apoio nos dois casos.”, diz o executivo da EPSEC.

Algumas empresas que desenvolvem produtos ou serviços relacionados a segurança da informação precisam expandir seus negócios agora e aumentar sua capacidade produtiva referente ao desenvolvimento de novas tecnologias de segurança. “Embora o Brasil não esteja nos níveis anteriores aos da crise, as consultorias precisam retomar o investimento no desenvolvimento de novas soluções”, disse Denny Roger. O fato tem chamado a atenção de investidores que buscam oportunidades de negócios com rápido crescimento. Porém, o principal entrave é descobrir quais consultorias estão à venda e também calcular o valor da empresa referente ao seu poder de inovação. “O investimento em empresas que têm capacidade para inovar na área de segurança da informação voltou a ser uma opção viável. O valor dessas empresas está aumentando cada vez mais, graças aos novos contratos assinados em janeiro. O momento de negociar a compra e venda de uma empresa focada em segurança da informação pode ser agora”, complementa o diretor da EPSEC.

Equipe EPSEC
info@epsec.com.br
www.epsec.com.br

Sem comentários »

Por Paula Zaidan

Fechar um balancete em que ônus e bônus se equilibrem no projeto de NF-e é tarefa árdua que envolve diversas áreas: TI, auditoria, contabilidade, financeira, jurídica e até a logística. Essa conta ainda está longe de equilibrar pesos e medidas na mesma balança, uma vez que muitas empresas concluíram a implementação da Nota Fiscal Eletrônica, avançaram no Sped Contábil e Sped Fiscal, mas o retorno desse investimento se traduz apenas em uma palavra e não em números na receita das organizações: conformidade com as regras do governo. Independente do setor da economia, indústria, varejo, atacado, finanças ou até pequenos empreendimentos, a obrigatoriedade dos documentos fiscais digitalizados é um caminho sem volta e tende a avançar cada vez mais.

Na opinião de Adriano Santos, gerente de negócios para o Centro de Excelência SAP Brasil, a conta fecha a partir do uso dos investimentos tirando proveito deles e trazendo isso como benefícios e melhorias de processos, a exemplo de deixar de manipular informação, reduzir erros recorrentes da Nota Fiscal.

A premissa valeu para a discussão entre diretores de TI, auditores, advogados, especialistas e donos de empresas que estiveram nesta quarta-feira (27/01) no debate “NF-e, Sped Contábil, Sped Fiscal: O Desafio da Terceira Fase”, realizado pela Conteúdo Editorial, transmitido pela TV Decision para aproximadamente 700 executivos online que interagiram com empresas como GM do Brasil, Grupo Angeloni, Grupo Martins, Instituto Nacional de Tecnologia da Informação (ITI), Tejofran de Saneamento e Serviços, Conselho Regional de Administração (CRA), Associação Brasileira de Segurança da Informação (Abrasinfo) e a Ordem dos Advogados do Brasil (OAB/SP).

Apesar de aplicar muito recurso, tecnologia e envolver diversas áreas, muitos concordam e esperam que o maior benefício seja a redução da carga tributária, uma vez que todos terão que declarar as suas informações fiscais para a Receita Federal. “Além da redução da carga tributária, haverá uma simplificação dos nossos impostos, além de queda nas alíquotas. Essa é uma expectativa puxada pela concretização do Sped”, reflete Claudinei Zanotello, gerente sênior de TI da Thyssenkrupp.

Entretanto, embora o projeto seja um dos maiores responsáveis pela digitalização da vida das organizações e da sociedade, o modelo brasileiro foi importado e costurado para uma realidade bastante distinta de nossos vizinhos chilenos. Aqui, o calcanhar de Aquiles ainda é a legislação de cada região seja numa cidade, Estado ou no âmbito Federal.

“As empresas importadoras estão preocupadas porque se uma companhia está em Vitória (ES) e, por conta da logística, usa o porto do Rio de Janeiro e o destino final da mercadoria é no Distrito Federal. Dessa forma, serão cobrado três vezes o ICMS, um imposto de cada Estado independente de quem seja a adquirente. A jurisprudência concorda com a três interpretações, uma vez que cada um defende quem é o real importador”, explica Coriolano Aurélio de Almeida Camargo Santos, presidente do Comitê sobre Crimes Eletrônicos da OAB SP.

