A View into Starbucks Enterprise Security

Excelente artigo sobre a apresentação da Starbucks na CSO Conference (http://blogs.csoonline.com/a_view_into_starbucks_enterprise_security?source=nlt_csocorpsec)

Mantra da Segurança

Protect people. Secure assets. Enable mission.

Proteção contra acesso indevido - mídias removíveis

  A McAfeee possui uma solução chamada McAfee Host Intrusion Prevention para desktops e servidores .

 

Este produto reconhece quando é uma mídia removível ou simplesmente um Mouse ou Teclado - USB por exemplo, bloqueando a estação conforme a sua política.

 

Tudo isso pode ser gerenciado via Epo (Aplicação de Administração Remota da McAfee) integrado ao Antivirus.

 

Pode ser uma solução interessante, pois auxília no controle das mídias removíveis, evitando cópia indevida de informações.

 

A McAfee está também com um lançamento novo, chamado DLP (Data Loss Prevention antigo Onigma), ele bloqueia totalmente a porta, ou então apenas não permite a copia de documentos com "tags" confidenciais para o USB, também pode transformar o dispositivo de midia removivel (CD Rom, Floppy ou pen drive) em Read Only.

Bloqueia também impressão e outras formas de roubo de informação.

 

Período Mínimo da senha

Existe um parâmetro relativo a senhas, chamado Minimum Password Age (ou Idade Mínima da Senha). É o tempo mínimo que a senha deve permanecer antes de ser trocada. Por que isto? Existe um outro parâmetro chamado Enforce Password History, que serve para o sistema "lembrar" as X últimas senhas utilizadas, e não deixar repetir a mesma senha antes dela ser trocada X vezes por senhas diferentes.

 

Se esse parâmetro for por exemplo 5 (lembrar a 5 últimas senhas), e não tivermos o Minimum password Age, o usuário pode querer usar a mesma senha, que ele gosta (por exemplo, o nome do filho que acabou de nascer). O que ele faz, troca a senha quando o sistema exigir, e troca novamente 5 vezes seguidas para poder voltar à senha que ele quer.

 

Para evitarmos isso, colocamos um parâmetro de 24 ou mais no Enforce Password History e assinalamos pelo menos 1 dia como Minimum Password Age. Ele terá que ter muita persistência para ficar trocando a senha, e quando conseguir atingir 24 vezes (após 48 dias...) já teve que trocar a senha por exigência do sistema (se você assinalou para trocar a senha a cada 30 dias. Logo, inviável para o usuário burlar (ou pelo menos, muito difícil)

 

 

Cliente leva R$ 70 mil após fraude de bancário

Vejam está notícia publicada no Terra: http://br.invertia.com/noticias/noticia.aspx?idNoticia=200703161635_INV_30494326 . Podemos ver que o juiz, pelo menos em primeira instância, considerou o banco Itaú co-responsável, apesar de este ter direito a recorrer da decisão.

 

Isto demonstra cada vez mais a necessidade de controles internos que previnam fraudes, e os consequentes danos financeiros e à imagem da instituição. Também é importante estender o conceito de resposta a incidentes em casos como este, verificando os dados cadastrais, assinaturas de documentos, etc... antes de encaminhar o cliente/usuário a, por exemplo, serviço de proteção ao crédito.

Fotocopiadoras - a nova onda de roubo de identidade

A idéia para este artigo veio de outro publicado na revista CSO Online (http://www.csoonline.com). o artigo intitulado Photocopier Risk: The Next Wave of ID Theft trata de um assunto para o qual muitas vezes deixamos de prestar atenção.

 

As novas fotocopiadoras (digo novas de 5 anos para a atualidade) possuem discos-rígidos internos para armazenamento dos dados de impressão, e esses dados são guardados sem criptografia no disco, ficando acessíveis a qualquer um comn o conhecimento técnico necessário para coletar esses dados, até que o disco atinja sua capacidade e os sobreescreva..

 

Teoricamente, somente o técnico de manutenção poderia ter esse acesso. E se esse técnico tem esse acesso e copia os dados armazenados, ou a impressora vai para manutenção ou ainda, em tempos de terceirização de impressão, a impressora pode sofrer upgrade, e a antiga é retirada com todas as informações dentro, ficando acessíveis ao mundo exterior. No caso de multifuncionais (de grande porte ou pequeno porte), temos o problema adicional de permitir o acesso remoto por meio do fax/modem.

 

Assim, devemos analisar em nosso ambiente os riscos inerentes à utilização desses equipamentos. Outro artigo muito interessante sobre o assunto é Outsourcing Printing Services , que fala sobre os custos e riscos dessa modalidade de serviços.

