Blog do TreinaWeb

Posts com a Tag ‘segurança’

• Dez mandamentos para a segurança corporativa em 2012

  
  19 de December de 2011
  

  Tendências mostradas pela próxima geração da força de trabalho em ignorar ameaças on-line representam desafios para segurança pessoal e corporativa, de acordo com estudo global da Cisco. O relatório “Cisco Connected World Technology“, composto por três partes, revela atitudes surpreendentes em relação às políticas de TI e às crescentes ameaças de segurança que surgem com a próxima geração de profissionais que entrarão no mercado de trabalho – um grupo demográfico que cresceu com a realidade da internet e que possui um estilo de vida cada vez mais sob demanda, que mistura atividades pessoais e profissionais no local de trabalho.

  Mesmo que as organizações precisem desenvolver uma abordagem de segurança de rede e dados que suportem as necessidades específicas da força de trabalho e a ajude a alcançar os objetivos de negócios, há várias iniciativas que qualquer empresa pode realizar para melhorar a postura de segurança, imediatamente e a longo prazo. Abaixo seguem dez recomendações de especialistas de segurança da Cisco, publicadas no relatório de segurança anual Cisco 2011.

  1. Avalie a totalidade da sua rede

  Saber onde começa e termina a infraestrutura de TI é muito importante. Muitas empresas simplesmente não têm ideia da totalidade da rede. Além disso, saber o que é o seu ‘normal’ é fundamental para poder identificar e responder um problema com rapidez.

  2. Reavalie a política de uso aceitável e o Código de Conduta

  Afaste-se da abordagem “lista de lavanderia” para as políticas de segurança. Foque apenas no que você sabe que deve e pode impor.

  3. Determine quais dados devem ser protegidos

  Você não pode construir um programa eficaz de prevenção de perda de dados (DLP) se não souber quais informações devem ser protegidas. É preciso também determinar quem na empresa terá permissão para acessar essas informações, e como eles serão autorizados a acessá-las.

  4. Saiba onde estão os dados e entenda como é (e se) eles estão sendo garantidos
  

  Identifique todos os terceiros com permissão para armazenar dados de sua empresa a partir de provedores de nuvem e confirme que a informação está sendo protegida de forma adequada. Requisitos de conformidade, e agora a tendência do cibercrime em hackear grandes empresas, mostram que você deve assumir que seus dados nunca estão seguros, mesmo quando estão nas mãos daquele em quem confia.

  5. Avalie práticas de educação do usuário

  Seminários e manuais extensos não são eficazes. Funcionários mais jovens serão mais receptivos a uma abordagem para a educação do usuário com sessões mais curtas e treinamentos “just-in-time”. A formação de pares também funciona bem no atual ambiente de trabalho colaborativo.

  6. Monitore tudo o que sai

  Isso é algo básico, mas nunca o suficiente para animar as empresas a fazê-lo. Monitorar a saída é uma mudança de foco. Você precisa saber o que está sendo enviado para fora da organização, por quem e para onde.

  7. Prepare para a inevitabilidade do Bring Your Own Device (BYOD)

  As empresas precisam parar de pensar sobre quando elas vão adotar o modelo BYOD e começar pensar mais sobre como fazer isso.

  8. Crie um plano de resposta a incidentes

  TI deve ser tratada como qualquer outro negócio de risco. Significa a necessidade de ter um plano claro para reportar e responder rápida e adequadamente a qualquer tipo de evento de segurança, quer se trate de uma violação de dados resultante de um ataque direcionado, uma violação devido ao descuido de um empregado, ou um incidente de hacktivismo.

  9. Implemente medidas de segurança para ajudar a compensar a falta de controle sobre as redes sociais

  Não subestime o poder das tecnologias de controle, como os sistemas de prevenção de intrusão e de proteção contra ameaças da rede. Filtragem de reputação também é uma ferramenta essencial para detectar atividades suspeitas e conteúdos suspeitos.

  10. Monitore o cenário dinâmico de risco e mantenha os usuários informados

  As empresas e suas equipes de segurança precisam vigiar uma gama de fontes de risco, a partir de dispositivos móveis, da nuvem, das redes sociais e tudo o que as novas tecnologias possam oferecer amanhã. Elas devem adotar uma abordagem de duas etapas: reagir às divulgações de vulnerabilidades de segurança, além de serem pró-ativas na educação de seus funcionários sobre como proteger a si e a empresa das ameaças cibernéticas potentes e persistentes.

  Fonte: Computer World

  Tags: Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• 4 novas ameaças de segurança que devem tirar o sono dos CSOs

  
  6 de December de 2011
  

  Os crackers parecem que nunca dormem. Quando se pensa que todas as portas estão fechadas e que todas medidas contra riscos de segurança eletrônica foram adotadas, surgem novas ameaças. Pode ser uma mensagem de texto (SMS) com uma carga maléfica ou um ataques ao sinal sistemas de GPS para tirar a tranquilidade dos Chief Security Officers (CSOs).

  Se você está protegendo dados corporativos ou simplesmente tentando manter os arquivos pessoais seguros, essas ameaças – algumas de rápido crescimento, outras ainda emergentes – podem colocar os sistemas em risco. Felizmente, os procedimentos de segurança e ferramentas estão disponíveis para ajudá-lo a ganhar a luta.

  Veja a seguir quais são as quatro principais ameaças de segurança que vão chamar mais atenção dos crakers e que você tem de se proteger:

  1. Text-message malware
  
  Embora os vírus de smartphones ainda sejam relativamente raros, mensagem de texto ataques estão se tornando mais comuns, de acordo com Rodney Joffe, vice-presidente sênior e tecnólogo da empresa de aplicações móveis Neustar. Ele também é diretor do Conficker Working Group, entidade que reúne pesquisadores de segurança com objetivo de combater o malware conhecido como Conficker.

  O especialistas observa que hoje os PCs estão razoavelmente bem protegidos e por isso alguns crackers estão mirando agora os dispositivos móveis. O motivo da migração é interesse financeiro. Eles estão usando SMS para invadir terminais e ganhar dinheiro.

  Khoi Nguyen, gerente de produtos para segurança móvel da Symantec, confirma que os ataques por SMS, que visam sistemas operacionais de smartphones, estão se tornando comuns já que agora as pessoas estão cada vez mais confiantes em dispositivos móveis. Não é só os consumidores que estão em risco, adverte. Qualquer funcionário que envia e recebe muito SMS pelo smartphone da empresa pode comprometer a rede de dados, abrindo brechas para violação.

  “Este é um tipo semelhante de ataque como [é usado em] um computador. Os crackers enviam uma mensagem SMS ou MMS [mensagem multímidia] que inclui um anexo, disfarçado com uma foto engraçada ou sexy e que pede ao usuário para abri-lo”, explica Nguyen.

  Ao baixar esse arquivo, o usuário irá instalar um malware no seu dispositivo móvel. Uma vez carregado, o invasor passa a ter privilégios de acesso, se espalhando para os contatos da agenda de telefone. Desta forma, diz Joffe, os crackers criam botnets para envio de mensagem de texto-spam com links para um produto que estão vendendo, geralmente cobrando por mensagem. Em alguns casos, o malware começa a comprar toques para celular que são cobrados na conta do consumidor, enchendo os bolsos do crackers vendedores de ring tones.

  Operadoras de telefonia móvel dizem que tentam evitar os ataques. A porta-voz da prestadora de serviços norte-americana Verizon, Brenda Raney, informa que a empresa procura vigiar ataques de malware e isolá-los na rede. Outra medida é trabalhar com serviços de crime federal para barrar bloquear ciberataques.

  Para evitar que este tipo de malware explore os celulares, Joffe recomenda que as empresas reforcem as políticas de segurança, limitando quais funcionários podem enviar SMS pelos terminais corporativos. Outra opção é proíbir as mensagens de texto por completo, pelo menos até a indústria descubra como lidar com essas ameaças.

  2- Ataques à redes smart grid

  É um erro comum achar que apenas as redes corporativas Wi-Fi abertas para que os visitantes são invadidas. Não é verdade, garante Justin Morehouse, um consultor da Stratum de Security. Ele afirma que não é tão difícil encontrar um ponto de acesso para atacar ambiente wireless fechado.

