Gestores de TI devem estar atentos às novidades das Web 2.0, com o intuito de equilibrar as oportunidades de negócio com os riscos para as empresas.
A colaboração online e o compartilhamento de arquivos possibilitados pela Web 2.0 elevam os riscos aos quais as empresas estão expostas a um novo patamar, no qual as ameaças vão além dos ataques às redes corporativas tradicionais e passam também por questões como privacidade e imagem das organizações no mercado.
De acordo com o sócio-fundador e membro do comitê de TI, outsourcing privacidade e segurança do escritório de advocacia norte-americano Foley & Lardner, Michael Overly, a própria natureza das redes sociais e outros sites colaborativos favorece cibercriminosos. Isso exige, segundo Overly, que os gestores de TI adequem as políticas de segurança, com o intuito de evitar problemas para a organização, mas sem restringir possíveis oportunidades de negócio para as empresas.
O especialista dá três dicas para criar uma política de segurança aderente às redes sociais. Leia matéria completa na CIO.
Estudo elaborado pelo Infosec Council traz dez dicas de como criar um plano eficiente. Relatório foi divulgado na sexta-feira (05/02), em São Paulo.
Foi apresentado nesta sexta-feira, (5/02), em São Paulo, o estudo “Planejamento Estratégico da Segurança da Informação”, elaborado pelo Infosec Council, conselho multidisciplinar que reúne 13 especialistas da segurança da informação no Brasil.
O relatório foi lançado durante palestra do consultor e professor Edison Fontes, na sede da Microsoft, empresa que apóia o grupo de trabalho no Brasil.
O novo guia do Infosec Council vem com a proposta de orientar as empresas na elaboração de um plano estratégico de segurança da informação mais eficiente. O estudo é o segundo do grupo. O primeiro foi sobre “Formação de cultura em segurança da informação”.
O estudo do Infosec está disponível gratuitamente para download pelo site da entidade, que acaba de entrar no ar. O estudo sera liberado também em espanhol e inglês para que possa ser consultado por CIOS, CSOs e demais profissionais de segurança da informação de outros países.
Leia o anúncio completo clicando aqui.
Entre a ditadura do "vamos proibir tudo" e a anarquia do "libera geral", use uma política do bom senso: monitore os acessos de sua rede.
Já passou o tempo dos oito ou oitenta na administração de redes de empresas que tratavam os usuários por igual, quase não sendo possível distinguir suas diferentes necessidades no uso dos serviços de internet, e-mails e comunicadores instantâneos. Pouco tempo atrás o que se via em algumas empresas era a necessidade de bloquear o acesso para todos, pois não havia definições muito claras de quem deveria acessar e o que acessar na Internet. Por outro lado, havia empresas que liberavam o acesso sem nenhum tipo de restrição, pois ninguém estava disposto a ficar controlando o que cada um fazia ou deixava de fazer. Tudo era uma questão de consciência e confiança (e riscos, muitos riscos).
Pois bem, e o que temos agora? Uma explosão de possibilidades de usufruir a Internet com uma variedade de dispositivos, softwares e sites que podem ser o diferencial de uma empresa, seja qual for o seu segmento no mercado. Saber tirar o máximo de proveito das inúmeras ferramentas disponíveis na rede, como Twitter, Orkut, Facebook, YoutTbe, Google Maps, MSN, Skype, sistemas de blogs e outros deveria ser um pré-requisito em algumas profissões. Não faz sentido impedir o uso destes recursos para todos na empresa, pois algumas profissões se reinventaram, tendo como principal característica um novo conceito no relacionamento entre clientes e fornecedores. Mas todos estes exemplos também possuem outro lado, nada profissional.
A Polícia Civil de São Paulo indiciou na quarta-feira o programador Vinicius Camacho Pinto, 28 anos, conhecido como K Max, pelo crime de divulgação de segredos qualificado. Ele é acusado de invadir o banco de dados dos clientes da Telefônica e disponibilizar as informações na internet.
Policiais Delegacia de Repressão a Crimes Cometidos por Meios Eletrônicos do Departamento de Investigações sobre Crime Organizado (Deic) cumpriram um mandado de busca e apreensão na casa do programador, em Itapevi, na Grande São Paulo.
Segundo o delegado José Mariano de Araújo Filho, titular da DRCC Meios Eletrônicos, Pinto teria invadido o sistema de cadastro da empresa. "A partir do site da empresa, ele conseguiu acessar dados pessoais dos clientes. Depois, disponibilizou as informações quem estivesse interessado", disse Araújo Filho.
