sábado, 30 de dezembro de 2006

Transaction Guard

Transaction Guard é um produto da TrendMicro, que protege contra spywares enquanto você utiliza um computador público para transações online (por exemplo, internet banking). Ele monitora a existência de spywares, bem como tem um teclado virtual para a digitação de usuários e senhas. Apesar de rodar apenas em Win 2000 SP4 e Win XP SP2, é uma ferramenta muito interessante. Veja mais informações em http://www.trendsecure.com/free_security_tools/transaction_guard.php#

segunda-feira, 25 de dezembro de 2006

O que as escolas não ensinam…”

Acho que vale para nós, profissionais de TI!

Para qualquer pessoa, com filhos de qualquer idade, ou qualquer pessoa que ja foi criança, aqui estão alguns conselhos que Bill Gates recentemente deu em uma conferência em uma escola secundária, sobre coisas que os estudantes não aprenderiam na escola, pois elas não ensinam ou passam uma visão irreal sobre determinadas coisas. Ela fala sobre como a política do “bem estar ou sentir-se bem “tem criado uma geração de crianças e jovens sem o real conceito da realidade e como esta política tem levado as pessoas a falharem em suas vidas posteriores à escola.

Bill Gates:

Regra 1 : A vida não é fácil, acostume-se com isso.

Regra 2 : O mundo não está preocupado com a sua auto-estima. O mundo espera que você faça alguma coisa útil por ele ANTES de você sentir-se bem com você mesmo.

Regra 3 : Você não ganhará US$ 40.000 por ano assim que sair da escola. Você não será vice-presidente de uma empresa com carro e telefone à disposição antes que você tenha conseguido comprar seu próprio carro e telefone.

Regra 4 : Se você acha seu professor rude e chato, espere até ter um chefe. Ele não terá pena de você em nenhuma circunstância. Você será cobrado o tempo todo.

Regra 5 : Fritar hambúrgueres, cortar grama ou lavar carros não está abaixo da sua posição social. Seus avós têm uma palavra diferente para isso: eles chamam de “oportunidade”.

Regra 6 : Se você fracassar, não é culpa de seus pais, então não lamente seus erros, aprenda com eles.

Regra 7 : Antes de você nascer seus pais não eram tão chatos como são agora. Eles só ficaram assim por pagar as suas contas, levar você à escola, lavar suas roupas, fazer comida para você e ter que ouvir você falar o quanto você é legal. Então, antes de salvar o planeta para a próxima geração, querendo consertar os erros da geração dos seus pais, tente limpar seu próprio quarto, lavar seus talheres e ser mais amável com sua mãe.

Regra 8 : Sua escola pode ter eliminado a distinção entre vencedores e perdedores por imposição da Associação de Pais, Alunos e Mestres, a vida não é assim, ela sempre fará esta distinção. Em algumas escolas não repete mais de ano e tem quantas chances precisar até acertar. Isto não se parece absolutamente em nada com a vida real.

Regra 9 : A vida não é dividida em semestres. Você não terá sempre os verões livres e é pouco provável que outros empregados o ajudem a cumprir suas tarefas no fim de cada período.

Regra 10: Televisão não é vida real. Na vida real, as pessoas têm que deixar o barzinho ou o clube e ir trabalhar.

Regra 11: Seja legal com seus nerds. Existe uma grande probabilidade de você vir a trabalhar para um deles…”


sexta-feira, 22 de dezembro de 2006

Certificação - Queda em salários

Vejam algumas certificações que apresentaram queda no valor médio de salário (ou seja, possuir essas certificações não é sinônimo de bom salário):

"Pay for some certifications plummeted in the six months from April 1to Oct. 1, according to a wide-ranging Foote Partners LLC surveycovering 129 certification categories and 124 noncertified skills.