Num primeiro momento, a implementação da NF-e só traz custos para as organizações porque precisam se mobilizar para cumprir os prazos do governo, o que exige mudanças de processos, treinamento de pessoas e aquisição de tecnologia. Mas a redução de papeis arquivados, a organização da empresa, mais transparência e agilidade nos processos junto ao Fisco também são percebidos depois de enfrentar os desafios iniciais.

Na Thyssenkrupp, Zanotello destaca vários benefícios depois da implementação, realizada em meio à crise financeira global. “Com a NF-e, houve a melhora na qualidade dos dados. Chegamos a zero de retrabalho na emissão da Nota Fiscal e principalmente, também conseguimos gerar os dados para o Sped. Isso foi em decorrência de ajustes nos processos e dados mestres e cadastros. A empresa manteve o processo de emissão de Nota Fiscal”. Ele afirma ainda que houvesse redução no número de cancelamento de NFs em decorrência de problemas de cadastro, informações colocadas de forma indevida no sistema.

Hélio Silva, gerente de TI da GM, observa que do jeito que aconteceu o Sped nas empresas e, no caso da GM que tem uma cadeia de valor muito grande, vindo desde o aço, cada produto tem muitos componentes e peças complexas, a tendência foi que puxamos primeiro o processo e o sistema depois. “O que acontece é que a simplificação do processo e dos impostos virão depois. Estamos aplicando sistemas dentro de processos complexos. Ou seja, partimos de traz para frente. Portanto, os resultados virão a longo prazo”, avalia Hélio Silva.

“Na Dedini também sentimos o efeito da adaptação da NF-e e Sped. Tivemos que fazer adaptações e fomos piloto na implementação da Nota Fiscal, em 2006. No início toda a empresa tem que fazer o maior investimento e o retorno é pequeno comparado com o benefício em valores. Na minha opinião, é a oportunidade que o Fisco está oferecendo às empresas para reverem os seus procedimentos de redução de custos”, diz Ariovaldo Cunha, gerente de auditoria da Dedini.

Cunha recorda que não é a primeira vez que o País vive uma mudança no sistema tributário. Para mim, isso é só o início. “Dentro de cada segmento cada um está vendo onde aperta o seu sapato. Mas no final teremos maior transparência da empresa em relação ao Fisco, à sociedade (hoje boa parte das empresas já publica o seu balanço)”.

Enivaldo Gomes Mithidieri, gerente contábil da Tejofran de Saneamento e Serviços, que atua em 22 Estados, recebeu recentemente um consultor na área tributária e fiscal. “Eles tendem a achar que o pessoal da contabilidade precisa saber todas as leis. Esse consultor teve a ideia de trazer a quantidade de leis para a equipe e chegou a 65 mil que deveríamos aplicar nas 10 atividades que trabalhávamos. Se você tiver 16 mil funcionários teria que passar em média 40 a 50 leis para cada um conhecer e aplicar nas é importante dizer que desde o começo do cenário que estamos hoje, os fornecedores tem dificuldade em entender o que o governo quer”, diz Mithidieri.

Segurança e transparência
Para Renato Martini, Presidente do ITI, o processo de digitalização dos procedimentos da Nota Fiscal, Sped Contábil e Fiscal é talvez o maior movimento do País no sentido de desmaterializar os procedimentos chegando, inclusive, em hospitais. “A NF-e já é uma realidade. Ontem, às 18h10, já eram 704 milhões de NF-e responsáveis por movimentar R$ 9 trilhões. Isso significa racionalizar a arrecadação e a melhoria na fiscalização. Além disso, atualmente o que vale é o documento eletrônico, a impressão é uma cópia”, diz Martini.

Além de todo o arsenal tecnológico, as empresas ainda se deparam com um grande desafio: garantir a segurança da informação e confidencialidade dos dados. Muitas empresas não sabem a diferença entre os dois certificados digitais para a realização do procedimento fiscal, denominados como A1 e A3. `O primeiro pode ser, inclusive, carregado em um pen drive, e é bem comum ver pequenas e médias empresas usando. Já o segundo é bastante usado pelas grandes empresas e é mais difícil quebrar a chave de criptografia`, explica Denny Roger, presidente da Abrasinfo.