Siga a discussão pelo TweetChat: http://tweetchat.com/room/freekmax (necessário ter login no twitter).
John Gilligan, que hoje atua como um dos consultores responsáveis por criar normas para o setor, conta as cinco formas para que as empresas reduzam riscos e economizem recursos
O Consensus Audit Guidelines – documento criado por especialistas com o intuito de determinar as 20 formas de garantir e monitorar a segurança dos sistemas e redes de TI – tem ganhado a atenção dos defensores de uma mudança na forma como os líderes da área de tecnologia da informação pensam sobre segurança.
John Gilligan, ex-CIO da Força Aérea dos Estados Unidos (entre 2001 a 2005) e que hoje atua como consultor, foi um dos autores do documento. E, segundo ele, apesar de todas as preocupações relacionadas à possibilidade de aumentar custos por conta de investimentos em melhoria na segurança da informação, o tema deve ser prioritário.
Em entrevista à CIO, Gilligan dá cinco recomendações de como as organizações devem tratar a gestão de riscos e, o melhor, o especialista aponta que isso tende a economizar custos com TI. Seguem as cinco dicas:
1. Conhecer a rede – Faça um inventários de todos os equipamentos que compõem a rede corporativa. Grave os endereços IP, o nome das máquinas e a pessoa responsável por elas. Crie também uma lista dos softwares que estão autorizados a rodar nesse ambiente.
Periodicamente teste o inventário de software com o intuito de encontrar novos itens na rede e preste atenção ao atraso para que a ferramenta detecte esse elemento, pois esse é o tempo em que sua infraestrutura ficou vulnerável.
2. Teste e verifique – Documente e teste a segurança dos equipamentos antes de implementar laptops, workstations e servidores. Avalie o equipamento durante um mês para garantir que todas as configurações estão corretas.
3. Controle o ambiente – Nos diversos pontos de conexão à rede implemente filtros para atrelar o uso dessas portas a necessidades de negócio que já tenham sido documentadas. Use dois fatores para autenticação e criptografia em todos os equipamentos da rede.
Exija também que as pessoas que querem acessar a rede de forma remota utilizem duas camadas de autenticação também.
4. Seja desconfiado – Faça auditorias para gravar datas, validade e destinatário de cada software da rede. Monte perfis de atividades comuns e procure e transforme em regras, que permitam enxergar qualquer anomalia.
5. Olhe para trás – Rode sistemas para avaliar a vulnerabilidade da rede pelo menos uma vez por semana (de preferência diariamente). Compare essas análises com relatórios anteriores para garantir que os problemas foram solucionados. Instale atualizações críticas do sistema semanalmente.
Faça um relatório diário sobre as contas que foram desabilitadas, bem como aquelas com as senhas que já expiraram. Busque explicações para cada um desses casos e ainda cheque todas as máquinas da rede para garantir todas as atualizações necessárias para evitar ataques.
Kim S. Nach, CIO/EUA
Publicada em 30 de junho de 2009 às 08h05
Especialistas mostram os equívocos mais comuns que as pessoas cometem ao trabalhar em home office e apontam as melhores alternativas para essas situações
Por conta da dificuldade de deslocamento nos grandes centros urbanos há uma tendência de que um número maior de profissionais trabalhe de forma remota. No entanto, junto com a ascensão do modelo de ‘home office’ crescem os erros cometidos pelas pessoas em relação à segurança das informações.
Com o intuito de ajudar as empresas nessa empreitada de garantir a segurança das informações corporativas, a revista CSO ouviu dois especialistas no tema e mapeou os principais erros que os funcionários cometem quando trabalham de forma remota.
1. Ambiente adequado
Acostumado a trabalhar no ambiente doméstico, o jornalista Jeff Zbar entende bem o quão importante é manter a segurança física de seu escritório. Zbar tem hoje um blog sobre o tema (chiefhomeofficer.com) e ainda escreveu diversos livros sobre o assunto, incluindo o Safe@Home: Seven Keys to Home Office Security (ainda sem uma versão traduzida para o português).
Durante a temporada de furacões nos Estados Unidos, Zbar – que mora no Sul da Flórida – utiliza madeira para evitar danos à janela do escritório. Mas a preocupação com a segurança física vai muito além das questões climáticas. O jornalista precisa proteger o ambiente dos seus três filhos e três cachorros.
“Existem coisas que deveríamos prever quando temos um escritório em casa. E se uma criança olhar para a luz verde que sai do botão do computador e decidir tocá-la? Ou e se alguém passar e puxar um cabo sem querer?”, ressalta o jornalista. “Para isso, eu mantenho meu computador em um local no qual ele não pode ser acessado quando estou longe”, acrescenta Zbar, lembrando também que trancar a porta pode ser uma alternativa interessante.