Thefollowing are some particularly hard-hit certs:
- CompTIA Linux -43%
- Citrix Certified Enterprise Administrator -20%
- CompTIA Network Technician -36%
- Microsoft Certified Trainer -20%
- CompTIA Security+ -33%
- Microsoft Certified Database Administrator -20%
- Cisco Certified Design Associate -22%
- Cisco Certified Design Professional -18%
- Cisco Certified Network Professional -22%
- Microsoft Certified Systems Admin: Security -13%
- CompTIA Certified Technical Trainer -22%
- Linux Professional Institute certification -13%
- Certified MySQL 4.0 Professional -22%
- Cisco Certified Network Associate -12%

Source: October 2006 survey of 55,000 IT workers in North America and Europe"

quinta-feira, 21 de dezembro de 2006

Ferramentas de Segurança - Free!

Vejam esta compilação de algumas ferramentas de segurança: http://www.csoonline.com/read/120106/fea_cheap.html?source=nlt_csoinfosec

Livro Forensic Discovery

O livro Forensic Discovery está disponível para download gratuito no site:

http://www.porcupine.org/forensics/forensic-discovery/

Fragmentadoras

Parte importante política de segurança, a destruição de documentos "sensíveis" (i.e., de conteúdo classificado como sigiloso, confidencial) deve ser analisada pelas empresas.

A utilização de fragmentadoras é uma importante ferramenta em auxílio a isto. Existem diversos tipos e modelos no mercado, desde o uso pessoal até modelo industriais. As principais diferenças são:

. número de folhas que podem ser fragmentadas por vez
. tipo de fragmentação (tiras ou partículas)
. largura das tiras ou tamanho das partículas
. material a ser fragmentado (somente papel, CD, cartões)

Ao se analisar o tipo de fragmentadora a ser adquirida, você deve ficar atento para, no mínimo, as características acima, em relação às suas necessidades. A utilização de uma fragmentadora pessoal em um ambiente de escritório pode não ser adequado, devido ao grande volume de material a ser fragmentado diariamente.

Vejam os seguintes sites com excelentes informações adicionais:

http://www.benetronsp.com.br/fragmentadoras/index.php

http://www.fragmentadoras.com.br/

Fragmentadoras - Níveis de Segurança de Acordo com DIN 32757-1

Nível de Segurança 1
Para documentos menos importantes no geral.
Tamanho máximo da tira: 12 mm
Área máxima: 2.000 mm²

Nível de Segurança 2
Para documentos menos importantes, impressões e cópias no geral.
Tamanho máximo da tira: 06 mm
Área máxima: 800 mm²

Nível de Segurança 3
Para documentos confidenciais ou pessoais.
Tamanho máximo da tira: 2 mm / Tamanho máximo da partícula: 04 x 80 mm
Área máxima: 320 mm²

Nível de Segurança 4
Para documentos essenciais seus e de sua empresa.
Tamanho máximo da partícula: 02 x 15 mm
Área máxima: 30 mm²

Nível de Segurança 5
Para os documentos mais secretos.
Tamanho máximo da partícula: 0.8 x 13 mm
Área máxima: 10 mm²

quarta-feira, 20 de dezembro de 2006

The OSSTMM 2.2 has been released

The OSSTMM 2.2 (Open Source Security Testing Methodology Manual) is the latest release for auditors, penetration testers, ethical hackers, and the like.With OSSTMM 3.0 still in peer review and undergoing many edits for clarity, ISECOM decided to update the current 2.11 with the reviewed research to make immediate and necessary improvements to the current security testing standard.

The improvements are based on new research like Error Types committed during tests and Test Types which breaks down black box, white box, and gray box tests into 6 categories. The biggest addition however is the security metrics which allow for a realistic calculation of security operations.

The manual is also much cleaner to make it more presentable for those who like to present it to their executive management or even their customers. Get your copy at: http://www.isecom.org/osstmm/ (look at the bottom of page)

Crime Organizado Recruta Hackers

19.12.06

Representantes do crime organizado passaram a contar com instituições de ensino para recrutar seus ajudantes do universo virtual. Segundo um estudo global da empresa de segurança McAfee, os criminosos procuram os melhores alunos de importantes cursos ligados à tecnologia de informação, a quem ensinam “táticas de guerra” do crime virtual.

O objetivo é utilizar o conhecimento desses estudantes e sua intimidade com a tecnologia para realizar invasões de sistemas, desenvolver códigos para roubo de dados e cometer crimes na internet em escala massiva. A McAfee confirma que a estratégia também é utilizada no Brasil.