“Uso o certificado A1 e claro que tive que aperfeiçoar o sistema de segurança em que só uma pessoa maneja o certificado. Isso fez com que tivesse alguns benefícios interessantes. Tive que realmente rever todo o meu cadastro (500 clientes), a base de dados. Mas conquistei mais agilidade, transparência, confiabilidade, redução de custo operacional, por meio da revisão dos procedimentos internos e aperfeiçoamento dos sistemas de segurança”, conta José Alfredo Machado, vice-presidente do Conselho Regional de Administração (CRA) e presidente da importadora Telemotion.

Portanto, a segurança das informações garante transações eletrônicas mais confiáveis também no B2B, um avanço do EDI, market place e trocas de pedidos na cadeia logística. Tanto é assim que o acréscimo de notas fiscal com comércio eletrônico foi de 60%, o que gerou mais de R$ 1 bilhão no ano passado. Victor Murad, vice-presidente de Serviços Públicos e Projetos de Governança da câmara e-Net aposta na evolução dos impostos eletrônicos como alavancador para o crescimento não só do comércio online, como também um influenciador nas relações humanas, da sociedade. “Hoje você tem cadastro de Pessoa Física, Jurídica, mas e o Digital? Onde é que você armazena o seu PDF?”.

Atacado versus Varejo
Na avaliação de Flávio Martins, CIO do Grupo Martins, o maior benefício será a redução da concorrência desleal. “Isso, no nosso caso, será bastante positivo porque muitas empresas menores não emitem a nota e, ainda, acabam em nossos clientes – em Estados como o Mato Grosso – e alertam para que eles não comprem conosco porque vamos entregá-los ao Fisco. O contrário também existe. Já houve interesse de muitos clientes em implementar a NF-e e contaram com a nossa ajuda para o projeto”.

A concorrência desleal também se dá no varejo. Mas, ao contrário do que pensa Flávio Martins, quando defende que a NF-e terá benefícios de longo prazo, Clementino Bolan Filho, diretor Administrativo e Financeiro do Grupo Angeloni, acredita que o projeto deveria ser pensado melhor, estruturado de maneira macro e não uma colcha de retalhem em que cada região possui a sua legislação. “Estamos pegando um modelo de outros países e fazer um remendo dentro de uma estrutura de um ambiente alucinado, com tributos municipal, estadual e federal, é complicado”, avalia. Mas Bolan concorda com Martins quando se trata de concorrência.

“O objetivo é girar uma concorrência saudável de forma que o processo econômico e brasileiro fosse realizado de maneira saudável”, diz o executivo que conclui com o desabafo: “não vejo um benefício hoje no projeto”.

O executivo de TI do Martins concorda: “de fato, o benefício não é visível agora. A criatividade do legislador é absurda. Hoje é difícil manter as suas operações comerciais pari e passo, mas o compliance para o Grupo Martins representa o cumprimento de regras para não ter que ter que pagar multa mais tarde”.

Lições aprendidas
Muitas dúvidas ainda pairam a respeito da implementação da NF-e e Sped, como fazer em casa ou terceirizar. Essa foi uma das questões abordadas por Luis Cesar Lopes, gerente de Planejamento Tributário da M. Officer: “A companhia estava fase inicial da NF-e e do Sped Contábil e Fiscal. Olhando para dentro da empresa nos deparamos na seguinte questão: várias empresas interessadas em prestar serviço para o Grupo e oferecem algumas soluções e não consigo avaliar se compro ou não porque tenho dúvidas se parto para uma suíte de soluções ou terceirizo”.

Claudinei Zanotello, gerente sênior de TI da Thyssenkrupp, conta que uma das medidas adotadas foi contratar uma auditoria antes de enviar os dados para a Secretaria da Fazenda. “Isso nos garante, embora o custo seja alto, a garantia de mais transparência. Além de fazer a validação, essa empresa terceirizada verifica o balanço contábil e assim adiante. Hoje, usamos a solução da SAP, que elimina as inconsistências para que a NF-e seja enviada com precisão sem haver falhas internas. Não existe sistema dentro da empresa só de TI. Nenhum sistema que a TI colocar vai funcionar se não houver o envolvimento do usuário. Nas questões fiscais, é importante que eles também (contábil, jurídica, logística) para que na emissão de uma nota tenha a segurança necessária para que a empresa não sofra penalizações e multas”, conta Zanotello.

Veja também

Cuidado com a segurança da NF-eDedini, em dia com o Fisco

Fonte: http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=5847&sid=29

Sem comentários »

Rafael Porto (raporto@redegazeta.com.br)

Acessar bancos pela internet exige atenção redobrada. Segundo estimativa da Federação Brasileira de Bancos, fraudes onlilne causam um prejuízo anual de R$ 500 milhões.

