Artigos

Escrevo sobre Segurança da Informação desde 1998, quando iniciei minha vida profissional na área. Parte do material que produzi se perdeu com o tempo e está disponível na Internet através de uma busca, porém, coloquei o conteúdo abaixo para leitura ou download direto em formato PDF. Todos estão sob uma licença Creative Commons, faça bom uso.

Um Novo Cenário para a Segurança de Aplicações

Falar sobre Segurança de Aplicações hoje parece tão complicado quanto era defender o uso de firewalls no final dos Anos 90. A maioria do público que paga essa conta não entende como o processo funciona, e mais importante, não consegue entender em sua perspectiva qual é o valor deste tipo de iniciativa para a sua empresa.

Porque a Segurança Técnica é a base da Gestão de Riscos

Nos últimos meses, o conceito de Governança, Risco e Compliance (GRC) tem aparecido como uma das principais iniciativas em Segurança da Informação, onde um framework muito bem estruturado, ajuda as organizações a manterem o risco em seus ambientes dentro de níveis toleráveis por quem paga a conta. Porém, existe uma base que muitas vezes é esquecida e até desprezada pelas empresas e profissionais que cuidam dos seus processos de segurança: a segurança técnica. Apesar de ser a parte mais fundamental para a manutenção de um ambiente seguro, este componente é continuamente colocado como item de segunda linha, ou que não precisa de pessoas especializadas para ser adequado e administrado.

Entendendo o PCI

Os padrões de segurança estabelecidos pelo Payment Card Industry (PCI) Council são referenciados por muitas pessoas desta forma, como um conjunto de regras simplista criado para satisfazer a necessidade de mostrar aos clientes das operadoras de cartão de crédito que seus dados estão sendo protegidos. Esta visão me parece primária e equivocada, pois a adoção de qualquer padrão de segurança pode cair no mesmo erro. Durante a minha carreira já vi empresas de diversos setores implementarem Planos Diretores de Segurança da Informação que deixavam todos os auditores que tinham pouco pouco tempo para fazer o seu trabalho satisfeitos, mas não resistiam a uma análise um pouco mais profunda.

Guia Básico de Sobrevivência para uma Auditoria de Sistemas – Parte 1 de 2

As dicas são baseadas na apresentação “The Top 10 Security and Risk Audit Findings You Need to Avoid” feita pelo Gartner Group em um evento ocorrido em 2007, cujo material original infelizmente não está disponível para download. Usei um formato parecido com o apresentado que achei muito bom, incluindo minhas observações e comentários. Posteriormente, vou aprofundar cada uma das dicas em artigos seqüenciais, onde irei mostrar o que pode ser feito para administrar cada uma das recomendações.

Guia Básico de Sobrevivência para uma Auditoria de Sistemas – Parte 2 de 2

Durante seis anos trabalhei como Security Officer de uma multinacional, onde a área de Information Services era auditada ou tinha que fornecer informações e dados para auditores de outras áreas, em média, cinco vezes por ano. Ou seja, eu trabalhava inicialmente 45 dias por ano somente atendendo requisições de auditores e explicando como as coisas funcionavam dentro da empresa. Parece muito tempo para pouco retorno, porém o resultado de qualquer auditoria é o Audit Report que é discutido em um Draft e posteriormente apresentado em sua versão final durante o Exit Meeting.

A Queda de um Mito

Durante muito tempo a única pesquisa de referência em Segurança da Informação era o documento anual “Computer Crime and Security Survey” publicado em conjunto pelo Computer Security Institute e o FBI desde 1997. Nos cinco primeiro anos, em média 48% dos eventos relacionados à falhas de segurança foram atribuídos ao “inimigo interno”, funcionários que causavam problemas por desconhecimento, abuso de privilégios e mesmo por pura vontade de prejudicar suas organizações.

A evolução do malware e o que você pode fazer contra isto

Já tem algumas semanas que uma notícia curiosa foi publicada em vários meios de comunicação: o juiz Mário Jambo, da 2ª Vara Criminal da Justiça Federal do Rio Grande do Norte, concedeu habeas corpus a três crackers presos pela Polícia Federal. A liberdade provisória determina que eles leiam obras clássicas, façam um resumo para cada livro, se matriculem e freqüentem assiduamente uma escola, além de estarem proibidos de usar computadores. Prefiro pensar que o juiz em questão não estava bem informado sobre o impacto que o malware tem causado para a sociedade e como a motivação criminosa há muito já substituiu a pura curiosidade intelectual de quem pratica estes atos.

O Perfil do Profissional de Segurança da Informação

Depois de reclamar muito em listas de discussões e papos com amigos que trabalham com Recursos Humanos, decidi escrever este artigo com um ambicioso objetivo; servir de referência para os profissionais de ambos os lados da negociação de emprego entenderem como uma carreira em Segurança da Informação pode ser construída; que requisitos podem ser feitos para cada uma das etapas e como um job description pode ser criado para as funções existentes.

You must log in to post a comment.

M	T	W	T	F	S	S
« Feb
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Artigos

Arquivos