Com essa tática, os criminosos conseguem recrutar internautas bastante jovens para suas quadrilhas -- alguns dos membros, estes ainda não graduados em cursos de tecnologia, chegam a ter 14 anos de idade. Os principais motivos que atraem essas pessoas para o crime virtual são, o status de celebridade que eles conquistam com suas ações, promessa de ganhos financeiros e também menos riscos do que aqueles associados aos crimes tradicionais.

Fonte: McAfee Internacional

 

RSS do site

Você pode se manter atualizado com as novidades do nosso site utilizando RSS. Acesse e configure o site http://aureomonteiro.blogspot.com/atom.xml

terça-feira, 19 de dezembro de 2006

Conformidade Regulatória

Para quem precisa atender aos requisitos regulatórios (como Sox, GLBA, HIPAA), vale à pena dar uma olhada nos produtos da Bind View (adquirida pela Symantec) - http://www.bindview.com

Comparativo de Soluções para Gerenciamento de Mensagens

Vejam este excelente comparativo entre soluções para gerenciamento de mensagens: http://i.i.com.com/cnwk.1d/html/itp/Sunbelt-Osterman_Comparison_Leading_Messaging_Management_Tools.pdf

sábado, 16 de dezembro de 2006

Governança de Segurança da Informação

A ferramenta Check-up Tool da Módulo pode auxiliar na implementação da Governança de Segurança da Informação. O novo módulo de compliance possui referência cruzada aos principais frameworks de gestão de segurança (ISO 27001, 17799, COBIT, NIST, PCI-DSS,..).

E o recurso Security Governance(tm) do software também atende a gestãoestratégica!

Fonte: Alberto bastos - Módulo

Certificação em Computer Forensics

Quem estiver disposto a encarar um desafio que poderá render mais uma certificação em sua carreira tem agora uma ótima oportunidade. A Brainbench (www.brainbench.com) empresa sediada na Virgínia (EUA) provê testes via WEB para diversas áreas como administração de empresas, tecnologia da informação, saúde, idiomas entre outras.

Por tempo limitado, a empresa está oferecendo, gratuitamente, o teste "Computer Forensics" que avalia o conhecimento do profissional nos procedimentos e técnicas de análise e coleta de evidências. O teste tem a escala de pontuação de 0 a 5 contendo questões de múltipla escolha e, para obter o certificado, terá que alcançar pontuação superior a 2.60.

Além da pontuação, é exibido um relatório com seus pontos fracos, áreas em que precisa de apoio e também o percentual de candidatos que você teve melhor desempenho.

Continua em
http://www.imasters.com.br/artigo/5198/certificacoes/oportunidade_para_certificacao/

P.S.: meu comentário pessoal a esta notícia: as certificações da BrainBench não são as mais procuradas, mas podem ser um bom método de estudo e preparação para certificações avançadas

sexta-feira, 15 de dezembro de 2006

Governing for Enterprise Security

Vejam este interessante documento publicado por "CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE": Governing for Enterprise Security
 

Adaptive Planning Express

Apesar de ser focado na área financeira, pode ser útil para o gerenciamento financeiro da TI:

Enterprise-class open source business performance management solution that enables companies/departments to move beyond spreadsheets and improve decision making by automating budgeting, forecasting, reporting and analysis. http://www.adaptiveplanning.com

Web NMS Express Edition

Esse Network Management System (NMS) é muito bom, e existe uma versão freeware.

Segue a descriçaõ do produto, obtida diretamente do site:

AdventNet Web NMS is the industry-leading network management model / framework for building custom OEM software such as Element, Network and Systems Management (EMS / NMS) applications. Networking equipment vendors and other management solution providers can rely on AdventNet Web NMS for building OEM software for network management such as EMS and NMS.

Acesse em http://www.adventnet.com/products/webnms/index.html.

quinta-feira, 14 de dezembro de 2006

Framework para Governança da Segurança da Informação

Hoje, foi enviada uma pergunta para a lista do CISSPBR, perguntando sobre a existência de um Framework para Governança da segurança da Informação. No material de estudo do CISM vc encontrará orientações relativas ao desenvolvimento do do framework de segurança.