  Algumas usinas nucleares e redes de energia têm redes sem fio que são vulneráveis a ataques. Exemplo disso foi a invasão recente ao Supervisory Control and Data Aquisition (SCADA), ou Sistema de Supervisão e Aquisição de Dados de uma fornecedora pública de água da cidade de Springfield no estado de Ilinois (EUA).

  Outro exemplo é o do worm Stuxnet que no ano passado infectou diversos PCs com Windows que executam sistemas SCADA Siemens em empresas de manufatura e de serviços públicos, principalmente no Irã. O vírus foi largamente disseminado por drives USB infectados. “Stuxnet provou que é relativamente simples causar danos catastróficos por uma rede de controle industrial”, diz o executivo da Neustar.

  De acordo com Morehouse, outro ponto novo de ataque será os sistemas smart grid, ou redes inteligentes, que utilizam medição eletrônica para agilizar o gerenciamento de energia. Empresas de serviços públicos em todo o mundo começaram a testar e implantar essa tecnologia em residências e empresas.

  Esses sistemas recebem e enviam dados para uma rede central, podendo ser também útil para TI. É possível abrir um console para ver o uso de energia para uma seção de um edifício, por exemplo.

  Redes de smart grid podem ser vulneráveis a ataques e abrir portas para que crackers cortem a energia elétrica em residências e empresas. Eles podem causar outros tipos de estragos ao assumirem o controle da infraestrutura das redes inteligentes de comunicação.

  Morehouse cita como exemplo uma empresa alemã de utility chamada Yello Strom que usa um um kit de smart grid para automação residencial, pelo qual sensores enviam relatórios de consumo de energia para o servidor central pela rede Wi-Fi do consumidor.

  A medida mais eficaz de prevenção desses ambientes, considera Morehouse, é o isolamento da rede smart grid que não deve trocar informações com outras outras rede. Os crakers podem acessar esse ambiente. O consultor aconselha as empresas a realizarem testes periodicamente para se certificar se os firewalls estão ativos e verificar se as redes fechadas são seguras. Ele aconselha o uso de ferramentas como Core Impact e Metasploit.

  3. O periogo das redes sociais
  
  Usuários do Facebook, LinkedIn e outras redes sociais são vulneráveis a ataques tipo “spoofing”, técnica que forja a conta dos usuários e passa a disparar mensagens falsas. Um scammer pode se passar como alguém conhecido ou um amigo de um amigo, a fim de enganár o usuário a revelar informações pessoais. De posse desses dados, ele ganha acesso a outras contas e, eventualmente, para roubar a identidade da vítima.

  Com esse tipo de ataque, segundo Joffe, contatos de redes como o Facebook ou LinkedIn, fingem ser um amigo de um amigo ou um colega de trabalho de alguém que você confia. Este novo “amigo” passa a enviar mensagens de texto ou e-mail para sua rede. As mensagem parecem ser legítimas porque você acredita que ele tem uma conexão com um indivíduo de confiança.

  Em outro cenário, um scammer pode se passar por alguém que você já conhece, dizendo ser um antigo amigo da época do colégio, por exemplo. “Spoofers” podem descobrir suas ligações seguindo seus posts públicos ou olhando os nomes dos colegas de trabalho em sites como o LinkedIn, onde você postou suas informações profissionais.

  Uma vez que o scammer estabeleceu uma conexão com você, ele usa meios ilícitos para roubar dados pessoais em bate-papo on-line para descobrir os nomes dos membros de sua família, bandas favoritas, hobbies e outros dados. Ele usa essas informações para tentar adivinhar suas senhas ou respostas a perguntas de segurança para sites bancários, contas de webmail ou outros serviços on-line.

  Morehouse descreve outro tipo de ataque que tem como alvo empresas, bem como indivíduos. O “spoofer” pode configurar uma página no Facebook que afirma ser a página oficial da empresa, como por exemplo de um varejista. O cibercriminoso pode argumentar que a página é mais um canal de comunicação da emprea com seu público e local para receber reclamações dos clientes.

  A página pode oferecer cupons falsos para atrair as pessoas a entrarem no site. Logo essa página pode se tornar viral e compartilhar informações com amigos. Uma vez que centenas ou milhares de usuários se juntaram a página os crackers passam a atacar informações pessoais, oferecendo ou ofertas especiais falsas.

  Esse médoto provoca um duplo ataque. Os consumidores são prejudicados porque os seus dados pessoais são comprometidos. A empresa também tem sua imagem arranhada porque seus clientes se associam a uma página falsa do Facebook. Os clientes podem decidir não comprar mais dessa empresa.

  De acordo com Joffe, não há maneira de evitar que um criminoso crie páginas falsas no Facebook, mas as empresas podem usar ferramentas de monitoramento para ver como o nome da empresa está sendo usado on-line. Se o nome da empresa estiver em páginas não autorizadas, é possível solicitar a remoção e sua listagem falsa.

  4. Invasões a sinal de GPS

  Outra tática emergente criminal é a interferência de sinais de GPS. Congestionar esse tipo de rede de comunicação é é mais difícil, mas não possibilidade remota, segundo Phil Lieberman, fundador da fornecedora de soluções de segurança Lieberman Software.

  O bloqueio de sinais de rádio transmitidos por satélite em órbita não é operação simples. Nos Estados Unidos, por exemplo, os satélites são operados pelos militares e sua invasão seria considerada ato de guerra e crime federal, diz o executivo.

  No entanto, é fácil intercepatar receptores GPS usados em dispositivos de baixo custo. Segundo, o especialista, eles podem congestionar a rede com envio de um sinal semelhante ao do GPS real. O receptor então torna-se confuso porque não consegue encontrar uma transmissão via satélite constante.

  Lieberman considera que esse é um problema potencialmente perigoso quando se trata de registros financeiros pelos dispositivos GPS, usados pelo setor bancário para adicionar carimbos de tempo nas transações financeiras. Embora as invasões sejam mais difícies, o especialista alerta que um cracker pode, teoricamente, interromper transações e causar dores de cabeça para os bancos.

  Outro especialista em segurança, Roger Johnston, engenheiro de sistemas do Argonne National Laboratory, em Chicago, considera que os ataques “spoofing” a sinais de GPS é o maior perigo. Ele explica que os receptores GPS são dispositivos de baixa potência que trava qualquer sinal forte. A falsificação pode ser usada para os crimes graves – enganar um motorista de caminhão de entrega mandar ele entrar em beco escuro. Pode também alterar as rotas dos veículos de emergência.

  Ainda não há relatados de falsificação de GPS para atos criminosos, mas Johnston aconselha que o governo e as empresas trabalhar para impedir tais ataques.

  Uma das recomendações do especialistas é o uso de criptografia forte e mais cuidados com a redes sociais. A adoção de software para monitoramento das redes corporativas pode aliviar alguns medos e ajudar os executivos de segurança a dormir com mais tranquilidades, mesmo que os cibercriminosos continuem apresentando novas ameaças.

  Fonte: Computer World

  Tags: Ameaças, CSO, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Dicas para ter uma equipe de segurança afinada

  
  11 de November de 2011
  

  Para um líder do segurança da informação, Tim Williams é muito modesto. Como ex-chefe da ASIS Internacional, entidade do segmento, e agora como diretor de segurança global da informação Caterpillar, fabricante norte-americana de tratores, ele reconhece que seu trabalho não seria bem-sucedido se não fosse sua equipe.

  O Chief Securtiy Officer (CSO) sente-se mais confortável em falar sobre seu time do que de si mesmo. Seu discurso é desprovido da primeira pessoa. Para se ter uma ideia, ele recusa-se a ser fotografado para reportagens sobre o seu trabalho de segurança, dizendo que membros de sua equipe é que merecem o crédito.

  Criar e manter o espírito de equipe são vitais para Williams, que ingressou na Caterpillar em 2006, após ter passado pela Nortel, Boise Cascade e Procter & Gamble. Em uma cultura home-office-centric, ele rapidamente montou uma equipe baseada na estratégia de gerenciamento de risco de segurança e ambientes sociais (do inglês ESRM).

