sábado, 30 de dezembro de 2006

Transaction Guard

Transaction Guard é um produto da TrendMicro, que protege contra spywares enquanto você utiliza um computador público para transações online (por exemplo, internet banking). Ele monitora a existência de spywares, bem como tem um teclado virtual para a digitação de usuários e senhas. Apesar de rodar apenas em Win 2000 SP4 e Win XP SP2, é uma ferramenta muito interessante. Veja mais informações em http://www.trendsecure.com/free_security_tools/transaction_guard.php#

segunda-feira, 25 de dezembro de 2006

O que as escolas não ensinam…”

Acho que vale para nós, profissionais de TI!

Para qualquer pessoa, com filhos de qualquer idade, ou qualquer pessoa que ja foi criança, aqui estão alguns conselhos que Bill Gates recentemente deu em uma conferência em uma escola secundária, sobre coisas que os estudantes não aprenderiam na escola, pois elas não ensinam ou passam uma visão irreal sobre determinadas coisas. Ela fala sobre como a política do “bem estar ou sentir-se bem “tem criado uma geração de crianças e jovens sem o real conceito da realidade e como esta política tem levado as pessoas a falharem em suas vidas posteriores à escola.

Bill Gates:

Regra 1 : A vida não é fácil, acostume-se com isso.

Regra 2 : O mundo não está preocupado com a sua auto-estima. O mundo espera que você faça alguma coisa útil por ele ANTES de você sentir-se bem com você mesmo.

Regra 3 : Você não ganhará US$ 40.000 por ano assim que sair da escola. Você não será vice-presidente de uma empresa com carro e telefone à disposição antes que você tenha conseguido comprar seu próprio carro e telefone.

Regra 4 : Se você acha seu professor rude e chato, espere até ter um chefe. Ele não terá pena de você em nenhuma circunstância. Você será cobrado o tempo todo.

Regra 5 : Fritar hambúrgueres, cortar grama ou lavar carros não está abaixo da sua posição social. Seus avós têm uma palavra diferente para isso: eles chamam de “oportunidade”.

Regra 6 : Se você fracassar, não é culpa de seus pais, então não lamente seus erros, aprenda com eles.

Regra 7 : Antes de você nascer seus pais não eram tão chatos como são agora. Eles só ficaram assim por pagar as suas contas, levar você à escola, lavar suas roupas, fazer comida para você e ter que ouvir você falar o quanto você é legal. Então, antes de salvar o planeta para a próxima geração, querendo consertar os erros da geração dos seus pais, tente limpar seu próprio quarto, lavar seus talheres e ser mais amável com sua mãe.

Regra 8 : Sua escola pode ter eliminado a distinção entre vencedores e perdedores por imposição da Associação de Pais, Alunos e Mestres, a vida não é assim, ela sempre fará esta distinção. Em algumas escolas não repete mais de ano e tem quantas chances precisar até acertar. Isto não se parece absolutamente em nada com a vida real.

Regra 9 : A vida não é dividida em semestres. Você não terá sempre os verões livres e é pouco provável que outros empregados o ajudem a cumprir suas tarefas no fim de cada período.

Regra 10: Televisão não é vida real. Na vida real, as pessoas têm que deixar o barzinho ou o clube e ir trabalhar.

Regra 11: Seja legal com seus nerds. Existe uma grande probabilidade de você vir a trabalhar para um deles…”


sexta-feira, 22 de dezembro de 2006

Certificação - Queda em salários

Vejam algumas certificações que apresentaram queda no valor médio de salário (ou seja, possuir essas certificações não é sinônimo de bom salário):

"Pay for some certifications plummeted in the six months from April 1to Oct. 1, according to a wide-ranging Foote Partners LLC surveycovering 129 certification categories and 124 noncertified skills.

Thefollowing are some particularly hard-hit certs:
- CompTIA Linux -43%
- Citrix Certified Enterprise Administrator -20%
- CompTIA Network Technician -36%
- Microsoft Certified Trainer -20%
- CompTIA Security+ -33%
- Microsoft Certified Database Administrator -20%
- Cisco Certified Design Associate -22%
- Cisco Certified Design Professional -18%
- Cisco Certified Network Professional -22%
- Microsoft Certified Systems Admin: Security -13%
- CompTIA Certified Technical Trainer -22%
- Linux Professional Institute certification -13%
- Certified MySQL 4.0 Professional -22%
- Cisco Certified Network Associate -12%

Source: October 2006 survey of 55,000 IT workers in North America and Europe"

quinta-feira, 21 de dezembro de 2006

Ferramentas de Segurança - Free!