 

 

Entrevista com Bruce Schneier

Vejam esta excelente entrevista com Bruce Schneier, sobre a importância da psicologia da segurança.

Saiba como reduzir os riscos do trabalho remoto

Vejam este artigo publicado na Computerworld: http://computerworld.uol.com.br/seguranca/2007/03/09/idgnoticia.2007-03-08.9912877636/IDGNoticia_view?pageNumber:int=1

 

Trabalhando em segurança da informação

Tenho verificado muitos questionamentos de profissionais, seja em listas de discussão, perguntas de clientes e colegas de trabalho, sobre como se preparar para trabalhar em segurança da informação.

 

As perguntas e os respectivos entraves são quase sempre os mesmos:

 

. por onde começar

. o material disponível é em inglês

. onde e quanto dinheiro vale à pena investir para aprimorar a carreira

. como obter as certificações profissionais se não tenho a experiência (tempo de trabalho) exigidos

. e se não tenho experiência ou certificação, quem vai me contratar

 

O objetivo deste artigo é fornecer um guia prático, de baixo investimento financeiro, para que os profissionais que desejam ingressar no mercado de segurança possam desenvolver as habilidades e conhecimentos mínimos necessários. Longe de ser um guia definitivo, serve como referência no auxílio a quem busca se aprimorar na área, mas não tem os recursos necessários:

 

01. Cursos

 

Existem cursos excelentes, ministrados pelo SANS, ISC2, Módulo, Checkpoint e mesmo os cursos da Microsoft que preparam para as certificações fornecidas por essas mesmas instituições/empresas. O problema é sempre o mesmo: custo. Fazer um ou dois cursos é uma coisa, mas se preparar como profissional nas diversas áreas, sem subsídio da empresa, é difícil.

 

Entretanto, existem alternativas gratuitas excelentes, que podem auxiliar no aprendizado, e que estão em português. Vamos citar:

 

- Academia Latino Americana de Segurança da Informação (http://www.technetbrasil.com.br/academia ): é uma iniciativa da Microsoft em parceria com a Módulo, e você se inscreve gratuitamente e faz os cursos e as provas. Excelente trabalho dos gestores, dos quais gostaria de citar o Fernando Fonseca (não conheço todos os gestores, mas estão de parabéns).

 

- Next Generation Center da Intel (http://www.nextgenerationcenter/br): possui diversos cursos, sendo dois na área de segurança.

 

- Microsoft Learning (https://www.microsoftelearning.com/catalog/default.aspx#itprodev ): mais especificamente no site https://www.microsoftelearning.com/catalog/itpro.aspx#Security , existem diversos cursos sobre segurança da informação. Apesar de serem cursos em inglês, vale à pena conferir.

 

 

02. Livros

 

Recomendo o Desvendando Segurança em Redes, do Stephen Northcutt, muito abrangente, em português, e não é caro (R$ 70,00 a 120,00 dependendo da livraria).

 

 

03. Certificações

 

Você pode optar por certificações de produtos (Linux, Microsoft, Checkpoint) ou as chamadas vendor-neutral (que abrangem segurança independentemente do produto). Recomendo o Security+ (o material de estudo é em inglês), mas ela é abrangente, não muito cara, e irá auxiliar no seu dia-a-dia. Também não exige, apenas recomenda, 2 anos de experiência na área. Também podemos citar o MCSO (Modulo Certified Security Officer), exelente certificação, e você pode estudar por conta própria, adquirindo o livro dos cursos 1 e 2 (investimento de R$ 360,00), mas exige experiência de 2 anos ou que faça os cursos da Módulo que são preparatórios para a certificação.

 

 

04. Cobit e ITIL

 

Vale citar também a necessidade de conhecimento sobre Cobit e ITIL. O Cobit (Control Objectives for Information and Related Technologies) é voltado para o estabelecimento de controles para Tecnologia da Informação (TI), o que permite estabelecer uma linguagem como de avaliação entre as áreas de TI, de negócios e usuários, bem como definir meios de avaliar o funcionamento dentro de critéios bem definidos. O Cobit pode ser obtido gratuitamente no site do ISACA ( http://ww.isaca.org/cobit). 

 

O ITIL ( IT Infrastructure Library - http://www.itil.co.uk) é uma compilação de melhores práticas para gerenciamento e fornecimento de serviços de TI. É uma biblioteca de 8 livros, bem caros para nossa realidade (os preços são em Libras esterlinas) mas fundamental para gerenciar corretamente a entrega e suporte de serviços de TI. Na internet, existe muito material gratuito (inclusive em português) explicando o que é e como utilizar.