  Abaixo veja cinco medidas que ele colocou em prática para revitalizar a equipe e mitigar os riscos em toda a empresa:

  1- Repense tudo. Depois de identificar como a equipe de segurança, que conta com 56 pessoas, trabalhava Williams esforçou-se para estabelecer uma equipe global focada em ESRM. Essa estratégia tem uma visão holística dos riscos para as pessoas, redes e propriedade intelectual. O executivo sentiu que a Caterpillar contava com algumas exposições que precisavam ser tratadas imediatamente. Duas questões eram críticas: a equipe de segurança estava baseada quase que exclusivamente na sede em Peoria, Illinois (EUA), e havia concentração incomum da segurança física.

  “Nós direcionamos a responsabilidade da segurança física de volta para os administradores de escritórios ao redor de Illinois. Mudamos o parceiro terceirizado e estabelecemos relacionamentos em instalações com pessoas que poderiam gerir o ambiente mais de perto”, diz o executivo.

  Ele estabeleceu ainda diretores regionais de segurança que atendem Ásia, Europa, Oriente Médio e Américas. “Fomos capazes de atrair alguns dos melhores talentos do mercado”, lembra. Entre eles estava Graham Giblin, diretor de segurança para  Europa, Oriente Médio e África. “Nosso foco é a transição para um olhar global”, diz Giblin.

  O executivo escreveu um plano operacional de três anos detalhando a visão estratégica do grupo alinhado aos objetivos corporativos, papéis e responsabilidades. A passagem do executivo pela P&G deu a ele, diz, um senso de atenção especial na gestão de processos, o que lhe serviu como base para a reestruturação da equipe.

  “Se você não tem os processos claramente definidos em uma estratégia bem-escrita, pode perseguir o que outros grupos acreditam ser prioridade versus as questões que realmente representam o maior risco ou ameaça para a empresa”, aponta Williams. “Articulamos nosso plano com grupos de funcionários, líderes empresariais, e nossa diretoria executiva e ainda o conselho. Feito isso, partimos para a urgente execução do plano”, lembra.

  Nem todos participaram da transição. “Muitos de nossos colegas queriam voltar a executar o papel de antes. A função global não era o que eles estavam preparados ou interessados”, diz o gestor. Ao todo, o time de segurança perdeu mais da metade do grupo original. Felizmente, muitos encontraram outras funções na empresa.

  Mover-se para a nova estratégia causou surpresa e mudou a cultura da organização. Para facilitar a transição, Williams contou com a ajuda de alguns especialistas em recursos humanos e um comunicador interno (que é tema da dica número quatro) para ajudar as pessoas a entender o que estava acontecendo e por qual motivo.

  2-Formalizar funções. Logo após sua chegada, Williams colocou em prática processos de gerenciamento de crise global e pessoal, como parte do esforço para reestruturar a segurança da companhia. Esses processos eram supervisionados pelos diretores regionais de segurança.

  Todd Wagner trabalhava com computação forense na Caterpillar quando foi recrutado para a gestão de crises. “Nós não tínhamos um grupo formal naquela época”, recorda. “Agora, temos de lidar com eventuais crises que possam ter impacto da Caterpillar. Desde as catástrofes naturais ao terrorismo, passando por grandes rupturas em nossa cadeia de fornecimento”, aponta. Wagner transferiu sua experiência como líder do FBI Terrorism Center para o novo papel, o coordenador de crise da fabricante.

  A equipe de gerenciamento de crise teve de se mobilizar para apoiar a equipe no Japão durante o terremoto e o tsunami registrado em março deste ano. A Caterpillar imediatamente enviou um gestor de crises para a área. “Nossa primeira prioridade era assegurar que o pessoal estava seguro”, lembra Wagner. A organização conta com 5 mil funcionários em três fábricas japonesas. Uma delas, pouco mais de 100 quilômetros do local do desastre, região que estava fora da zona de evacuação.

  “Sempre que estiver diante de uma situação como essa, localizamos os viajantes, expatriados e empregados locais e verifique se eles estão seguros”, aconselha Wagner. A Caterpillar, por exemplo, tem programas internos para monitorar executivos que estão em viagem de negócios.

  “Nós não paramos até chegar até eles e confirmar que estão seguros. Se não pudéssemos fazer isso, recorríamos às autoridades locais. Trabalhamos também com uma empresa local que pode nos ajudar a acompanhar a pessoa.”

  Todo o pessoal da Caterpillar e seus familiares foram finalmente contabilizados. Até agora, a empresa tem mantido o time fora da zona de desastre, mas Williams, Wagner e o resto da equipe estão monitorando a situação, incluindo os níveis de radiação. A produção foi reduzia, mas não parou com a crise.

  Coincidentemente, pouco antes do desastre natural que atingiu o Japão, Wagner participou de um exercício de preparação executado pelo Departamento de Segurança Interna. “Fizemos uma simulação envolvendo um terremoto em Illinois.”

  Agora, catástrofes nucleares fazem parte da lista de riscos que os funcionários da Caterpillar devem ficar atentos, onde quer que estejam.

  3-Linguagem dos negócios. Karen Frank lembra-se do dia, no início da atuação de Williams como CSO, quando ele agendou uma reunião com todos os funcionários para dizer que eles deveriam considerar seriamente um curso de MBA, se não o tivessem feito. “Eu nunca tinha pensado nisso”, diz Karen, gerente de proteção de marca e investigações da organização.

  Ela decidiu tirar proveito da bolsa que a Caterpillar concede para cursar uma especialização. “A ênfase que Williams deu sobre o crescimento e o desenvolvimento pessoal me fez sentir importante”, diz ela. “Você pode apoiar os negócios muito melhor se entender os princípios do processo decisório da empresa”, pontua.

  “Eu realmente vi o benefício e a capacidade de falar com profundidade com líderes empresariais do ponto de vista dos negócios”, diz.

  A nova geração de líderes de segurança entende dos negócios, assim como entendem de segurança, aponta Williams. “Muitos preferem um profissional da área negócios como o vice, em vez de uma pessoa de segurança, a segurança é mais fácil de enraizar”, acredita Williams. “Estou orgulhoso de ser alguém que entende de ambos os mundos. Não podia ter tido sucesso como CSO de uma companhia Fortune 100 se não fosse dessa forma”, acredita.

  4-Direcionar um líder de comunicações para segurança. Williams fez algumas mudanças radicais quando passou a atuar na Caterpillar. Além de pedir a ajuda do RH, convidou Ashley Hunt, do escritório de assuntos públicos, para ser o comunicador de segurança. Incomum? Sim, mas de valor inestimável, de acordo com ele.

  Ashley ajudou a comunicar a reorganização da equipe de segurança tanto para os funcionários afetados como para toda a companhia. “Ela ajudou os colaboradores a entender os riscos reais que elas enfrentavam”, diz Williams. “Ashley é uma multiplicadora de forças para nós”, reforça.

  Hoje, ela tem um papel pró-ativo. Todo mês, Ashley publica um boletim de segurança na intranet da companhia com informações de percepções sobre temas como segurança nas viagens, scams e fraudes. Ela inclui ainda alguns artigos de consciência geral.

  “Ajudamos as pessoas a compreender os riscos de segurança real na Caterpillar. Queremos mudar essa percepção e do papel que cada funcionário desempenha na criação de um ambiente seguro”, diz Ashley.

  “Todos os funcionários que viajam têm a oportunidade de participar de treinamentos on-line de conscientização de segurança, receber alertas de segurança enquanto viajam e têm acesso a conselhos de segurança de viagens 24 horas por dia, sete dias da semana”, completa a executiva. Ela direciona metade do seu tempo com segurança e o restante com assuntos corporativos em geral.
  
  5-Opiniões diferentes são bem-vindas. Williams incentiva sua equipe a discordar das atividades de segurança. “Ele respeita as opiniões”, diz Karen. “Em nossa equipe, as conversas são abertas”, diz o executivo.

  Mas, de acordo com ele, não é apenas discordar, ninguém pode dizer que não concorda. “As pessoas devem apontar se acham que devemos olhar para algo de uma perspectiva diferente. É saudável ter diferentes opiniões sobre questões. Nos mantém longe das armadilhas do pensamento individual”, afirma.