Vejam esta compilação de algumas ferramentas de segurança: http://www.csoonline.com/read/120106/fea_cheap.html?source=nlt_csoinfosec

Livro Forensic Discovery

O livro Forensic Discovery está disponível para download gratuito no site:

http://www.porcupine.org/forensics/forensic-discovery/

Fragmentadoras

Parte importante política de segurança, a destruição de documentos "sensíveis" (i.e., de conteúdo classificado como sigiloso, confidencial) deve ser analisada pelas empresas.

A utilização de fragmentadoras é uma importante ferramenta em auxílio a isto. Existem diversos tipos e modelos no mercado, desde o uso pessoal até modelo industriais. As principais diferenças são:

. número de folhas que podem ser fragmentadas por vez
. tipo de fragmentação (tiras ou partículas)
. largura das tiras ou tamanho das partículas
. material a ser fragmentado (somente papel, CD, cartões)

Ao se analisar o tipo de fragmentadora a ser adquirida, você deve ficar atento para, no mínimo, as características acima, em relação às suas necessidades. A utilização de uma fragmentadora pessoal em um ambiente de escritório pode não ser adequado, devido ao grande volume de material a ser fragmentado diariamente.

Vejam os seguintes sites com excelentes informações adicionais:

http://www.benetronsp.com.br/fragmentadoras/index.php

http://www.fragmentadoras.com.br/

Fragmentadoras - Níveis de Segurança de Acordo com DIN 32757-1

Nível de Segurança 1
Para documentos menos importantes no geral.
Tamanho máximo da tira: 12 mm
Área máxima: 2.000 mm²

Nível de Segurança 2
Para documentos menos importantes, impressões e cópias no geral.
Tamanho máximo da tira: 06 mm
Área máxima: 800 mm²

Nível de Segurança 3
Para documentos confidenciais ou pessoais.
Tamanho máximo da tira: 2 mm / Tamanho máximo da partícula: 04 x 80 mm
Área máxima: 320 mm²

Nível de Segurança 4
Para documentos essenciais seus e de sua empresa.
Tamanho máximo da partícula: 02 x 15 mm
Área máxima: 30 mm²

Nível de Segurança 5
Para os documentos mais secretos.
Tamanho máximo da partícula: 0.8 x 13 mm
Área máxima: 10 mm²

quarta-feira, 20 de dezembro de 2006

The OSSTMM 2.2 has been released

The OSSTMM 2.2 (Open Source Security Testing Methodology Manual) is the latest release for auditors, penetration testers, ethical hackers, and the like.With OSSTMM 3.0 still in peer review and undergoing many edits for clarity, ISECOM decided to update the current 2.11 with the reviewed research to make immediate and necessary improvements to the current security testing standard.

The improvements are based on new research like Error Types committed during tests and Test Types which breaks down black box, white box, and gray box tests into 6 categories. The biggest addition however is the security metrics which allow for a realistic calculation of security operations.

The manual is also much cleaner to make it more presentable for those who like to present it to their executive management or even their customers. Get your copy at: http://www.isecom.org/osstmm/ (look at the bottom of page)

Crime Organizado Recruta Hackers

19.12.06

Representantes do crime organizado passaram a contar com instituições de ensino para recrutar seus ajudantes do universo virtual. Segundo um estudo global da empresa de segurança McAfee, os criminosos procuram os melhores alunos de importantes cursos ligados à tecnologia de informação, a quem ensinam “táticas de guerra” do crime virtual.

O objetivo é utilizar o conhecimento desses estudantes e sua intimidade com a tecnologia para realizar invasões de sistemas, desenvolver códigos para roubo de dados e cometer crimes na internet em escala massiva. A McAfee confirma que a estratégia também é utilizada no Brasil.

Com essa tática, os criminosos conseguem recrutar internautas bastante jovens para suas quadrilhas -- alguns dos membros, estes ainda não graduados em cursos de tecnologia, chegam a ter 14 anos de idade. Os principais motivos que atraem essas pessoas para o crime virtual são, o status de celebridade que eles conquistam com suas ações, promessa de ganhos financeiros e também menos riscos do que aqueles associados aos crimes tradicionais.

Fonte: McAfee Internacional

 

RSS do site

Você pode se manter atualizado com as novidades do nosso site utilizando RSS. Acesse e configure o site http://aureomonteiro.blogspot.com/atom.xml

terça-feira, 19 de dezembro de 2006

Conformidade Regulatória

Para quem precisa atender aos requisitos regulatórios (como Sox, GLBA, HIPAA), vale à pena dar uma olhada nos produtos da Bind View (adquirida pela Symantec) - http://www.bindview.com

Comparativo de Soluções para Gerenciamento de Mensagens

Vejam este excelente comparativo entre soluções para gerenciamento de mensagens: http://i.i.com.com/cnwk.1d/html/itp/Sunbelt-Osterman_Comparison_Leading_Messaging_Management_Tools.pdf

sábado, 16 de dezembro de 2006

Governança de Segurança da Informação

A ferramenta Check-up Tool da Módulo pode auxiliar na implementação da Governança de Segurança da Informação. O novo módulo de compliance possui referência cruzada aos principais frameworks de gestão de segurança (ISO 27001, 17799, COBIT, NIST, PCI-DSS,..).

