Brasil tem espécie de BOPE da internet

Para general do Exército e chefe de segurança da informação da Presidência, País está preparado para lidar com eventos cibernéticos

via Segurança da Informação Group News | LinkedIn.

Posted in Uncategorized

Matéria da Computer Word.

Investimento em segurança crescerá no País em 2012

Vou além dos comentários da PWC, acredito que ainda falte o trabalho cultural, detecção de ataques é bom, gestão de perfis é necessário e Plano de Continuidade de Negócios  é fundamental, mas sem treinamento em todas as camadas da empresa esse investimento não basta. O investimento em segurança tem que sair do bit e byte e passar para o cuidado com as conversas no café, nos restaurantes, aviões e até nos taxis.

As pessoas precisam saber da importância da Segurança da Informação, da existência dos riscos e viver isso dentro e fora da empresa.

Nos treinamentos que ministrava na Seguradora, sempre tentava buscar um paralelo entre o mundo real e o mundo digital.

São investidas pequenas fortunas em artefatos de correlacionamento de eventos de segurança, mas os papeis continuam na impressora e logo em seguida acabam no lixo sem triturar.

Investimento em Segurança deve ser crescente e continuo porque as ameaças o são, mas temos que nos atentar a parte mais frágil da cadeia,  as pessoas.

Posted in Segurança de Informação

RSA Warns SecurID Customers After Company is Hacked CIO.com.

Posted in Segurança de Informação

As recomendações na reportagem abaixo são bastante úteis, no entanto se os usuários desses equipamentos começarem a encará-lo como ferramenta de trabalho e não como um video game ou um presente da empresa parte dos problemas seriam resolvidos.

Não são raros os casos em que os notebooks tem sido utilizados por familiares ou pessoas que não tem qualquer relação com o a atividade profissional a qual a ferramenta é destinada.

Os pedidos de liberação de acesso de administrador as máquinas o que dá capacidade para que os usuários instalem outros programas também são igualmente comuns.

via 5 formas de evitar problemas com os notebooks corporativos – Segurança – COMPUTERWORLD.

Posted in Governança, Segurança de Informação

Procurar equilibrar os avanços tecnológicos é a peça chave em toda essa discussão, as redes sociais estão presentes e as empresas estão constantemente buscando novos canais de comunicação com seus clientes.

Treinamento, cultura e constante análise de risco é a chave.

via As 10 principais ameaças das redes sociais às empresas – Segurança – COMPUTERWORLD.

Posted in Segurança de Informação

Vale a pena ler….

via Por que os executivos são os alvos prediletos de golpes na web – Segurança – COMPUTERWORLD.

Posted in Segurança de Informação

Analista afirma que os riscos das redes sociais ocorrem fora da infraestrutura corporativa e envolvem questões ligadas à liberdade de expressão.

Por Network World/EUA

Ninguém questiona que as redes sociais representam uma série de riscos para as corporações. Manchar a reputação e encarar processos judiciais decorrentes da manifestações inapropriadas por parte de funcionários e da postagem de vídeos ou imagens descabidos são alguns deles. Na relação entram ainda as pragas virtuais, o furto de identidade, e-mails do tipo phishing e o vazamento de dados confidenciais.

Como resposta a isso, uma série de especialistas defende que cabe ao departamento de TI vigiar o comportamento dos colaboradores das organizações nas redes sociais. Uma opinião contrariada pelo analista da Gartner Andrew Walls. Ele defende que os riscos das atividades nos sites colaborativos ocorrem fora dos limites da infraestrutura das companhias e envolvem questões relacionadas à liberdade de expressão.

Para Walls, é fato que as pessoas postam conteúdo não apropriado nesses ambientes. E, durante o encontro sobre Segurança e Gerenciamento de Risco 2010 da Gartner, ele ressaltou que isso evidencia um problema de segurança. “Definir políticas de conduta e de conteúdo em conversas alheias, porém, não é atribuição da gerência de TI”, diz, ao defender que essa precisa ser uma tarefa da área de recursos humanos.