  Na Caterpillar, a voz do funcionário é importante. Talvez mais do que na maioria das empresas. Na maioria dos países, “ainda há uma lacuna entre o que as pessoas pensam e o que elas podem dizer”, diz Williams. “O que eles querem é a oportunidade de influenciar nas decisões”, completa.

  Não importa onde os funcionários da Caterpillar estão localizados, eles têm pelo menos uma característica em comum: o conhecimento de que a empresa como um todo é mais importante que seus membros individuais. O CSO aprendeu isso da maneira mais difícil quando elogiou um de seus diretores regionais de segurança por um trabalho bem feito. O executivo quase se demitiu por acreditar que o crédito deveria ser de toda a sua equipe.

  Williams diz ter orgulho da equipe que montou. Como trabalha em um plano de segurança para os próximos cinco anos, ele confia em cada um que está ao seu lado. “Cada um faz um ótimo trabalho”, finaliza.

  Fonte: CIO

  Tags: Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Cinco maneiras de atingir objetivos de segurança

  
  9 de November de 2011
  

  Segurança pode ser uma questão corrente para os executivos de negócios, mas em um ambiente de incerteza econômica, já em curso, o apoio a iniciativas de segurança nem sempre é fácil de obter. Principalmente e algum gasto extra estiver em jogo.

  “Não há carta branca para a segurança”, diz Roland Cloutier, CSO da ADP. Dave Cullinane, CISO do site de leilões eBay, concorda. “Saber onde estamos gastando, que despesas são ou não apropriadas e os riscos que corremos, é um bom caminho para evitar tornar ainda mais difícil a aprovação de investimentos em segurança”, diz ele.

  A COMPUTERWORLD perguntou a várias CSOs dicas de boas práticas, compiladas na forma de nove táticas para obter manter as iniciativas de segurança em movimento, apesar de inúmeros obstáculos.

  1. Faça o cálculo

  Com os orçamento mais apertadas do que nunca, é crucial apresentar números concretos que reafirmem a importância do seu projeto ou iniciativa. “Se for apenas para melhorar marginalmente o nível de segurança, nem pense em solicitar recursos extras”, diz Richard Gunthner, CSO da Mastercard. “É preciso haver um retorno sobre o investimento que faça sentido.”

  Com tantas ameaças potenciais, uma grande parte do trabalho dos CSOs será identificá-las, calcular os riscos, quantificar as perdas e estimar o ROI da correção pretendida. “Se eu puder demonstrar que um investimento de 6 milhões dólares irá resultar em uma redução do risco 300 milhões de dólares, o CFO compreenderá”, diz Cullinane. “Mas você tem que provar que a iniciativa irá resultar redução de gastos. Essa quantificação é a parte mais difícil.”

  Um bom caminho é acompanhar os resultados. “Mostre o ponto onde começaram a investir, e os problemas evitados ao longo de um curto período de tempo que justificaram cada centavo investido”, diz Cullinane. Depois de construir credibilidade, o dinheiro virá mais facilmente. “Eu estou dando de volta ao CFO 5 dólares por cada dólar que ele me dá. Por isso ele está disposto a me dar mais” diz Cullinane.

  Idealmente, você deve mostrar o investimento vai fechar um buraco que você tem em sua organização que resultou em um lapso de segurança diretamente relacionado a uma perda financeira. Se você não pode fixá-lo a um evento interno, mostre o que aconteceu em outra empresa, de preferência do mesmo ramo de atuação.

  “Isso mostra que você não é alarmista, mas realista, já que o problema pode ocorrer de fato, e, portanto, há um risco que precisa ser debelado”, diz Gunthner. “Isso torna o investimento em segurança muito mais fácil de vender.”

  2. Mostre a relação com o negócio

  Mesmo se você não possa obter números concretos, certifique-se de que seu pedido de financiamento das iniciativas de segurança está alinhado com os interesses de negócios, diz Cloutier. Se a maior preocupação da empresa estiver no topo da linha da receita, como você pode ajudar a mantê-la ainda mais rentável, mais rápido? Se a preocupação é a redução da despesa, o que pode fazer a segurança para reduzir a fraude e desperdício?

  “Se você pode articular isso e mostrar uma ligação direta, não apenas um discurso que aponta para alguma coisa, a chance de obter apoio dos líderes empresariais para seus esforços de segurança aumenta.”

  3. Cuidado com a linguagem

  Você não vai chegar longe nos pedidos de seus gastos, se não ajustar a sua mensagem para o público, seja ele o conselho executivo, o grupo de TI ou o pessoal da área de gerência.

  “Você deve manter a mensagem para ajustar o discurso para cada potencial cliente”, diz Jason Clark, chefe de segurança e diretor de estratégia da Websense, provedora de soluções de segurança. “O pessoal de TI se preocupa com os detalhes operacionais, mas a diretoria, não.”

  Alan Nutes, gerente sênior de segurança e gerenciamento de incidentes na Newell Rubbermaid, concorda. “Se você está falando para a gerência sênior, utilize palavras que façam parte do vocabulário dos executivos C-level.”, diz ele. “Um profissional de segurança pode dizer ‘prevenção de perdas” para uma platéia de executivos que vai entender “gestão de ativos.”

  Por exemplo, para explicar para executivos a necessidade de um firewall a mais, você pode usar a metáfora da necessidade de novos freios em um carro, não para parar, mas para ir mais rápido, com segurança, sugere Clark. “Ou se os executivos quiserem usar iPads, você passe a ser o cara que, em vez de dizer vetar o uso, dirá ‘sim, mas só com esse pedaço extra de software na rede para suportá-lo.”

  O fato é que a maioria dos executivos de negócio somente se preocupa com violações de segurança quando a exposição de riscos deixa bastante claro que uma falha pode afetar o negócio, e o seu trabalho como líder de TI é mostrar essa conexão para eles.

  4. Torne as questões pessoais

  Se quiser obter a atenção de alguém, coloque a questão em seu quintal. Depois que as pessoas sentem-se responsáveis, vão ter interesse em defender sua proposta de investimento extra em segurança. “Issa é uma estratégia poderosa. As pessoas não querem ser vistas como responsáveis ​​pelo risco. Correr para que se tornar adeptas a ajudar a atenuá-lo”, diz Cloutier. “Não se trata de medo e incerteza, é sobre se sentir responsável por um problema na sua área e decidir que podem ajudar a resolvê-lo.” A técnica estimula uma abordagem de parceria, que impulsiona os recursos necessários.

  Clark concorda. Ele usa um dispositivo criado por ele no início de sua carreira, que chama de gráfico “Good, Bad e Ugly” (em tradução livre para o Português, algo como “Bom, Rui, e Perigoso”). O diagrama mostra onde cada divisão está em seu progresso em iniciativas de segurança. Em uma empresa, Clark compartilhou este gráfico com o CEO e solicitou que ele desse apoio à iniciativa da área de segurança em seu discurso trimestral. Não só o CEO promoveu o projeto,como também repreendeu publicamente o presidente de uma divisão que tinha resistido muito em adotar o projeto. “Logo depois, todos vieram me procurar para sav=ber o que precisavam fazer para recuperar o atraso”, diz Clark.

  5.Antecipe-se

  Não é preciso ser um vidente para prever as preocupações e as perguntas que as parte interessadas certamente farão. Tudo o que é necessário é um estudo rápido do comportamento humano. “Algumas pessoas gostam de levantar questões polêmicas”, diz Gunthner. Por exemplo, o RH pode ter uma sensibilidade especial para as relações com os empregados, enquanto o pessoal da área de infraestrutura se preocupa mais com ativos fora de lugar. “Procure enumerar as preocupações mais comuns e estar pronto para respondê-las e até resolvê-las com antecedência. Isso aumentará as chances da iniciativa de segurança ser bem recebida”, diz ele.

  “Para ser um agente de mudança, você tem que ser criativo e expressar as coisas de maneiras interessantes, para que pareçam não terem sido ouvidas antes”, diz Clark. “Muitas vezes, as pessoas já alinharam suas objeções. Por isso você tem que pensar dois passos à frente.”