E o recurso Security Governance(tm) do software também atende a gestãoestratégica!

Fonte: Alberto bastos - Módulo

Certificação em Computer Forensics

Quem estiver disposto a encarar um desafio que poderá render mais uma certificação em sua carreira tem agora uma ótima oportunidade. A Brainbench (www.brainbench.com) empresa sediada na Virgínia (EUA) provê testes via WEB para diversas áreas como administração de empresas, tecnologia da informação, saúde, idiomas entre outras.

Por tempo limitado, a empresa está oferecendo, gratuitamente, o teste "Computer Forensics" que avalia o conhecimento do profissional nos procedimentos e técnicas de análise e coleta de evidências. O teste tem a escala de pontuação de 0 a 5 contendo questões de múltipla escolha e, para obter o certificado, terá que alcançar pontuação superior a 2.60.

Além da pontuação, é exibido um relatório com seus pontos fracos, áreas em que precisa de apoio e também o percentual de candidatos que você teve melhor desempenho.

Continua em
http://www.imasters.com.br/artigo/5198/certificacoes/oportunidade_para_certificacao/

P.S.: meu comentário pessoal a esta notícia: as certificações da BrainBench não são as mais procuradas, mas podem ser um bom método de estudo e preparação para certificações avançadas

sexta-feira, 15 de dezembro de 2006

Governing for Enterprise Security

Vejam este interessante documento publicado por "CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE": Governing for Enterprise Security
 

Adaptive Planning Express

Apesar de ser focado na área financeira, pode ser útil para o gerenciamento financeiro da TI:

Enterprise-class open source business performance management solution that enables companies/departments to move beyond spreadsheets and improve decision making by automating budgeting, forecasting, reporting and analysis. http://www.adaptiveplanning.com

Web NMS Express Edition

Esse Network Management System (NMS) é muito bom, e existe uma versão freeware.

Segue a descriçaõ do produto, obtida diretamente do site:

AdventNet Web NMS is the industry-leading network management model / framework for building custom OEM software such as Element, Network and Systems Management (EMS / NMS) applications. Networking equipment vendors and other management solution providers can rely on AdventNet Web NMS for building OEM software for network management such as EMS and NMS.

Acesse em http://www.adventnet.com/products/webnms/index.html.

quinta-feira, 14 de dezembro de 2006

Framework para Governança da Segurança da Informação

Hoje, foi enviada uma pergunta para a lista do CISSPBR, perguntando sobre a existência de um Framework para Governança da segurança da Informação. No material de estudo do CISM vc encontrará orientações relativas ao desenvolvimento do do framework de segurança.

A ISO 27001, ISO 17799:2005, etc... servirão de auxílio ao desenvolvimento desse framework, o qual deverá ser adaptado à realidade da empresa.

Como orientação, vejam os links:

http://www.entrust.com/governance/ e http://www.entrust.com/news/2004/archive2004_04_12_04.htm .

que fazem a apresentação do documento "Information Security Governance - A Call for Action" (
http://www.entrust.com/news/2004/corporategovernancetaskforce.pdf?entsrc=isgfullreport ), onde no Appendix A é apresentado um modelo de ISG Framework.

Um abraço,

Aureo


P.S.: vale à pena dar uma olhada também no Information Systems Security Assessment Framework (ISSAF) (http://www.oissg.org)

Especialistas cobram mais preparação para pandemia de gripe

A gripe aviária pode se tornar um grave problemas. Você já elaborou seu plano de contingência? Veja reportagem em http://br.news.yahoo.com/14122006/5/noticias-manchetes-especialistas-cobram-prepara-pandemia-gripe.html.

Material de Estudo - Exames CISA/CISM 2007

Uma dica para quem pretende fazer os exames do CISA ou CISM em 2007: utilizem o material oficial do ISACA, não vale à pena adquirir o material alternativo (Sybex, Wiley) para esses exames. Esses livros alternativos não atendem aos objetivos do exame ou estão desatualizados.

Outra fonte importante de estudos é o site http://www.ezcism.com, onde você pode adquirir o simulado para o exame.