Os aparatos de segurança do especialista incluem ainda um cofre à prova de fogo, no qual ele guarda documentos importantes, e um cortador de papel para eliminar informações confidenciais.
2. Itens básicos de rede
“A maioria das pessoas compra o roteador em uma loja de departamento e acha que isso é suficiente para montar uma rede doméstica. O que parece bastante assustador”, diz Derek Krein, CTO da empresa norte-americana Advanced Wireless Networks e especialista em segurança.
De acordo com Krein, a crença de que as redes domésticas não representam um alvo muito comum para criminosos representa um risco para quem trabalha de forma remota. “As pessoas pensam: ‘eu estou em casa e ninguém vai querer acessar meu computador”, cita o CTO. Uma postura que, segundo ele, leva as pessoas a abrir mão de mecanismos para evitar a vulnerabilidade desses ambientes.
Para o CTO, a lista básica de itens para qualquer rede, mesmo que ela seja doméstica, inclui: um firewall e um bom software para coibir vírus e malware. Ele ainda recomenda que quem mantém mais de um computador ligado em rede instale um firewall pessoal em cada um dos equipamentos – alguns sistemas operacionais já incluem esse tipo de funcionalidade.
3. Rede Wi-Fi
Se, apesar de enxergar a rede dos seus vizinhos, você só acessa sua própria rede Wi-Fi não se iluda: boa parte das pessoas não tem essa mesma ética.
Os especialistas aconselham que quem mantém uma rede wi-fi doméstica tenha algum tipo de encriptação para evitar que outras pessoas acessem o ambiente. “É importante garantir também que os equipamentos que estão ligados às redes wireless estejam configurados de forma adequada para trabalhar com total segurança”, enfatiza Krein, que acrescenta: “Isso pode consumir algum tempo, mas vale a pena”.
4. Computador pessoal e profissional
Algumas empresas estão sujeitas a leis muito específicas em relação ao manuseio de informações e que podem criar sérios problemas para os profissionais em ‘home office’, caso eles usem o mesmo computador para uso doméstico e profisisonal.
“Se você trabalha com números de cartão de crédito ou para uma empresa de saúde, por exemplo, precisa segregar muito bem os equipamentos usados para trabalho e para atividades pessoais”, considera Krein.
Ele afirma ainda que deixar outra pessoa da família acessar o computador de trabalho é uma prática comum, mas muito errada. “Você não pode deixar seu notebook ou desktop mais vulnerável do que o necessário por conta de acesso a páginas da internet indevidas”, ressalta Jeff Zbar.
5. Encontros de negócio
Zbar admite que, raramente, ele encontra clientes ou outras pessoas relacionadas ao trabalho em sua casa, mas prefere realizar as reuniões e encontros de negócio em lugares públicos ou no escritório da sua empresa.
Essa política, de acordo com o jornalista, não só garante a sua segurança- da sua casa e da sua família – como evita problemas legais. “O que eu faria se alguém que está vindo me encontrar para uma reunião de negócios tiver um acidente durante a viagem?”, questiona Zbar. Ainda segundo ele, sua apólice de seguros não prevê esse tipo de problema com terceiros.
6. Backup dos dados
A maior parte das pessoas já perdeu documentos do computador por conta de quedas de energia ou problemas com o disco rígido. Portanto, isso prova que realizar o backup de dados é uma coisa extremamente necessária e, o melhor, simples de fazer.
Uma solução óbvia é comprar um disco externo e programar backups manuais a cada semana. De qualquer forma, isso não evita perdas no caso de uma falha do sistema.
Outra opção é adotar uma solução de armazenamento automático.
Krein ainda recomenda ter um estabilizador de energia, bem como baterias extras para o notebook.
7. Ambiente de contingência
Para os profissionais que trabalham 100% do tempo de forma remoto, o escritório doméstico representa um dos lugares mais importantes. Mas poucos consideram a possibilidade de continuar a trabalhar em certas condições adversas, como um incêndio ou uma enchente, e que obrigam todas as pessoas a deixar a casa por tempo indeterminado.
Com o objetivo de se preparar para o pior, Zbar contratou serviços baseados em cloud computing (computação em nuvem) e que permitem trabalhar de qualquer lugar.
Joan Goodchild, CSO/EUA
http://cio.uol.com.br/gestao/2009/06/23/trabalho-remoto-os-sete-erros-mais-comuns-de-seguranca