  Fonte: CIO

  Tags: Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Quatro previsões em segurança da informação para 2012

  
  4 de November de 2011
  

  O ano está chegando ao fim, mas as ameaças de segurança não mostram sinal de cessar. Para que companhias possam se preparar no quesito proteção de dados em 2012, Steve Durbin, vice-presidente de vendas e marketing da instituição de segurança Information Security Forum (ISF), lista quatro principais pontos de atenção sobre o tema.
  
  Consumerização de TI

  A primeira tendência é o rápido crescimento da consumerização de TI [no qual funcionários levam para o trabalho dispositivos móveis pessoais que acessam a rede corporativa]. Esse fenômeno fez com que a área de segurança se desdobrasse para lidar com o gerenciamento e a proteção de dados que são armazenados na empresa e nos equipamentos pessoais.

  “Essa onda vai levar a falhas no cumprimento legal e na divulgação de informações de negócios”, afirma Durbin. De acordo com ele, mesmo que as organizações estejam cientes desse risco, “vamos ver problemas relacionados à cosumerização nos próximos 12 meses”.

  Aumento de incidentes de hacking

  Não surpreendentemente, Durbin aponta que as perdas de informação deverão continuar no âmbito corporativo e pessoal, impulsionadas por ataques de hackers. “É por isso que os compromissos de organizações para evitar cenários como esses vão se manter, a exemplo da Sony que teve a rede invadida recentemente”, afirma.

  “Não acho que algumas empresas estão levando essas ameaças a sério, porque ainda há tanto espaço para que os dados sejam roubados que nós vamos ver algumas brechas grandes e hacks vão impactar na reputação empresarial e na confiança do consumidor.”

  Proteção na nuvem

  O aumento dos custos que estão associados à oferta de cloud computing e os ataques externos na nuvem vão aumentar, de acordo com Durbin.

  “Enquanto um número de organizações estão implementando estratégias para a segurança na nuvem e para estar em linha com a conformidade, ainda temos um caminho a percorrer em determinadas áreas, principalmente porque muitas organizações ainda não sabem onde há uma cloud implementada em seus negócios”, afirma .

  Perda de dados

  As pessoas estão cada vez mais fazendo uso da tecnologia como smartphones e tablets, aponta o especialista em segurança. Segundo ele, esse quadro aumenta a perda de equipamentos e de informações valiosas. Além disso, a distribuição de malware conduzirá o aumento do risco de perda de informações comerciais e de fraude.

  Durbin acrescenta que todos os desafios apontados acima poderiam ser ultrapassados se as empresas aumentarem a conscientização do usuário e da segurança. “Tentamos colocar essa ideia em prática para que os profissionais entendam os riscos e continuem a executar suas atividades sem problemas”, finaliza.

  Fonte: Computer World

  Tags: Dados, Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Sete razões para apostar em virtualização

  
  20 de October de 2011
  

  As maiores organizações administram tipicamente 470 máquinas virtuais e 113 servidores de hospedagem, de acordo com o estudo “V-Índice”, da Bourne Vanson, realizado no Reino Unido, Estados Unidos, França e Alemanha. Nesses mercados em todos os países, a média é de 39% dos servidores virtualizados. Mais de nove em cada dez empresas usam a virtualização de alguma maneira. Quatro em dez apontam as preocupações com a confiabilidade como barreira para usar mais a virtualização. Uma proporção semelhante também espera atualizar o hardware primeiro.

  No Brasil, pesquisa conduzida pela consultoria IDC, a pedido da Unisys, e divulgada neste mês, aponta que 70% das 101 companhias consultadas disseram que estão investindo em virtualização, consolidação e/ou estandardização do ambiente. O número, mostra o levantamento, está em linha com a média dos demais países pesquisados.

  Há boas razões para a virtualização ser usada tão extensivamente pela maioria dos data centers corporativos: ela oferece uma economia atraente em hardware, uso de energia, custos de gestão, e suporta grande tolerância a falhas. Se você ainda não está usando virtualização, comece a pensar seriamente a respeito. Veja os motivos.

  1. Permite obter máximo proveito do seu servidor.

  Normalmente, muitos servidores operam na maior parte do dia em níveis muito baixos de utilização. Adicionando múltiplos SOs e aplicativos, é possível tirar o máximo proveito dos recursos do servidor. Uma vez que muitas máquinas virtuais podem ser executadas em um servidor, você reduz substancialmente a despesa total com hardware.

  2. Permitirá a configuração de servidores redundantes para melhorar a tolerância a falhas.

  Hipervisors permitem migrar sistemas operacionais e seus aplicativos de um sistema para outro. Se um servidor de hardware ou de sistemas operacionais e aplicativos rodando sobre ele falhar, os sistemas operacionais e aplicativos podem ser movidos para outro hypervisor rodando em um servidor físico diferente.

  Grandes servidores são configurados normalmente para melhor tolerância a falhas do que os servidores de pequeno porte. Dois servidores de grande porte, por exemplo, podem permitir a migração de aplicações e fornecer tolerância a falhas melhor do que uma dúzia de servidores de pequeno porte. E ainda usam menos energia e são mais fáceis de gerenciar.

  3. Gerenciamento é simplificado.

  Já que todos os sistemas operacionais em um hypervisor podem ser administrados por meio de uma interface única, e podem usar mais recursos de computação, conforme necessário, pode ser muito mais fácil gerenciar uma dúzia de servidores virtuais do que uma dúzia de sistemas físicos separados. Cada sistema operacional deve continuar a ser gerido separadamente. Feramentas add-on estão disponíveis para simplificar esse processo.

  4. Você pode definir partições em sistemas operacionais separados para maior confiabilidade.

  Normalmente, um servidor físico será executado em um sistema operacional, que terá vários servidores de aplicações instalados nele – um servidor Web, um servidor de e-mail, um servidor de banco de dados, e assim por diante.

  No entanto, a execução de vários servidores de aplicações em um único sistema operacional aumenta a possibilidade de que uma aplicação interfira na outra, causando gargalos ou mesmo acidentes. Com o particionamento, e as aplicações rodando em diferentes máquinas virtuais, cada uma tem seu próprio sistema operacional e recursos, e é menos provável que interfira em outras aplicações.

  5. Provisionamento de novos servidores para testes de protótipos, e migração simplificada.

  Com a virtualização, a criação de um servidor adicional para testes demora alguns minutos e não requer nenhum hardware adicional. Em contraste, a compra de um novo servidor físico (ou a manutenção de servidores extras para testes) é mais cara e a instalação de sistema operacionais e aplicativos também bastante demorada.

  Já as máquinas virtuais existentes podem ser clonadas com todas as configurações do sistema operacional e aplicações, em um processo muito simples de duplicação de um sistema de produção para teste de novos patches ou uma nova versão de um aplicativo.

  6. Você pode economizar energia.

  Embora avanços tenham sido feitos em eficiência energética para servidores, ainda é mais barato executar um ou dois grandes servidores do que uma dúzia ou mais de servidores tradicionais. Sem contar que servidores virtuais permitem que os recursos sejam desligados quando não estiverem em uso, reduzindo ainda mais o uso de energia. Um grande servidor que hospeda dezenas de VMs pode substituir dezenas de servidores de pequeno porte e gastar menos energia.

  7. Com a virtualização de desktops você pode economizar uma fortuna em PCs.

  Além de virtualizar sistemas operacionais e aplicativos de servidor, você pode querer considerar a virtualização de desktops. A VDI permite que você execute um thin client em desktops existentes ou hardware novo, e tenha acesso virtual ao Windows 7 ou outro sistema operacional. Isso significa que você pode oferecer desktops Windows 7 para usuários cujos sistemas existentes não suportam o Windows 7 rodando localmente. A gestão também pode ser simplificada, uma vez que os patches para o Windows e os aplicativos podem ser aplicados uma só vez e estarem disponíveis para todos no servidor VDI.

  Fonte: Computer World

  Tags: Dicas, segurança, Virtualização
  Publicado em Boas práticas | Nenhum comentário »

• 5 truques de Engenharia Social que os golpistas usam para enganar você

  
  4 de October de 2011
  

  

  Você agora pode conhecer o bastante sobre tecnologia para saber que se trata de um golpe quando um amigo chega no Facebook dizendo que foi assaltado em algum lugar e precisa desesperadamente de dinheiro. Mas os “engenheiros sociais” – criminosos que criam esses esquemas para tentar te enganar, estão sempre um passo à frente.