Boa sorte!

quarta-feira, 13 de dezembro de 2006

Recuperação de Arquivos Apagados

Como segurança da informação também inclui a capacidade de recuperação em caso de desastre (e apagar por engano os seus arquivos pode ser considerado um desastre...), seguem alguns aplicativos:
 
. R-Studio (http://www.r-tt.com): o preço não é alto, e a capacidade de recuperação é excelente
 
. PCInspector (http://www.pcinspector.de): freeware, muito bom também
 
 

Vale à pena conhecer: MOF

 

Datacenter

Excelente documento sobre a construção de data centers seguros: http://www.cisco.com/application/pdf/en/us/guest/netsol/ns224/c654/
cdccont_0900aecd80315044.pdf

Armazenamento de E-mails - SoX

Vejam informações importantes sobre o armazenamento e arquivamento de e-mails conforme determinado pela Sarbanes-Oxley: http://kbase.gfi.com/showarticle.asp?id=KBID002205

AVG Freeware 7.5

Está disponível para download a versão freeware do antivírus Grisoft AVG 7.5. Faça o download em http://www.grisoft.com/doc/products-avg-anti-virus-free-edition/lng/br-pt/tpl/tpl01

terça-feira, 12 de dezembro de 2006

CISM/CISA 2007

Já estão abertas as inscirções para as provas 2007 do CISA e CISM. Faça sua inscrição no site do ISACA (http://www.isaca.org)

Comparativo de Firewalls

Vejam um importante estudo comparativo de firewalls: http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

Enterprise Security Convergence

Conheçam "The Alliance for Enterprise Security Risk Management (AESRM)" - http://www.aesrm.org

Metodologias de Gerenciamento de Risco

Excelente documento sobre metodologias para gerenciamento de riscos. Acesse em http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_Management_Final.pdf

Key Strategies for Implementing ISO 27001


http://www.theiia.org/itaudit/index.cfm?catid=21&iid=440

quinta-feira, 7 de dezembro de 2006

NIST Special Publication 800-89 has been Released

NIST announces the release of Special Publication 800-89, Recommendation for Obtaining Assurances for Digital Signature Applications . This Recommendation specifies methods for obtaining the assurances necessary for valid digital signatures: assurance of domain parameter validity, assurance of public key validity, assurance that the key pair owner actually possesses the private key, and assurance of the identity of the key pair owner.

quarta-feira, 6 de dezembro de 2006

Pensamento do dia

 
" Quanto mais tempo você fala sobre o que está fazendo, menos tempo tem para fazer o que você fala. Finalmente, você gasta mais e mais tempo falando sobre menos e menos, até você gastar todo o seu tempo falando sobre o nada"

48° Lei de Norman Augustine(x)
Livro Augustine´s Laws

segunda-feira, 4 de dezembro de 2006

sexta-feira, 1 de dezembro de 2006

30 de novembro: Dia Internacional da Segurança em Informática

CAIS/RNP organiza palestras e divulga dicas de segurança para internautas


O objetivo é claro: educar e conscientizar os usuários sobre segurança na internet. Assim, a comunidade virtual incluiu uma nova data no calendário: 30 de novembro é o Dia Internacional da Segurança em Informática (DISI). Para comemorar a data, a Rede Nacional de Ensino e Pesquisa (RNP) realizará, no próprio dia 30, um ciclo de palestras sobre segurança. É a primeira vez que se comemora este evento no Brasil. Internacionalmente, o DISI é comemorado desde 1998.

Jacomo Piccolini, analista do Centro de Atendimento a Incidentes de Segurança da RNP (CAIS), acredita que há o que comemorar, mas ainda é preciso difundir a cultura de prevenção. “A Microsoft corrigiu falhas e tornou o Windows, sistema operacional utilizado pela maioria dos internautas, mais seguro com o anti-spyware (detector de softwares espiões) e com o firewall embutido. Só que os vírus têm se modificado de maneira tão veloz e tão eficiente que os programas antivírus não os estão mais detectando direito”, analisa. Para Piccolini, a eficácia dos antivírus é cada vez menor porque os criminosos estão adotando novas táticas. Por isso, para os profissionais de TI, tornou-se extremamente importante disseminar dicas de segurança e acompanhar os principais incidentes que envolvam usuários da rede.

Bastante discutida no último Seminário de Capacitação e Inovação, realizado pela RNP, a nova técnica de engenharia social utilizada pelos criminosos assusta os especialistas. Com muita persuasão, internautas descuidados são convencidos a fornecer números de cartão de crédito, senhas de banco e coisas do gênero. A quantidade de golpes virtuais registrados cresceu 1313%, se comparados os terceiros trimestres de 2004 e 2005.

O DISI tem como objetivo conscientizar a comunidade Internet sobre questões de segurança e lembrar os usuários sobre a importância de proteger suas informações e seus recursos computacionais. A cada ano, um tema é escolhido com o intuito de focar as atividades de conscientização. Em 2005, o tema "Segurança Responsável” pretende lembrar a cada indivíduo inserido no setor corporativo o importante papel que ele desempenha na segurança da sua organização e, principalmente, a responsabilidade que ele tem neste processo global.