 

Como você pode ver, existem várias alternativas (gratuitas ou de baixo custo) para você começar a aprender sobre segurança da informação. Espero que essas dicas sejam úteis para auxiliá-lo. Boa sorte!

 

 

Britânicos neutralizam ataque terrorista contra a Internet

Vejam essa notícia. O problema realmente não é apenas a segurança lógica, mas cada vez mais a integração com a segurança física. Acesse em

http://tecnologia.terra.com.br/interna/0,,OI1465667-EI4802,00.html

Conheça a BS 25999

Conheça a BS 25999-1:2006 Code of practice for business continuity management. Visite http://www.bsi-global.com/en/Standards-and-Publications/Industry-Sectors/Risk-Management/Risk-Publications/BS-25999-1/

Keystroke dynamics

Mais uma daquelas tecnologias que sabemos que existe, mas nunca tinha visto um produto. A empresa Biopassword (http://www.biopassword.com) fornece soluções de autenticação baseadas em "keystroke dynamics". O que é isso?

 

Trata-se de uma solução de biometria (isso mesmo, biometria), baseada em características de digitação, ou seja, quanto tempo você demora pressionando as teclas do seu teclado normal do computador, e o tempo entre a mudança entre as teclas, durante a digitação de seu usuário e senha.

 

Segundo a teoria, as características de digitação são inerentes a cada pessoa. Faça o teste em http://www.biopassword.com/demo1/?page=2.

 

Testes de segurança

Você acha que está seguro navegando na internet? Você acha que seu firewall e antivírus barram todas as ameaças?

 

Visite os links que apresentamos em Testes e Alertas de Vulnerabilidades, e faça diversos testes de verificação. São seguros e podem auxiliar na definição de necessidade de segurança.

Solução de quarentena para ISA Server 2006

Como o VPN-Q 2006, a solução de quarentena para conexões de VPN ao ISA Server 2006: http://www.winfrasoft.com/vpnq.htm

How to Stay Out of the Penalty Box

Vejam este excelente artigo que trata sobre o roubo de informa´côes por executivo, e como prevenir: How to Stay Out of the Penalty Box

Livros preparatórios para exame CISA

Bom dia,

A Wiley lançou a nova versão do CISA Study Guide - Sybex, que agora está atualizado em relação aos novos objetivos do exame.

Para identificar a nova versão, basta ver os autores do novo livro, que são:

. David L. Cannon
. Timothy S. Bergmann
. Brady Pamplin.

O livro pode ser adquirido na Amazon (http://www.amazon.com/CISA-Certified-Information-Systems-Auditor/dp/0782144381/ref=pd_bbs_sr_1/102-6213789-0448162?ie=UTF8&s=books&qid=1173360278&sr=8-1 ).

Também será lançado este ano o livro CISA Certified Information Systems Auditor All-in-One Exam Guide (All-in-One) by Shon Harris (Hardcover - Aug 1, 2007). Mas somente em Agosto.

Se mantiver a qualidade do livro do CISSP, acho que valerá a compra.

Um abraço,

Aureo

Classificação de Informações

A Doc Manager é uma empresa que faz a classificação, organização, inventario, etc.. de informações. Visite em www.docmanager.com.br.

Como a classificação de informações é um ítem importante para a segurança, vale à pena conferir.

Como deletar os logs do Exchange?

Muitas vezes, os logs do Exchange crescem muito e não são apagados. Teoricamente, ao fazer um backup full isso ocorre automaticamente. Caso não ocorra, devemos limpar os logs manualmente.

Entretanto, não basta apenas ir na pasta de logs (normalmente c:\Program Files\Exchsrvr\MDBDATA) e apagar os arquivos de log, temos que seguir um procedimento.

No link http://www.exchangerecovery.org/modules.php?name=Forums&file=viewtopic&t=25 esse procedimento é explicado em detalhes.

Métricas de Segurança

Quando precisamos avaliar a situação da segurança de TI, é necessário estabelecer métricas bem definidos e aceitas, de modo a termos uma linguagem única. Como referência, existem dois documentos, um do SANS e outro do NIST,  que podem ser muito úteis na elaboração de suas próprias métricas:

NIST - Security Metrics Guide for Information Technology Systems

SANS - A Guide to Security Metrics

Ambos são gratuitos.

Outra fonte de referência é o livro Complete Guide to Security and Privacy Metrics, de Debra S. Herrmann. O livro pode ser adquirido na Amazon ou no site da Auerbach ( www.aurebach-publications.com).