O valor alarmante despertou a Polícia Federal para uma parceria com bancos: objetivo é reduzir pela metade o número de fraudes bancárias na web em 2010. E em 90% em 2011.

Para o delegado chefe da Unidade de Repressão a Crimes Cibernéticos (URCC), Carlos Eduardo Sobral, a agilidade no acesso às informações vai fazer a diferença. “Até fevereiro de 2009, recebíamos cada fraude de forma isolada, em papel, sem cruzamento de dados. Era difícil relacioná-las entre si”, lembra.

Com a participação dos bancos, que passam a alimentar a polícia com informações sobre transações financeiras ilegais, será possível calcular o número de quadrilhas e o raio de ação dos criminosos.

“Temos uma grande quantidade de casos de criminosos atuando em São Paulo, por exemplo, de um computador a 3.000km de distância. Com informações isoladas, a gente não conseguia chegar na quadrilha”, diz.

Fraudes
Há basicamente dois tipos de crimes de internet banking: a engenharia social e o phishing. No primeiro caso, o criminoso engana o usuário criando um site clonado, com o mesmo layout do original. Sem perceber, o usuário inclui dados de conta-corrente e senha, e se torna vítima do golpe.

Na segunda técnica, o cliente tem a senha roubada após clicar em uma isca – razão do nome “phishing”, que em inglês significa “pescaria”. E-mails prometendo fotos sensuais, recados e convites no Orkut, arquivos de fotos no MSN, tudo que atraia a curiosidade dos internautas é usado no golpe.

Depois de visitar o link, o usuário acaba fazendo download de um vírus rastreador. Tudo que é digitado no PC passa a ser automaticamente enviado pela web aos bandidos, que só têm o trabalho de entrar nas contas e transferir o dinheiro para “laranjas”.

Twitter está na mira dos cibercriminosos
Segundo previsão da McAfee Labs Twitter e Facebook serão os principais alvos dos hackers. “Os cibercriminosos aproveitam a confiança entre amigos para atraí-los aos seus sites. O uso de URLs abreviadas em sites como Twitter contribuem para que os cibercrimonosos camuflem ou disfarcem sites mal-intencionados”, explica estudo divulgado pela McAfee.

Falta prender os culpados
Denny Roger , Consultor em segurança da informação

Quando você recebe a informação de que existe uma página de banco clonada na internet, a polícia consegue pedir uma ação e tirá-la do ar, mas não vai prender ninguém, nem ir atrás dos estelionatários. Os criminosos não usam recursos hospedados no Brasil para disseminar vírus por e-mail, mas servidores estrangeiros. Quando a Polícia vê a origem do ataque, não pode fazer nada, porque não tem poder sobre a legislação de outros países. A iniciativa dos bancos de notificar a Polícia Federal não vai minimizar o número de crimes na internet, só vai melhorar as estatísticas. Ninguém aplica golpe no Brasil deixando pegadas aqui no país. O papel da Polícia é prender, mas para prender é preciso ter evidências. Os criminosos pararam de fazer transferências para ?laranjas? porque sabem que isto aumenta a chance de serem pegos. As quadrilhas são organizadas, têm estelionatários que fazer pagamentos de terceiros nas contas das vítimas, recebendo os valores em dinheiro depois. Hoje, o bandido sabe mais que um advogado.

Pesquisa
No Brasil

Prejuízo dos crimes online
327,6 mil – É o número de crimes cibernéticos registrados na internet pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil

26% – É o percentual equivalente ao crime de fraude, onde há furto de senhas com objetivos financeiros

72% – É o número de fraudes causadas por trojans, arquivos instalados no computador por meio de links enviados por e-mails e scraps

“Clonaram minha senha e fizeram uma limpa”
Um pequeno deslize pode por a perder um mês inteiro de trabalho. O chefe de recepção Stephan Romualdo Oliveira, 27, sentiu na pele – e no bolso – o que é isso.

Usuário experiente de internet, arriscou acessar sua conta fora de casa e, poucos dias depois, teve uma péssima surpresa: não encontrou dinheiro algum. “Clonaram minha senha e fizeram uma limpa. Acho que tinha algum vírus na máquina. O dinheiro foi transferido para outra conta, e depois para outra conta, até perder ele de vista”, lembra.