Pensando nisso, o CAIS, grupo de segurança da RNP, planejou uma série de ações para esclarecer tais questões e melhor preparar os usuários da rede para eventuais situações de risco. Além do ciclo de palestras, que será transmitido via Internet, será disponibilizado material para download no site da RNP, tais como um prospecto com dicas básicas de segurança para o usuário doméstico e conteúdos que possam ser usados por administradores de redes, grupos de segurança e outras pessoas que tenham interesse em promover a cultura da segurança em suas instituições.

A RNP acredita que o evento trará muitos benefícios para a Internet brasileira ao disseminar noções de segurança para a comunidade usuária da rede:

— Engana-se quem pensa que o perigo vem apenas dos hackers, as pesquisas de segurança apontam que o elo mais fraco é ainda o ser humano. Não adianta implementar mecanismos de proteção dos sistemas e redes se o usuário ainda coloca senhas fáceis de se adivinhar ou clica inocentemente em arquivos remetidos por correio eletrônico sem antes comprovar se a fonte é confiável. Estes tipos de ações driblam qualquer mecanismo sofisticado de defesa. A responsabilidade é de todos. Cada um precisa fazer a sua parte — ressalta a gerente do CAIS, Liliana Velásquez Solha.

Neste sentido, a repetição do evento todos os anos e uma aderência cada vez maior de instituições poderão produzir usuários mais conscientes do que devem e do que não devem fazer para se protegerem dos riscos reais do mundo virtual.

Veja o que a RNP preparou para o Dia Internacional da Segurança da Informação em http://www.rnp.br/eventos/disi2005.html.

quinta-feira, 23 de novembro de 2006

Video: The New Attack Frontier

NOVEMBER 21, 2006 Careful playing that video file: It could be infected. Researchers say video files are becoming the new mode of transportation for malware.

There's been a recent increase in proof-of-concept code for embedding malware in Windows Media and RealMedia files, for instance. The first known exploit using such a technique was spotted last week by McAfee; it was a worm aimed at Real Networks' RealPlayer and RealMedia files. Although the so-called W32/Realor.worm is considered a low-risk exploit, it opened the door for similar attacks via video players, security experts say.

Video is the new frontier for attackers. "This is one of the top attack vectors you should be concerned about. The potential [damage] is pretty massive," says Mark Zielinski, security engineer for Arbor Networks' Security Engineering and Response Team.

The Realor worm basically uses an infected hyperlink in a video file, and to do its dirty work it requires that a user click the poison link.

Attackers used to stick malware executables in an email attachment, but those typically get stopped at the email gateway, so attackers have resorted to using known applications as a way to deliver their malicious code.

These types of attacks aren't limited to video files. Zielinski says there's been an increasing number of vulnerabilities being published in Word, PowerPoint, and Real Networks' RealPlayer. "This kind of attack exists in any format where an application is willing to render an image."

If one of these attacks makes it successfully into the corporate network, it typically sets up a backdoor, so the victimized computer sends a connection back to the attacker, and the hacker doesn't have to initiate the connection, Zielenski says, and it can get by the firewall. It would be a popular method for a targeted attack, he says.

At the heart of the problem is the fact that video and audio formats -- as well as "workshare" apps like Word and PowerPoint -- contain multiple, complex features that leave them prone to attack, says Dimitri Alperovitch, principal research scientist with Secure Computing. "Those are files piquing the interest of virus writers... At the beginning of this year, we saw an increase in worms targeting Microsoft Office."

"As these applications become more and more bloated with features, this threat will continue to rise," he says, as well as with those video players that automatically load an embedded link in a video file when you open a video file.

"Old video files were just sets of frames you could view and create video applications [with]," he says. "Now you can insert all kinds of things into a video file: information about it, external links, etc. That presents more possibilities for exploitation."

YouTube is a prime candidate for attack, as well as other multimedia sites. Arbor's Zielinski says all it would take is an attacker downloading a video from YouTube, injecting his exploit, and re-uploading it, and then anyone who viewed it would get infected. "If there were 20,000 people viewing a popular video, they would get [infected]."

How do you protect yourself from a video attack? Aside from running the usual antivirus and host-based IPS tools, you should trust no outside sources.

"Be careful which documents you open," says Secure Computing's Alperovitch. "Nowadays, you can't trust any sort of data file you get from someone you don't know."

— Kelly Jackson Higgins, Senior Editor, Dark Reading



MS SQL Server 2005 - 1 ano

O produto Microsoft SQL Server 2005 comemorou 1 ano de vida em Novembro.
 

The New Official (ISC)2 Guide to the CISSP CBK has been released

From CCCure.org:

Here it is at last. The latest version of the Official ISC2 Guide to the
CISSP CBK Has been released. The first version has some issues with typos
and repetition, this one has greatly improved overall.

This book was published under the supervision of Hal Tipton who is really
THE master fo the CISSP certification. Hal has published dozens of books in
the past and he's a great editor.