A ISO 27001, ISO 17799:2005, etc... servirão de auxílio ao desenvolvimento desse framework, o qual deverá ser adaptado à realidade da empresa.

Como orientação, vejam os links:

http://www.entrust.com/governance/ e http://www.entrust.com/news/2004/archive2004_04_12_04.htm .

que fazem a apresentação do documento "Information Security Governance - A Call for Action" (
http://www.entrust.com/news/2004/corporategovernancetaskforce.pdf?entsrc=isgfullreport ), onde no Appendix A é apresentado um modelo de ISG Framework.

Um abraço,

Aureo


P.S.: vale à pena dar uma olhada também no Information Systems Security Assessment Framework (ISSAF) (http://www.oissg.org)

Especialistas cobram mais preparação para pandemia de gripe

A gripe aviária pode se tornar um grave problemas. Você já elaborou seu plano de contingência? Veja reportagem em http://br.news.yahoo.com/14122006/5/noticias-manchetes-especialistas-cobram-prepara-pandemia-gripe.html.

Material de Estudo - Exames CISA/CISM 2007

Uma dica para quem pretende fazer os exames do CISA ou CISM em 2007: utilizem o material oficial do ISACA, não vale à pena adquirir o material alternativo (Sybex, Wiley) para esses exames. Esses livros alternativos não atendem aos objetivos do exame ou estão desatualizados.

Outra fonte importante de estudos é o site http://www.ezcism.com, onde você pode adquirir o simulado para o exame.

Boa sorte!

quarta-feira, 13 de dezembro de 2006

Recuperação de Arquivos Apagados

Como segurança da informação também inclui a capacidade de recuperação em caso de desastre (e apagar por engano os seus arquivos pode ser considerado um desastre...), seguem alguns aplicativos:
 
. R-Studio (http://www.r-tt.com): o preço não é alto, e a capacidade de recuperação é excelente
 
. PCInspector (http://www.pcinspector.de): freeware, muito bom também
 
 

Vale à pena conhecer: MOF

 

Datacenter

Excelente documento sobre a construção de data centers seguros: http://www.cisco.com/application/pdf/en/us/guest/netsol/ns224/c654/
cdccont_0900aecd80315044.pdf

Armazenamento de E-mails - SoX

Vejam informações importantes sobre o armazenamento e arquivamento de e-mails conforme determinado pela Sarbanes-Oxley: http://kbase.gfi.com/showarticle.asp?id=KBID002205

AVG Freeware 7.5

Está disponível para download a versão freeware do antivírus Grisoft AVG 7.5. Faça o download em http://www.grisoft.com/doc/products-avg-anti-virus-free-edition/lng/br-pt/tpl/tpl01

terça-feira, 12 de dezembro de 2006

CISM/CISA 2007

Já estão abertas as inscirções para as provas 2007 do CISA e CISM. Faça sua inscrição no site do ISACA (http://www.isaca.org)

Comparativo de Firewalls

Vejam um importante estudo comparativo de firewalls: http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

Enterprise Security Convergence

Conheçam "The Alliance for Enterprise Security Risk Management (AESRM)" - http://www.aesrm.org

Metodologias de Gerenciamento de Risco

Excelente documento sobre metodologias para gerenciamento de riscos. Acesse em http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_Management_Final.pdf

Key Strategies for Implementing ISO 27001


http://www.theiia.org/itaudit/index.cfm?catid=21&iid=440

quinta-feira, 7 de dezembro de 2006

NIST Special Publication 800-89 has been Released

NIST announces the release of Special Publication 800-89, Recommendation for Obtaining Assurances for Digital Signature Applications . This Recommendation specifies methods for obtaining the assurances necessary for valid digital signatures: assurance of domain parameter validity, assurance of public key validity, assurance that the key pair owner actually possesses the private key, and assurance of the identity of the key pair owner.

quarta-feira, 6 de dezembro de 2006

Pensamento do dia

 
" Quanto mais tempo você fala sobre o que está fazendo, menos tempo tem para fazer o que você fala. Finalmente, você gasta mais e mais tempo falando sobre menos e menos, até você gastar todo o seu tempo falando sobre o nada"