A história de Stephan teve final feliz. Depois de notificar o roubo, teve seu dinheiro devolvido pelo seguro do banco em 24h. Acessar bancos pela internet, nunca mais, garante Oliveira.

“Eu não tenho mais acesso ao internet banking, não confio mais. Mexendo na internet você está vulnerável a qualquer tipo de problema. Não dá para evitar”, define.

1 > Fora de casa
Evite acessar sua conta por meio de sites de bancos se estiver usando computadores instalados em locais de grande circulação de pessoas, como cibercafés, lan houses e outros computadores, mesmo que pessoais, de seu local de trabalho ou estudo que são compartilhados com outras pessoas.

2 > Phishing
Antes de clicar em qualquer link enviado por e-mail, desconfie. Sendo de origem duvidosa ou não, não custa nada confirmar com o remetente se ele enviou mesmo um e-mail para você. No Orkut, MSN e Twitter, é a mesma coisa. Não vale a pena arriscar sua segurança em serviços que prometem vantagens milagrosas.

3 > Trojan e Bots
Esses tipos de vírus estão em todo o lugar da internet. Para evitá-los, o melhor é não ceder às estratégias tentadoras do phishing. A segunda opção é manter um antivírus constantemente atualizado em seu computador. Avast (www.avast. com) e AVG (www.avgbrasil. com.br) estão entre os melhores programas gratuitos disponíveis na internet.

4 > Roubo de Senha
Antes de inserir seus dados, verifique se o site possui um certificado de segurança – caracterizado pela exibição de um cadeado na parte inferior do navegador – e se na barra de endereços o endereço começa com “https”. Troque periodicamente a senha utilizada para acessar seu banco na internet.

5 > Site Clonado
Se o usuário caiu em um site clonado, com certeza, foi redirecionado por um endereço eletrônico falso. A melhor forma de evitar esse tipo de crime é não clicar em links e optar sempre por digitar o endereço do banco na barra de endereços manualmente. Sites seguros têm um cadeado fechado na barra inferior.

Fonte: http://gazetaonline.globo.com/index.php?id=/local/a_gazeta/materia.php&cd_matia=593961

Sem comentários »

A CFSEC Security Architects, uma das principais empresas brasileiras que busca e desenvolve novos pontos de vista sobre Segurança da Informação, tem à sua frente, desde sua fundação em 2001, Nelson Corrêa. Desde 2005, o executivo tem conscientizado as empresas sobre como as inovações biométricas podem aumentar a segurança ou agregar valor aos softwares desenvolvidos. Ele também comenta, nesta entrevista exclusiva a EPSEC, suas experiências sobre a criação de uma escala de maturidade para a gestão da segurança, o crescimento do uso da biometria no Brasil e os desafios para estruturar uma área de segurança da informação. Conversamos com Nelson Corrêa sobre sua brilhante carreira e o perfil do profissional que atua na área de segurança da informação. Acompanhe a entrevista completa.

Acesse: http://epsec.com.br/blog/?p=129

Sem comentários »

Por Denny Roger

Se observarmos as principais empresas de segurança da informação, todas elas estão passando por uma reavaliação do modelo de negócios. Pode ser que já não faça tanto sentido oferecer apenas produtos “tudo em um”. Muitas empresas estão migrando determinados processos informatizados para ambientes de cloud computing, tendo como objetivo a redução de custos com energia, hardware, software, recursos humanos, móveis etc. Sendo assim, essas empresas não precisam mais comprar ou renovar tecnologias para proteção de um determinado processo da organização. O ambiente de cloud computing já oferece suporte a segurança da informação.

Independente do modelo de negócio (produto ou serviço), as empresas que desenvolvem soluções de segurança da informação têm um fluxo de dinheiro bastante previsível, de modo que se tornam alvos ideais para investidores que buscam diversificar seus investimentos. Alguns dos fatores que mantêm o mercado de segurança da informação aquecido são as novas regulamentações e a necessidade de assumir projetos de alto risco para viabilizar novos negócios. Essa combinação – bom fluxo de dinheiro e a necessidade dos clientes – tem atraído a atenção dos investidores.