Na visão do analista, quando um administrador de sistemas entra na sala da gerência de RH em uma empresa e declara que as redes sociais representam uma vulnerabilidade a ser sanada com o bloqueio aos sites, está na verdade cometendo um engano. Esse gerente de recursos humanos provavelmente mantém quatro contas de e-mail e um perfil no Facebook e deverá questionar a repúdia do “nerd de TI” aos recursos da Internet.

A questão mais relevante, porém, é a sobre a quem pertence a tarefa de definir as políticas na comunicação dos funcionários nas redes sociais. Walls responde que esse assunto merece o mesmo tratamento dispensado aos comunicados à imprensa.

“Tudo começa com a governança. Os posts em mídias sociais fazem parte das declarações públicas, pertencem ao escopo de RP (relações públicas), marketing e de RH, e não à segurança”, afirma. Walls sugere estender as regras de comunicados públicos ao ambiente das redes sociais. “Tal medida pode requerer a colaboração de um advogado, para ser formatada dentro do espectro legal”, ressalta.

O mais provável é que as pessoas “mais valiosas” dentro das empresas demandem mais atenção por parte das redes sociais, argumenta Walls.

Continuar restringindo o acesso às redes sociais com base em políticas internas ou por meio de softwares ainda é a maneira mais popular de as empresas se protegerem; mas isto está mudando. “Em média, 60% das pessoas com que falo sobre o assunto, afirmam bloquear. Mas, há um ano, eram 75%”, diz Walls.

Resta a pergunta: o departamento de TI é responsável por garantir a manutenção das políticas?

E agora, TI?
Bloquear as máquinas corporativas não limita, de maneira alguma, os perigos contidos nas redes sociais. Estas podem ser acessadas a partir de casa ou por smartphones ligados na Internet fora da rede interna da organização. “A única solução é vigiar as atividades nas redes de relacionamento da Internet. De que outra forma o cumprimento das políticas pode ser aferido?”, pergunta Walls.

O monitoramento das atividades virtuais pode ser executado por empresas especializadas nesse tipo de tarefa de monitoramento. Uma alternativa é a adoção de softwares que começam a ser oferecidos no mercado para esse tipo de atividade.

“Instalar programas de monitoramento nas estações de trabalho iguais ao SpectorSoft e ao NetVizor pode resolver a questão. Em alguns países, porém, isso pode ferir as leis locais”, adverte Walls.

Posted in Segurança de Informação

Dez fatores essenciais ao sucesso dos projetos

Profissionais criam um guia com os principais passos para evitar problemas comuns às implementações ligadas à área de TI.

Por CIO/EUA

Qual a receita para o sucesso dos projetos? Muitos profissionais de TI concordam que o apoio dos principais gestores da companhia, uma clara definição de escopo e requerimentos, boa comunicação e os recursos adequados representam os principais ingredientes.

Esses não são os únicos fatores que influenciam as chances de sucesso de um projeto. Os executivos de TI também têm em mente que as iniciativas dependem de uma metodologia, atender às expectativas dos gestores e um grande conhecimento em gestão.

Recentemente, um grupo de 83 CIOs que participam de um grupo de discussões no LinkedIn criaram um guia com os fatores para que o projeto seja bem-sucedido.

Alguns dos fatores mencionados são óbvios, outros nem tanto. Acompanhe os principais itens discutidos:

1. Defina sucesso

Os profissionais só vão atingir o sucesso se souberem exatamente o que é esperado deles. O gerente de projetos globais da empresa Integra LIfeSciences, Steve Hawthorne, diz que é indispensável saber quais os objetivos de um projeto.

“É comum para nós, profissionais de TI, definirmos sucesso como a junção de metas, necessidade e orçamento atendidos”, diz. O executivo ainda afirma que, sim, esses são pontos importantes em um projeto. Mas vale lembrar que compreender a influência desses quesitos para a empresa é igualmente importante. Em outras palavras: saiba o quê, mas tente saber também por quê.