  Os ataques de engenharia social estão ficando cada vez mais específicos, de acordo com Chris Hadnagy, autor do livro Social Engineering: The Art of Human Hacking. “Os ataques direcionados estão proporcionando melhores resultados aos engenheiros sociais”, diz.

  Isso significa que eles podem precisar trabalhar mais para descobrir informações pessoais, e que isso pode levar mais tempo, mas a recompensa geralmente costuma ser maior.

  “Os ataques agora não são apenas um esforço amplo de spams, enviando um milhão de e-mails com uma oferta de Viagra”, afirma Hadnagy. “Existem agora ataques individuais em que eles vão atrás das pessoas separadamente, uma por uma.”

  Confira abaixo cinco novos golpes de engenharia social na web que empregam muito mais envolvimento individual:

  1) “Somos da equipe de suporte da Microsoft – queremos ajudar” (“This is Microsoft support – we want to help”)

  Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas ultimamente. Ele começa com uma ligação telefônica em que alguém afirma ser do serviço de suporte da Microsoft e diz que está ligando por causa de um número anormal de erros que teriam origem no seu computador.

  “A pessoa do outro lado da linha diz que quer ajudar na solução porque há uma falha e eles tem feito ligações para usuários licenciados do Windows”, explica Hadnagy. “Faz sentido; você é um usuário licenciado do Windows, tem uma máquina com Windows e ela quer provar isso para você.”

  A pessoa que ligou diz para a vítima ir até o event log (visualizador de eventos) da máquina e a acompanha pelos passos até chegar ao log do sistema.

  “Todo usuário do Windows terá dezenas de erros neste log, simplesmente porque acontecem pequenas coisas; um serviço trava, algo não inicializa. Sempre existem erros”, afirma Hadnagy. “Mas quando um usuário sem experiência abre isso e vê todos esses erros, parece assustador.”

  Nesse ponto, a vítima está desesperadamente pronta para fazer qualquer coisa que o suposto funcionário do “suporte” pedir. O engenheiro social então aconselha-os a ir até o site Teamviewer.com, um serviço de acesso remoto que dá a ele controle da máquina.

  Uma vez que o cracker tiver acesso à máquina por meio do Teamviewer, ele pode então instalar algum tipo de rootkit ou outro tipo de malware que permitirá a ele ter acesso contínuo ao sistema, afirma Hadnagy.

  2) “Faça uma doação para ajudar as vítimas do (alguma tragédia)!” (“Donate to the hurricane recovery efforts!”)

  Golpes de doações para caridade têm sido um problema há anos. A todo momento temos desastres de grandes proporções no mundo, como o terremoto no Haiti ou tsunami no Japão, e os criminosos rapidamente entram no jogo e lançam sites falsos de doações. A melhor maneira de evitar isso é indo a uma organização conhecida e de boa reputação, como a Cruz Vermelha, e iniciar o contato por conta própria se quiser fazer uma doação. No entanto, Hadnagy afirma que surgiu há pouco tempo um tipo particularmente desprezível de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais.

  Neste exemplo, Hadnagy diz que, entre 8 e 10 horas após o incidentes, o site aparece dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. Eles alegam ter acesso as bases de dados do governo e informações de recuperação. Normalmente os engenheiros não pedem por informações financeiras, mas exigem nomes, endereços e informações de contato, como números de telefone e e-mail.

  “Enquanto você está esperando para ouvir sobre a pessoa, recebe um pedido de doação para caridade”, diz Hadnagy. “A pessoa da suposta instituição de caridade normalmente vai iniciar uma conversa e dizer que está coletando contribuições porque tem uma relação mais passional com a causa porque perdeu um membro da família em um desastre parecido. Secretamente, eles sabem que a pessoa que contataram também já perdeu alguém, e isso ajuda a criar uma suposta camaradagem.”

  Tocada pela pessoa que entrou em contato, a vítima então oferece um número de cartão de crédito pelo telefone para fazer a doação para “caridade”.

  “Agora eles tem seu endereço, seu nome, nome do seu parente e também do seu cartão de crédito. Basicamente todas as informações que eles precisam para cometer um roubo de identidade”, explica Hadnagy.

  3) “Sobre sua inscrição para a vaga de emprego…” (“About your job application…”)

  Tanto pessoas buscando empregos quanto empresas de recrutamento estão sendo atacadas por engenheiros sociais.

  “Esse é um golpe perigoso, para os dois lados”, afirma Hadnagy. “Seja a pessoa buscando trabalho ou a companhia postando novas vagas, ambas as partes estão dizendo ‘estou disposto a aceitar arquivos anexos e informações de estranhos.”

  De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de uma empresa americana por meio de uma transferência não-autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego.

  “O malware estava incorporado em um e-mail de resposta a uma vaga de emprego que a companhia colocou em um site de recrutamento e permitiu ao cracker conseguir as credenciais bancárias online da pessoa que estava autorizada a realizar transações financeiras na companhia”, afirma o aviso do FBI. “O invasor alterou as configurações da conta para permitir o envio de transferências protegidas, sendo uma para a Ucrânia e duas para contas domésticas.”

  4) “@pessoanoTwitter, o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt” (“@Twitterguy, what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt”)

  Os engenheiros sociais estão observando o que as pessoas estão tuitando e usando essa informação para realizar ataques que parecem mais críveis. Uma maneira disso acontecer é na forma de hashtags populares, de acordo com a companhia de segurança Sophos. Na verdade, o início da nova temporada da série “Glee” no começo deste mês na Inglaterra fez com que os cibercriminosos “sequestrassem” a hashtag #gleeonsky por várias horas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada, mas os spammers tomaram conta dela rapidamente e começaram a incorporar links maliciosos nos tuítes com o termo.

  “Obviamente que os spammers podem escolher redirecionar para qualquer site que quiserem uma vez que você tenha clicado no link”, afirma o consultor sênior de tecnologia da Sophos, Graham Cluley. “Poderia ser um site de phishing desenvolvido para roubar suas credenciais no Twitter, uma farmácia falsa ou um site pornô.”

  “Acho que veremos ainda mais ataques desse tipo em mídias sociais por causa da maneira como as pessoas clicam nesses links”, afirma Hadnagy.

  5) “Saiba como ter mais seguidores no Twitter!” (“Get more Twitter followers!”)

  A Sophos também faz um alerta sobre serviços que dizem conseguir mais seguidores no Twitter. De acordo com Cluley, serão cada vez mais comuns mensagens como “QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOCÊ ME SEGUIR – (LINK)”.

  Clicar nesse link leva o usuário para um serviço na web que promete conseguir muitos novos seguidores.

  O próprio Cluley criou uma conta teste para ver o que acontecia.

  “As páginas pedem para você digitar seu nome de usuário e senha do Twitter”, afirma Cluley em um post no blog sobre o experimento. “Isso deveria fazer você sair correndo – por que um site de terceiros deveria pedir suas credenciais? O que os donos dessas páginas estão planejando fazer com seu nome de usuário e senha? É possível confiar neles?”

  Cluley também colocou que o serviço admite não ser apoiado ou afiliado ao Twitter, e que para usar o serviço, você precisar autorizar o aplicativo a acessar sua conta. A essa altura, todas as garantias de segurança e uso ético já eram, afirma o especialista. O próprio Twitter avisa aos usuários para tomarem cuidado com esses serviços em sua página de informações de ajuda.

  “Quando você fornece seu nome de usuário e senha para outro site ou aplicativo, está passando o controle da sua conta para outra pessoa”, explica uma das regras do Twitter. “Elas podem então postar atualizações e links duplicados, maliciosos ou spam, enviar mensagens diretas não desejadas, seguir outros usuários de modo agressivo, ou violar outras regras do Twitter com a sua conta. Alguns aplicativos de terceiros já foram implicados em atos de comportamento de spam, fraude, venda de nomes de usuários e senhas e golpes de phishing. Por favor, não forneça seu nome de usuário e senha para aplicativos de terceiros que você não conheça ou tenha pesquisado com cuidado antes.”