48° Lei de Norman Augustine(x)
Livro Augustine´s Laws

segunda-feira, 4 de dezembro de 2006

sexta-feira, 1 de dezembro de 2006

30 de novembro: Dia Internacional da Segurança em Informática

CAIS/RNP organiza palestras e divulga dicas de segurança para internautas


O objetivo é claro: educar e conscientizar os usuários sobre segurança na internet. Assim, a comunidade virtual incluiu uma nova data no calendário: 30 de novembro é o Dia Internacional da Segurança em Informática (DISI). Para comemorar a data, a Rede Nacional de Ensino e Pesquisa (RNP) realizará, no próprio dia 30, um ciclo de palestras sobre segurança. É a primeira vez que se comemora este evento no Brasil. Internacionalmente, o DISI é comemorado desde 1998.

Jacomo Piccolini, analista do Centro de Atendimento a Incidentes de Segurança da RNP (CAIS), acredita que há o que comemorar, mas ainda é preciso difundir a cultura de prevenção. “A Microsoft corrigiu falhas e tornou o Windows, sistema operacional utilizado pela maioria dos internautas, mais seguro com o anti-spyware (detector de softwares espiões) e com o firewall embutido. Só que os vírus têm se modificado de maneira tão veloz e tão eficiente que os programas antivírus não os estão mais detectando direito”, analisa. Para Piccolini, a eficácia dos antivírus é cada vez menor porque os criminosos estão adotando novas táticas. Por isso, para os profissionais de TI, tornou-se extremamente importante disseminar dicas de segurança e acompanhar os principais incidentes que envolvam usuários da rede.

Bastante discutida no último Seminário de Capacitação e Inovação, realizado pela RNP, a nova técnica de engenharia social utilizada pelos criminosos assusta os especialistas. Com muita persuasão, internautas descuidados são convencidos a fornecer números de cartão de crédito, senhas de banco e coisas do gênero. A quantidade de golpes virtuais registrados cresceu 1313%, se comparados os terceiros trimestres de 2004 e 2005.

O DISI tem como objetivo conscientizar a comunidade Internet sobre questões de segurança e lembrar os usuários sobre a importância de proteger suas informações e seus recursos computacionais. A cada ano, um tema é escolhido com o intuito de focar as atividades de conscientização. Em 2005, o tema "Segurança Responsável” pretende lembrar a cada indivíduo inserido no setor corporativo o importante papel que ele desempenha na segurança da sua organização e, principalmente, a responsabilidade que ele tem neste processo global.

Pensando nisso, o CAIS, grupo de segurança da RNP, planejou uma série de ações para esclarecer tais questões e melhor preparar os usuários da rede para eventuais situações de risco. Além do ciclo de palestras, que será transmitido via Internet, será disponibilizado material para download no site da RNP, tais como um prospecto com dicas básicas de segurança para o usuário doméstico e conteúdos que possam ser usados por administradores de redes, grupos de segurança e outras pessoas que tenham interesse em promover a cultura da segurança em suas instituições.

A RNP acredita que o evento trará muitos benefícios para a Internet brasileira ao disseminar noções de segurança para a comunidade usuária da rede:

— Engana-se quem pensa que o perigo vem apenas dos hackers, as pesquisas de segurança apontam que o elo mais fraco é ainda o ser humano. Não adianta implementar mecanismos de proteção dos sistemas e redes se o usuário ainda coloca senhas fáceis de se adivinhar ou clica inocentemente em arquivos remetidos por correio eletrônico sem antes comprovar se a fonte é confiável. Estes tipos de ações driblam qualquer mecanismo sofisticado de defesa. A responsabilidade é de todos. Cada um precisa fazer a sua parte — ressalta a gerente do CAIS, Liliana Velásquez Solha.

Neste sentido, a repetição do evento todos os anos e uma aderência cada vez maior de instituições poderão produzir usuários mais conscientes do que devem e do que não devem fazer para se protegerem dos riscos reais do mundo virtual.

Veja o que a RNP preparou para o Dia Internacional da Segurança da Informação em http://www.rnp.br/eventos/disi2005.html.