2. Popularidade não é tudo

Consultora de TI e líder de projetos, Bronnie Brooks, diz que, por várias vezes já teve de tomar decisões que a fizeram pouco popular entre os clientes, a gerência ou, mesmo, a equipe. Tudo isso para manter um projeto andando e atingir os resultados esperados. Em uma ocasião, por exemplo, teve de informar ao cliente que determinado recurso – esperado para o software encomendado – não poderia ser integrado ainda. O usuário teria de esperar pacientemente até o lançamento da versão seguinte.

Tomar decisões difíceis sobre onde alocar recursos no meio do andamento de projetos é, no mínimo, difícil. Gerentes de projetos também querem ser queridos, ao passo em que respondem pelo sucesso das empreitadas. Mesmo assim, não podem recuar ante a decisões críticas.

“Às vezes, a melhor decisão não é a mais popular”, diz Brooks, que emenda “mas é o que vai garantir que a projeto ande equilibrando a relação entre o esperado e o possível”.

3. Capacitar o usuário final e acompanhar o start-up

Uma questão óbvia ao sucesso do projeto é treinar os usuários para utilização das soluções. Em muitos casos, porém, a implementação de sistemas falha, não em função de entrega fora do prazo ou por estourar o orçamento, mas porque as pessoas não foram adequadamente treinadas.

“Quando a questão é aprimorar o uso do software, não existe “demais”. Certamente a maioria das soluções novas dão errado, por conta de usuários mal treinados”, afirma um gerente de TI, durante o encontro de CIOs realizado na Espanha.

4. Estabelecer atribuições e competências – de maneira clara e objetiva

Não é raro que pessoas envolvidas em um projeto, como gerentes, equipe de TI, comitês e patrocinadores não entendam exatamente quais são as atribuições individuais. Isso se dá em função da falta de esclarecimento prévio. A afirmação é do auditor de TI pertencente ao The Wood Group, Chet Ung.

Se, por exemplo, o comitê de gestão de um determinado projeto não souber qual a função dentro do projeto, jamais saberá o que é esperado dele. As pessoas têm o poder de mudar o rumo do projeto, e, nem sempre sabem disso. A conseqüência é uma contribuição deficiente, causada pela falta de informação.

“Atribuições e competências precisam ser claramente definidos e documentados. É a única maneira de evitar a confusão e de alcançar o nível de contribuição esperado de cada membro do projeto”, esclarece Ung.

5. Fluxo de trabalho transparente

“Fluxos claros de trabalho não deixam espaço para as pessoas duvidarem qual o espaço em que estão  exatamente alocadas dentro da dinâmica do processo; o que vem antes e para onde vai aquilo no que estão envolvidas no momento”, diz a presidente da empresa norte-americana ProjectExperts, Stacy Goff.

Clareza no fluxo dos processos é um componente essencial quando o objetivo é gerar economia e incrementar qualitativamente todo o projeto. “Nada se compara à segurança de saber que o trabalho está sendo feito por pessoas capacitadas, e que haverá poucas correções a serem feitas naquilo que chega na escrivaninha ou na caixa de entrada. Quando sabe-se que o próximo a receber aquilo no que estamos trabalhando é alguém dedicado e com olhos perfeccionistas, costumamos nos esmerar em nossa tarefas”, diz Goff.

6. Gerenciar alterações no escopo de projetos

É comum que usuários finais de sistemas em desenvolvimento queiram implementar mudanças e alterar algumas nuances nas soluções. Mal sabem que alterações, mesmo que pareçam mínimas, podem ocasionar em modificações brutais no esquema do projeto, influenciando tanto em custo quanto em prazo para a entrega.

Acontece que, nem sempre, o gerente de projetos consegue entender a profundidade da alteração que três botõezinhos a mais na interface do sistema ocasiona no trabalho. “Essa falta de noção é especialmente acentuada nos casos de consultorias externas”, afirma o fundador da empresa de consultoria e de gerência de projetos Spivey & Co., Chris Spivey. Na tentativa de agradar a gregos e a troianos, a gerência de projetos, muitas vezes, aceita a inlcusão dos três botões no sistema. Quando são informados pelo departamento de design técnico que essa implementação vai custar ao projeto alguns preciosos meses de trabalho extra, a casa, literalmente, cai.