  Fonte: IDGNow

  Tags: Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Como evitar a perda de dados corporativos

  
  27 de September de 2011
  

  

  Com base nos resultados do estudo sobre Segurança da Informação nas Empresas, divulgado hoje (23/9) pela Symantec, que identificou que as empresas estão preocupadas com a proteção de seus ambientes, a companhia recomenda cinco iniciativas para evitar perda dos dados corporativos.

  Políticas de TI

  É preciso desenvolver e aplicar políticas de TI. Depois de priorizar riscos e definir políticas que envolvam todos os ambientes, as empresas podem aplicá-las por meio de processos automatizados e fluxos de trabalho que protejam as informações, identifiquem ameaças e corrijam incidentes ou se antecipem a eles.

  Sempre alerta

  As companhias precisam garantir a proteção pro-ativamente, com uma abordagem centrada nas informações para proteger tanto os dados quanto as interações.

  De acordo com a Symantec, adotar uma abordagem sensível ao conteúdo para proteger as informações é fundamental para identificar e classificar dados confidenciais e críticos, conhecendo onde eles estão armazenados, quem tem acesso a eles, e como estão chegando ou saindo da empresa. Criptografar os endpoints também ajudará as organizações a minimizar as consequências associadas a perdas de dispositivos.
  
  Autenticação

  Para ajudar a controlar os acessos, os administradores de TI precisam validar e proteger a identidade de usuários, sites e dispositivos em toda a organização. Além disso, precisam fornecer conexões confiáveis e autenticar transações, quando necessário.

  Ambiente em dia

  A Symantec recomenda que as organizações gerenciem os sistemas por meio da implementação de ambientes operacionais seguros, distribuição e regulamentação de níveis de patche (atualizações), automação de processos para elevar a eficiência, monitoramento e relatórios sobre o status dos sistemas.

  Novas tecnologias sob controle

  Os administradores de TI, afirma a Symantec, precisam proteger a infraestrutura, garantindo a segurança de todos os endpoints – incluindo o número crescente de dispositivos móveis –, além das mensagens e ambientes Web.

  Proteger os servidores internos críticos e assegurar a capacidade de fazer backup e recuperar dados também devem ser prioridades. Além disso, as organizações precisam de visibilidade, inteligência de segurança e avaliações de malware em seus ambientes para responder às ameaças rapidamente.

  Fonte: CIO.

  Tags: Dados, Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Como criar rapidamente uma cloud privada ou híbrida

  
  26 de September de 2011
  

  O hype em torno da computação em nuvem é difícil de ignorar e como os fornecedores estão, cada vez mais, inserindo a palavra “nuvem” antes de todos os produtos oferecidos, as empresas estão descobrindo que é difícil filtrar o barulho e realmente encontrar quais os produtos que funcionam melhor no data center.

  Embora a capacidade de utilizar a nuvem pública seja atraente, por reduzir a necessidade de gestão de infraestrutura, CIOs e gerentes de data center hesitam em migrar dados importantes e aplicativos para esse modelo. Com esse ponto de vista cauteloso, as companhias estão se voltando para soluções de cloud privada e/ou híbridas, que viabilizam os benefícios de uma nuvem pública, mas mantendo a infraestrutura sob controle próprio.

  A popularidade do modelo fez sua adoção crescer no ano passado, à medida que as empresas buscaram uma maneira mais simples e rápida de infraestrutura de nuvem. Uma nuvem turnkey, ou seja, simples e pronta para o uso, promete alguns benefícios atraentes como simplicidade, rápido roll-out e redução de custos. Ainda assim, muitas organizações têm dúvidas sobre como integrá-la com a rede existente e a infraestrutura de armazenamento.

  Para ajudar as organizações a avaliar, abaixo veja três elementos essenciais para constituir qualquer nuvem turnkey privada e/ou híbrida:

  1. Recursos de automação inteligentes e confiáveis

  Uma nuvem turnkey deve ser capaz de realizar configurações automaticamente quando necessário. Além disso, deve ser capaz de combinar todos os dispositivos conhecidos, descobrir novos dispositivos e compilá-los em um pool de recursos. Com a introdução da computação em nuvem híbrida, a importância para a automação inteligente aumenta significativamente. As empresas precisam ser capazes de acessar de maneira confiável e segura uma nuvem pública quando os recursos não estão disponíveis na cloud privada.

  Um dos elementos mais importantes para assegurar a seleção da solução de turnkey correta é escolher uma tecnologia que não só conta com recursos virtualizados, mas também com recursos físicos e cloud pública. Hoje, quando organizações pensam em soluções de cloud computing parecem voltar às atenções para plataformas que lidam com a virtualização.

  No entanto, essa é apenas uma solução parcial para empresas que têm, em média, 50% das aplicações virtualizadas. A capacidade de fornecer hardware virtualizado que inclui computação, rede e armazenamento, é crucial em uma solução turnkey. Esse sistema é fundamental para controlar a dispersão de recursos e maximizar a utilização.

  2. Adaptadores para a infraestrutura existente

  Integração de uma ferramenta de gerenciamento de cloud em infraestrutura existente é vital. CIOs e gerentes de data centers tentar tirar o máximo proveito da infraestrutura existente. Hoje, a maioria dos ambientes de TI é heterogênea com equipamentos de múltiplos sistemas, rede e fornecedores de armazenamento. Por isso, quando as empresas adotam uma solução de cloud privada, devem ser capazes de trabalhar nesse ambiente.

  Se recursos adicionais precisam ser adotados, a TI não pode hesitar. Uma solução turnkey que não é capaz de fornecer grande variedade de dispositivos pode causar dor de cabeça para a TI.

  Existem milhares de dispositivos de hardware de vários fornecedores de virtualização que contam com um adaptador para cada um dos recursos. Esse cenário é desafiador e empresas devem procurar ferramentas que têm adaptadores pré-construídos para a maioria dos hardware físicos e virtuais. Dell, IBM, HP, NetApp, EMC, Cisco, Juniper, VMware, Citrix, Microsoft e Red Hat são exemplos.

  Criar uma nuvem privada em um hardware existente não só possibilita economia de tempo, mas também gera redução de Capex, já que será possível reutilizar recursos existentes e evitar a aquisição de novos equipamentos.
  
  3. Modelos predefinidos para calcular computação usada, configurações de rede e de armazenamento

  Modelos predefinidos de uma solução em nuvem pode ser uma mão na roda. O maior investimento para a construção de uma nuvem privada está relacionado à concepção e à elaboração dos modelos para as topologias que serão utilizadas.

  Quando uma solução de nuvem turnkey oferece uma biblioteca pré-construída de modelos usados, as empresas podem acelerar significativamente o tempo que leva para operacionalizar uma nuvem privada. Esses modelos predefinidos podem entregar de 50% a 90% do projeto de ambiente privado e tudo o que a companhia precisa fazer são personalizações de TI para alinhar o modelo ao seu ambiente.

  O objetivo de uma solução turnkey é ser capaz, de forma rápida e confiável, converter um ambiente estático existente em um de autoatendimento. E para que esse ambiente seja bem-sucedido, a solução turnkey deve conter os três elementos discutidos. Esses recursos serão fundamentais para empresas que buscam implementar uma nuvem privada ou híbrida.

  Fonte: Computer World

  Tags: Cloud Computing, Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »

• Sua empresa está preparada para reagir a uma catástrofe?

  
  9 de September de 2011
  

  Em julho de 2005, uma série de atentados suicidas no sistema de trânsito de Londres matou 56 pessoas e levou caos à cidade. Na sede, nos Estados Unidos, o CEO de uma empresa financeira multinacional com escritórios em Londres fez uma pergunta que parecia simples e essencial: “Todo o nosso pessoal está bem?”

  O mais difícil foi obter uma resposta. Em primeiro lugar, porque não havia uma listagem centralizada de todos os funcionários da empresa, atualizada de acordo com as contínuas mudanças no quadro de pessoal. Tampouco existia uma listagem centralizada com informações de localização e contato de cada funcionário. E, mesmo que houvesse, não incluiria os prestadores de serviços, que, no entanto, encaixavam-se na definição de “nosso pessoal” do CEO.