This is the most updated material that you can get in preparation for the
exam.

See the details below:

*Official (ISC)2 Guide to the CISSP CBK* *Harold F. Tipton* /HFT Associates,
Villa Park, California, USA/ *Kevin Henry*
/(ISC)2 Institute, North Gower, Ontario, Canada/
Series: *(ISC)2 Press
*List Price: *$69.95
*Cat. #: *AU8231
*ISBN: *0849382319
*Publication Date: *11/14/2006
*Number of Pages: *1112
*Availability: *In Stock/Available NOW!

Provides detailed security analysis that is compiled and reviewed by CISSPs
and (ISC)2 members Delivers a thorough analysis of all ten CISSP CBK topics
Provides guidance for students towards a professional certification that is
a true career differentiator Contains a total of 200 CISSP exam sample
questions

The urgency for a global standard of excellence for those who protect the
networked world has never been greater. (ISC)2 created the information
security industry's first and only CBKR, a global compendium of information
security topics.. Continually updated to incorporate rapidly changing
technologies and threats, the CBK continues to serve as the basis for
(ISC)2's education and certification programs.

Written as an authoritative reference, the Official (ISC)2R Guide to the
CISSPR CBKR provides a better understanding of the CISSP CBK - a collection
of topics relevant to information security professionals around the world.
Although the book still contains the ten domains of the CISSP, some of the
domain titles have been revised to reflect changing terminology and emphasis
in the security professional's day-to-day environment. The ten domains
include: information security and risk management, access control,
cryptography, physical (environmental) security, security architecture and
design, business continuity (BCP) and disaster recovery planning (DRP),
telecommunications and network security, application security, operations
security, legal, regulations, and compliance and investigations.

Endorsed by the (ISC)2, this valuable resource follows the newly revised
CISSP CBK, providing reliable, current, and thorough information. Moreover,
the Official (ISC)2R Guide to the CISSPR CBKR helps information security
professionals gain awareness of the requirements of their profession and
acquire knowledge validated by the CISSP certification.

Get HERE to get more details or your own copy directly from the publisher
<http://www.crcpress.com/shopping_cart/products/product_detail.asp?sku=AU823
1&parent_id=&pc=&af=W1142>

or visit:
http://www.crcpress.com/shopping_cart/products/product_detail.asp?sku=AU8231
&parent_id=&pc=&af=W1142

quarta-feira, 22 de novembro de 2006

Tutorial - CCCure

CCCure First Flash Based Tutorial has been released

Good day to all,

I am proud to announce the release of our first flash based tutorial. This is the first in a series of tutorials Nathalie and me are producing. Eventually we will have one for each of the ten domains of the CISSP.

This tutorial gives you a very thorough view of what the CISSP exam consists of, what are the requirements, how you prepare for the exam, what are the resources available, and other tips that will allow you to pass the exam on the first attempt.

This tutorial attempt to present into a single session what many others have tried within short and inadequate presentation. Most seminar and live classes will only spend 10 to 15 minutes on this subject, leaving the student misinformed.

You can access the tutorial at:

http://www.cccure.org/modules.php?name=Downloads&amp;d_op=viewdownload&cid=92

CHRISTMAS SPECIAL

I would also like to mention that CCCure.Org is offering some great special on some of the items we have for sale within our webstore. Some of these special can save you hundreds of dollars on the regular price. Visit
http://www.cccure.org and you will see the specials being offered at the top left of the main page. Those specials will run until the 24th of Decembre.

Best regards

Clement and Nathalie

sexta-feira, 17 de novembro de 2006

E-mail security

Excelente conteúdo a respeito de segurança de e-mail. Acesse http://go.techtarget.com/r/747612/3191059.
 
 

How To Protect Your Mobile Data

Vejam este artigo sobre a proteção de dados em dispositivos móveis:
 
 
 

terça-feira, 14 de novembro de 2006

Microsoft oferece beta público para cliente de antivírus para desktop

Microsoft oferece beta público para cliente de antivírus para desktop

Por Robert McMillan, para o IDG Now!*

 
 

segunda-feira, 13 de novembro de 2006

Webcasts ISACA

O ISACA possui webcasts muito interessantes, além de fornecer CPE Credits.
 
 

Grupos ITIL e COBIT - PR

Hoje retomamos as discussões nos grupos ITIL e COBIT do Paraná.
 
Espero que desta vez não fiquemos tanto tempo parados...

sexta-feira, 10 de novembro de 2006

Data Center Journal

Dica: veja informações sobre Data Center em http://www.datacenterjournal.com/index.asp
 

Windows Vista precisa de antivirus?