Por outro lado, já se fala que o aquecimento do mercado poderia adiar a venda de uma consultoria ou fabricante de soluções de segurança da informação porque os novos contratos, assinados agora em janeiro, valorizam ainda mais o valor de venda da empresa. O crescimento da carteira de clientes e aumento da receita estava previsto para março. Porém, a retomada dos projetos pré-crise e o aumento do orçamento para segurança da informação contribuíram para que as previsões fossem antecipadas para fevereiro.

Um segundo fator está atrasando a concretização de venda das empresas de segurança da informação. A empresa ou investidor que faz a oferta de compra de uma empresa de segurança da informação tem dificuldades em calcular quanto vale o poder de inovação da organização. Por exemplo, avaliando a contabilidade e mais alguns dados de mercado, o possível comprador oferece R$ 10 milhões pela empresa. Porém, essa empresa está desenvolvendo uma idéia ou produto que, futuramente, ajudará no crescimento acelerado da receita e na expansão do negócio. O valor “real” da empresa pode chegar a R$ 17,5 milhões graças ao poder de inovação. Mas na prática, calcular tudo isso e justificar o valor relacionado ao poder de inovação têm sido um dos principais desafios durante a negociação da venda.

A compra de uma consultoria ou fabricante de soluções de segurança pode trazer ganhos financeiros mais rápidos, em comparação aos investimentos realizados em ações na bolsa de valores. Porém, o risco para o investidor ou comprador é muito maior. O aquecimento da economia, o surgimento de novas regulamentações, leis, normas internacionais, o aumento das ameaças na internet, a informatização dos processos de negócio etc, criaram o cenário ideal para quem busca uma boa oportunidade de negócio. Esta é uma potente combinação que tem atraído a atenção de investidores, mas como saber quais empresas de segurança da informação estão à venda?

Denny Roger é diretor da EPSEC e presidente da Associação Brasileira de Segurança da Informação (Abrasinfo), membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br, Twitter: http://twitter.com/dennyroger, Blog: http://blog.dennyroger.com.br/.

Sem comentários »

Para conseguir o crescimento acelerado esperado para 2010, a EPSEC decidiu inaugurar seu Programa de Canais, projetado para as empresas cuja função principal seja vender ou desenvolver soluções baseadas em Governança de TI e/ou Segurança da Informação.

Denny Roger, diretor da EPSEC e idealizador do programa, conta que “o objetivo é aumentarmos o relacionamento com as revendas e gerar negócios na área de Governança de TI e Segurança da Informação, obtendo resultados financeiros para o Parceiro e gerando negócios para a EPSEC.”

Existem 3 níveis de associação ao Programa de Canais EPSEC. As revendas são classificadas segundo critérios como o seu desempenho em vendas e o fornecimento de serviços relacionados à Governança de TI e/ou Segurança da Informação. “As premissas do programa baseiam-se no cumprimento dos requisitos de nível de associação, que após o processo inicial de credenciamento, gera a classificação da revenda”, conta Denny, lembrando que a etapa mais desafiadora no processo de desenvolvimento do Programa de Canais foi definir um modelo justificado para situar os parceiros no programa.

Após o processo de categorização das revendas, a EPSEC tem condições de desenvolver ações conforme o posicionamento da revenda, tais como: fornecer assistência na especialização de vendas e desenvolvimento de projetos; desenvolver atividades de marketing para criar demanda e aumentar as vendas; oferecer as ferramentas e os serviços de que as revendas precisam para aumentar a satisfação dos clientes e fortalecer as relações com os mesmos.

O Programa de Canais EPSEC foi projetado para que as revendas alcancem seu potencial no desenvolvimento de novos negócios, uma vez que estabelece possibilidades de maior participação de mercado e rentabilidade.

Para mais informações sobre o Programa de Canais EPSEC, acesse:
http://www.epsec.com.br/parceiros.php

Equipe de Canais EPSEC
partner@epsec.com.br

Sem comentários »

Quando André Pitkowski surgiu no cenário de segurança da informação, em 1986, ele foi saudado com a necessidade de recuperar dados perdidos e remover vírus do ambiente computacional. Em entrevista exclusiva a equipe da EPSEC, o consultor em Governança, Riscos e Compliance, professor titular das cadeiras de BS7799 e Governança de TI no MBA e Pós do Instituto Mauá de Tecnologia, contou detalhes de sua brilhante carreira na área de segurança da informação e como as empresas podem implementar melhorias através da mitigação de riscos.

Confira a entrevista completa, acesse:
http://epsec.com.br/blog/?p=109

Sem comentários »