É essencial dispor de um processo para gerir mudanças em projetos que estejam em andamento. Nesse gerenciamento devem ser integrados os recursos de aprovação e veto às mudanças, avaliação do prazo exigido pelas alterações e definição de custos dos incidentes. De posse de rotinas dessa natureza, um gerente de projetos pode definir a profundidade do impacto de algumas mudanças caso a caso.

Também oferece ao cliente a oportunidade de reavaliar a necessidade da implementação dos três botões na interface.

Menos surpresa, mais eficiência.

7. Gerenciamento de risco

“A gestão de riscos é, sem a menor sombra de dúvidas, parte essencial de qualquer projeto, independentemente do tamanho”, afirma Goff, da ProjectExperts. De acordo com o profissional, o gerenciamento deve estar integrado em todas as etapas, de concepção a início até o dia do lançamento.

O que torna o gerenciamento de riscos vantajoso é o fato de oferecer ao gestor do projeto uma perspectiva do que pode dar errado. Também vale para deixar a equipe de desenvolvimento, o cliente e os demais envolvidos, esclarecidos acerca dos detalhes e do ritmo a ser adotado para a execução dos trabalhos.

8. Documentação apropriada

Sem a documentação, as equipes podem não entender de maneira adequada quais funcionalidades e requerimentos técnicos estão atrelados aos recursos planejados para a configuração da solução em desenvolvimento. A ausência da documentação detalhada também implica em um desperdicio de tempo e de recursos na tentativa de acomodar as expectativas do cliente.

É um riso enorme para a equipe, dar andamento em projetos sem embasamento documentado e as metas esclarecidas.

A habilidade de evitar confusão é, para Ung, um dos fatores que justificam a implementação de documentos referentes à execução dos projetos.

9. Controle de qualidade eficiente

Esforços para aferir a qualidade são aplicáveis nas instâncias de integração, de funcionalidade e em ensaios de stress. Não recebem a atenção devida, pelo fato da gerência de projetos não estar familiarizada com esse recurso, nem com suas diferentes vertentes. Em outros casos, à análise de qualidade é dedicado menos tempo  do que o necessário em função do ganho de tempo. A despeito do motivo, o resultado é sempre o mesmo: um software ou um hardware defeituosos – mais trabalho – menos satisfação.

“Ter um acompanhamento de qualidade eficiente é essencial”, diz Ung. “É a única maneira de garantir a entrega de uma solução de acordo com o encomendado”, afirma.

O CTO da Richard Ivey School of Business, Peter Scheyen, recomenda execução de análises de qualidade em todas etapas, e o envio de versões de teste para os clientes. “Obter deles (usuários finais) um feedback sobre o programa é algo muito precioso, é uma das maneiras mais eficientes de reduzir o eventual risco do projeto não estar saindo de acordo com o esperado na outra ponta”, finaliza o profissional da escola londrina.

10. Governança

Segundo Ung, a governança será responsável pela definição dos moldes dentro dos quais um projeto ou um programa devem ser gerenciados. “Ela também define a “linguagem” usada no desenvolvimento das soluções”, adiciona Ung. “Com uma boa governança, o trabalho flui de maneira mais harmoniosa, mais eficiente”, diz.

Ausente, a governança dá ao projeto um ar de inconsistente, pouco confiável. A equipe de desenvolvimento, por exemplo, poderá trabalhar de acordo com um molde, enquanto os analistas de negócios trabalham com outras referências, levando o projeto inteiro de encontro ao fracasso.

via Dez fatores essenciais ao sucesso dos projetos – Gestão – COMPUTERWORLD.

Posted in Governança

Terceirização de segurança: conheça as vantagens – Segurança – COMPUTERWORLD.

via Terceirização de segurança: conheça as vantagens – Segurança – COMPUTERWORLD.

Posted in Governança, Segurança de Informação