Nova versão de Cartilha de Segurança disponível gratuitamente na Internet

Nova versão de Cartilha de Segurança disponível gratuitamente na Internet
Módulo Security News - 03 Nov 2006
 
O CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) oferece download da nova versão da sua Cartilha de Segurança. O arquivo gratuito no formato PDF pode ser visualizado por meio de um programa como o Adobe Reader na Web.
 

quinta-feira, 9 de novembro de 2006

NIST Releases Special Publication 800-100

NIST is pleased to announce the release of Special Publication 800-100, Information Security Handbook: A Guide for Managers. This Information Security Handbook provides a broad overview of information security program elements to assist managers in understanding how to establish and implement an information security program.

URL to this Special Publication:
http://csrc.nist.gov/publications/nistpubs/#sp800-100

sexta-feira, 3 de novembro de 2006

IT Control Objectives for Sarbanes-Oxley - 2nd Edition

O ISACA disponibilizou a segunda edição do documento IT Control Objectives for Sarbanes-Oxley, muito útil para quem trabalha com o tema.

Acesse em: ISACA: www.isaca.org/sox

terça-feira, 24 de outubro de 2006

Teste de vulnerabilidades de e-mail

A GFI fornece um teste de vulnerabilidades de e-mail. Para acessá-lo, visite o site http://www.gfi.com/emailsecuritytest.
 

Apple distribui iPod Video com vírus de Windows

Vejam esta notíciado IDG!
 

NIST SP800-80


Vejam o documento do NIST (http://csrc.nist.gov), Draft Special
Publication 800-80, Guide for Developing Performance Metrics for Information
Security.

Muito bom como referência para a definição de métricas.

Chegou a confirmação CISM!

Recebi dia 10/Out minha confirmação da certificação CISM:

Dear Mr. Aureo Monteiro Tavares Da Silva, CISM

RE: CISM certification number: XXXXXXX

Congratulations! We are pleased to inform you that on 10 October 2006 the CISM Certification Board approved your application and awarded you the Certified Information Security Manager (CISM) designation.

terça-feira, 10 de outubro de 2006

Sites de celebridades e pornôs contêm mais malwares, afirma McAfee

Sites de celebridades e pornôs contêm mais malwares, afirma McAfee
http://idgnow.uol.com.br/seguranca/2006/10/09/idgnoticia.2006-10-08.5744413708/IDGNoticia_view

Por John E. Dunn, para o IDG Now!*
Publicada em 09 de outubro de 2006 às 08h30

Quatro em cinco usuários de redes sociais estão expostos a crimes na web

Quatro em cinco usuários de redes sociais estão expostos a crimes na web
http://idgnow.uol.com.br/seguranca/2006/10/05/idgnoticia.2006-10-05.3113158354/IDGNoticia_view

Por Redação do IDG Now!
Publicada em 05 de outubro de 2006 às 11h45
Atualizada em 05 de outubro de 2006 às 11h55

Modulo Security News N. 439 - 10/10/2006

Veja o boletim número 439 da Modulo: http://www.modulo.com.br.

segunda-feira, 2 de outubro de 2006

Free Online Antivirus, Spyware, and Firewall Scanners

No site do NIST (http://www.nist.org), foi publicada uma relação de ferramentas de segurança/análise online, e free!

Acesse em: http://www.nist.org/news.php?extend.93

sexta-feira, 29 de setembro de 2006

Como se preparar para ocupar o cargo de CISO

Conhecimento técnico, certificações e linguagem do negócio. Esse tripé de habilidades, somado às capacidades de comunicação, apresentação e confiabilidade, formam um profissional de segurança.

Por COMPUTERWORLD29 de setembro de 2006 - 10h33

http://computerworld.uol.com.br/seguranca/2006/09/29/idgnoticia.2006-09-29.4655356039/IDGNoticia_view

quarta-feira, 27 de setembro de 2006

Liberado o Windows Vista RC1

Finalmente liberada a versão RC1 (Release Candidate 1) do Windows Vista. Faça o download em http://www.microsoft.com/brasil/windowsvista/. Mas prepare-se, são alguns Giga!

Segurança na Web: qual o melhor navegador?

A todo momento, vemos reportagens sobre novos ataques e falhas nos navegadores (browsers), sejam da Microsoft (Internet Explorer) ou Mozilla (Firefox).

Como sabemos, falhas em produtos de software não são raridade, entretanto existem mecanismos de proteção adicional que podem ser utilizados (firewalls, antivirus e antispyware). Quando estamos em um ambiente empresarial, o administrador de redes pode instalar um proxy, evitando o acesso direto à web, e mesmo realizando a inspeção de conteúdo antes do mesmo chegar à máquina do usuário.