  No fim das contas, foi difícil fazer contato até com os funcionários que a companhia sabia que estavam em Londres, mesmo tendo seus endereços e números de telefone.“O transporte foi paralisado e os serviços de telefone celular e SMS foram interrompidos”, recorda Andrew Marshall, diretor da Consultifi, que ajuda as empresas a entender os riscos aos negócios. Em suma: os departamentos de RH e TI da empresa foram incapazes de dar uma resposta rápida ao CEO.

  Qualquer líder de TI pode tirar muitas lições dessa história. Para começar, não existem lugares seguros. Todos estão sujeitos a transtornos. Também é importante ter um plano que explicite as responsabilidades de cada indivíduo e que inclua todas as informações de que o líder de TI necessitará. E, por fim, é preciso ter um sistema de comunicação redundante, uma vez que os métodos “normais” de comunicação provavelmente irão falhar – em especial, o serviço móvel, que rapidamente fica sobrecarregado com o aumento de demanda local durante uma crise.

  Hoje, é praticamente impossível deixar de ter pelo menos algumas preocupações em relação a sistemas, a dados e a empregados, principalmente fora da sede da empresa. Durante pesquisa realizada em 2010 junto às cem maiores empresas globais de tecnologia, 55% dos executivos se mostraram preocupados com catástrofes naturais, guerras, conflitos e ataques terroristas. Quando os mesmos executivos foram ouvidos novamente, em 2011, o percentual subiu para 81%.

  Neste mundo cada vez mais globalizado e interligado, é fácil perceber o motivo da inquietação. Na realidade, uma operação substancialmente global está propensa a ser afetada por perturbações em algum lugar e com muita regularidade. Quedas de energia, catástrofes climáticas, agitações políticas ou mesmo algo tão banal como a âncora de um navio partindo um cabo de fibra óptica ou um raio caindo em uma subestação de energia podem interromper as operações de TI de maneiras inesperadas.

  “Há eventos ocorrendo quase que constantemente, a qualquer hora, em diferentes partes do mundo, seja um bombardeio em Jacarta, uma inundação no Brasil ou um terremoto no Japão”, diz Michael Shea, vice- presidente-executivo de TI da International SOS, empresa que fornece serviços médicos e de segurança para viajantes.

  E mesmo que uma organização tenha poucas operações em regiões instáveis no exterior, é aconselhável avaliar quais eventos podem paralisá-la, afetar seus dados ou ameaçar funcionários. Uma política externa bem- arquitetada deve fazer parte do arsenal de todo CIO. Mas como se preparar efetivamente para qualquer catástrofe que o mundo imponha?

  Aqui vão algumas ideias que podem ser úteis.

  Não tente planejar tudo em todos os lugares

  In omnia paratus. “Pronto para tudo!” À primeira vista, parece uma boa abordagem para proteger as operações de TI de todos os perigos no exterior. E, de fato, alguns líderes de TI adotam a postura de que, se não é possível prever o que pode acontecer a seguir sem nenhuma localização geográfica, a melhor estratégia é estar preparado para enfrentar absolutamente qualquer ameaça em qualquer lugar que ela possa surgir. Certo?

  Errado. Essa visão tem um problema: a impossibilidade de concretizá-la, acredita Dan Blum, analista do instituto de pesquisas Gartner. Tentar se preparar para tudo em toda parte conduz a dois caminhos, nenhum deles ideal. “Uma alternative é dizer que qualquer atitude está adequada, já que não dá para entender de tudo. Outra é ser paranóico e perseguir fantasmas exaustivamente, embora nenhuma organização tenha fôlego para fazer isso durante muito tempo. Os CIOs ou chief information security officers que tentarem atingir e manter um nível muito alto de preparo em toda parte verão sua credibilidade e sua influência diminuírem com o passar do tempo.”

  Pergunte: “E se…?”

  Depois de avaliar os tipos de problemas mais prováveis nas diversas operações da empresa, é hora de se reunir com os principais funcionários e conversar detalhadamente sobre cada um dos diferentes cenários. É uma grande oportunidade de saber o que a alta gerência vai esperar da TI em uma crise. “Verá que em 90% das vezes, alguém dirá: ‘Achei que vocês estariam preparados para isso!’”, alerta Marshall.

  As pessoas tendem a presumir que os sistemas que estavam em execução continuarão funcionando depois de um desastre, observa Marshall. “Quem já trabalhou em uma empresa com armazenamento de dados centralizado sabe que há todos os tipos de equívocos em relação ao que será ou não possível acessar, e que as suposições que são feitas em TI não são as mesmas de outros departamentos”, justifica. De acordo com Marshall, as principais questões a serem cobertas em cada cenário são: a internet estará disponível? E o serviço telefônico? Se for necessário restaurar os dados a partir de um backup, quanto tempo levará? As pessoas pensam que, se existe backup, então os dados estarão disponíveis instantaneamente.

  Outra boa razão para fazer esse exercício é descobrir quais sistemas são mais essenciais para manter a empresa em atividade – e talvez eles nem sejam os mais complexos ou desafiadores do ponto de vista de TI. Em geral, tudo que diz respeito a fluxo de receita é altamente crítico, afirma Terry Assink, vice-presidente de grupo da Brand Velocity, que presta consultoria em implementações de projetos de negócios, e ex-CIO da Kimberly- Clark. É preciso continuar ganhando dinheiro e pagando os funcionários.

  Shea acrescenta que o departamento financeiro pode ser muito necessário em uma situação de crise. Se você estiver no Egito durante um distúrbio social e precisar fretar aviões para retirar pessoas de lá em segurança, por exemplo, necessitará de funcionários da área financeira e de recursos financeiros. Com operações em 70 países, grande parte em mercados emergentes e outras áreas política ou economicamente instáveis, atravessar momentos de crise é a algo natural para a International SOS. A cada três ou quatro semanas um dos planos de continuidade de negócios é ativado.

  Outro benefício da pergunta “E se?” é ajudar a tomar (ou influenciar) decisões melhores sobre onde colocar dados ou operações de TI críticas.

  Adote uma abordagem militar

  Já reparou que soldados, policiais e equipes de emergência, muitas vezes, parecem calmos no meio de uma crise? Eles têm um conjunto específico de regras e procedimentos a ser seguido, que os permite manter o foco e os impede de entrar em pânico enquanto tentam descobrir o que fazer em seguida. Crie um conjunto igualmente bem delineado de planos e procedimentos que seu próprio pessoal deverá seguir em uma situação de crise.

  A International SOS adota essa abordagem. Sua equipe de TI tornou-se adepta da elaboração de planos extremamente detalhados. A maioria não só descreve tarefas e responsabilidades muito específicas que cada funcionário deve assumir em uma crise, como também traz um diagrama do local exato onde sentará na sala de gerenciamento de crises. A informação é reforçada com ensaios. Nas instalações da empresa, existem diagramas e cartazes lembrando os funcionários aonde devem ir em caso de emergência ou o que eles devem informar aos supervisores se um dos telefones internos especiais tocar.

  O mesmo vale para quem está distante do local da crise. Uma tarefa importante, mas muitas vezes esquecida, é informar ao restante da companhia e talvez até seus clientes. Eles devem saber que você tem o controle da crise e entender como ela poderá afetá-los.

  Ao planejar para uma crise, os executivos da International SOS promovem reuniões frequentes com funcionários em diversos locais para definir quem vai executar as tarefas. “Analisamos os departamentos individualmente e elaboramos planos de ação”, conta Jonathan Bar, gerente-geral de Infraestrutura Global. “São uma espécie de fluxograma a ser seguido por cada departamento. Descrevem etapas específicas, com informações e números de telefone de pessoas a serem contatadas. Orientam todas as etapas.”

  Lembre-se de que, muitas vezes, em caso de emergência, poderá ser necessário recorrer à ajuda de todos os funcionários, e não apenas do pessoal de TI ou suporte. Por isso, é importante que todos participem de algumas reuniões de planejamento de crise, salienta Bar. O gerenciamento de crise não é uma função exclusiva da gerência sênior ou mid-level. Todos têm de conhecer e entender o plano de continuidade.

  Fonte: CIO

  Tags: catástrofe, Dicas, segurança
  Publicado em Boas práticas | Nenhum comentário »