Entretanto, quando temos usuários domésticos, normalmente não existem esses mecanismos de proteção. Apesar de navegadores como Firefox e IE 7.0 possuírem proteção anti-phishing, os mesmos não inspecionam o conteúdo durante o download. Nesse caso, entra em cena o bom e velho Netscape, em sua versão 8.1 para Windows. Leve para navegar, modernizado (abas de navegação, anti-phishing), e ainda permitindo optar pela engine do IE ou do Firefox, esse navegador pode ser uma excelente alternativa. Mas o melhor é novo Security Center, onde podemos configurar diversas opções de segurança, tais como:

. bloqueio de popups
. proteção contra roubo de ID
. verificação de sites
. proteção contra vírus e spyware.

Isso mesmo, ao navegar todos os downloads são inspecionados, pelo produto PestPatrol (que foi adquirido pela CA). Já realizamos testes de simulação de conteúdo malicioso, e todos foram bloqueados. Trata-se de uma característica muito interessante, pois impede que conteúdo malicioso seja introduzido no microcomputador do usuário.

Assim, temos uma excelente alternativa (e gratuita), para os problemas de navegação na web.

Curso ITIL/COBIT em Curitiba

A empresa Learnway, de Curitiba - PR, estará promovendo um curso sobre ITIL/COBIT em Outubro. As inscrições podem ser feitas pelo site http://www.learn-way.com.br.

sexta-feira, 25 de agosto de 2006

Vídeo sobre worms e vírus

No site da Microsoft, você poderá assistir a um vídeo (em inglês) sobre worms e vírus, muito interessante.

Acesse: http://www.microsoft.com/athome/security/viruses/video_virusworm.mspx


Softwares Antispyware "Free"

Sim, você precisa (ou pelo menos, é recomendável) de um antispyware em seu computador em casa. Firewalls e antivirus (em sua maioria) não conseguem proteger contra keyloggers e outras ameaças às suas senhas e/ou ao que você digita no seu computador.

Como todos querem economizar com software, e ao mesmo tempo precisamos combater a pirataria, aí vão algumas dicas de programas antispyware "free" (para uso pessoal, não empresarial!) e ao mesmo tempo de procedência segura:

Windows Defender Beta 2

É o antispyware da Microsoft, muito bom e consegue analisar online.

Spybot Search & Destroy

Outro produto excelente, mas não é online (você tem que agendar ou executar o scan)

Ad-Aware SE

Produto da Lavasoft, também não é online, mas muito bom

Nota legal: antes de instalar qualquer programa, verifique o termo de uso do fabricante, faça backup, enfim, tome todas as precauções para proteger seus dados. As informações aqui contidas não significam recomendação de produto (s) ou fabricante (s), nem garantia plena quanto à qualidade dos mesmos, servindo apenas como indicação dos mesmos para a tomada de decisão por parte do usuário, ao qual caberá toda a responsabilidade pela utilização ou não dos produtos citados.


Qual browser é melhor?

Você pode estar estranhando porque estamos falando de browser (ou navegadores) aqui, se esse blog é voltado para segurança da informação.

Logicamente, ao navegarmos na internet temos que ter segurança, e infelizmente somente firewall e antivirus não solucionam mais. Assim, aproveitando o lançamento do IE 7 RC 1, resolvemos sugerir aos usuários que testem também o saudoso (mais ainda jovem e valente) Netscape!

Na sua última versão para Windows (8.1), possui uma série de características de segurança (incluindo antispyware integrado), que já testamos e aprovamos. Vale à pena, aqui já trocamos.

Visite http://browser.netscape.com/ns8/ e tire suas conclusões!

Oportunamente, vamos mostrar um comparativo do IE 7 RC 1, Netscape 8.1 e Firefox.

Microsoft libera IE 7 RC1

A Microsoft liberou a versão que pode ser considerada o pré-lançamento do IE 7, previsto para este ano. A versão RC 1 (release candidate 1) pode ser baixada no link abaixo:

Internet Explorer 7 RC 1

quinta-feira, 24 de agosto de 2006

Introdução ao COBIT

Neste site, você poderá fazer um curso de introdução ao COBIT.

COBIT

Arquitetura e Segurança para Soluções de Instant Messenger

Este artigo é baseado em uma palestra que apresentei no CNASI Rio 2006 e no CNASI Brasilia 2006. É o segundo artigo de uma série, visando apresentar exemplos de soluções para o controle de seu uso corporativo. Boa leitura!

Arquitetura e Segurança para Soluções de Instant Messenger

Riscos associados ao uso de Instant Messenger

Este artigo é baseado em uma palestra que apresentei no CNASI Rio 2006 e no CNASI Brasilia 2006. É o primeiro artigo de uma série, visando a análise dos riscos associados ao uso de Instant Messenger e exemplos de soluções para o controle de seu uso corporativo. Boa leitura!

Riscos associados ao uso de Instant Messenger

Bem-vindo!

Sejam bem-vindos ao nosso blog!

Esperamos que as informações disponíveis sejam úteis a todos.

Um abraço,

Aureo