Blog do TreinaWeb!

Blog do TreinaWeb

Dicas, notícias e informações sobre cursos, programação, webstandards e desenvolvimento web.

Categorias

Arquivos

Nuvem de Tags

Ambiente Android App Apple BI bing C# carreira Chrome Cloud Computing dica Dicas emprego empresa Empresas Facebook Firefox Gmail Google Google Docs Google Search HTML5 IPhone Java LinkedIn lista Mark Zuckerberg Microsoft Nokia PHP Projeto rede social Redes Sociais segurança SEO smartphone sucesso TI Trabalho twitter Virtualização Windows 7 Wordpress Yahoo YouTube

Posts com a Tag ‘segurança’

« Posts Mais Antigos
Posts Mais Novos »


  • Sete razões para apostar em virtualização


    20 de outubro de 2011

    As maiores organizações administram tipicamente 470 máquinas virtuais e 113 servidores de hospedagem, de acordo com o estudo “V-Índice”, da Bourne Vanson, realizado no Reino Unido, Estados Unidos, França e Alemanha. Nesses mercados em todos os países, a média é de 39% dos servidores virtualizados. Mais de nove em cada dez empresas usam a virtualização de alguma maneira. Quatro em dez apontam as preocupações com a confiabilidade como barreira para usar mais a virtualização. Uma proporção semelhante também espera atualizar o hardware primeiro.

    No Brasil, pesquisa conduzida pela consultoria IDC, a pedido da Unisys, e divulgada neste mês, aponta que 70% das 101 companhias consultadas disseram que estão investindo em virtualização, consolidação e/ou estandardização do ambiente. O número, mostra o levantamento, está em linha com a média dos demais países pesquisados.

    Há boas razões para a virtualização ser usada tão extensivamente pela maioria dos data centers corporativos: ela oferece uma economia atraente em hardware, uso de energia, custos de gestão, e suporta grande tolerância a falhas. Se você ainda não está usando virtualização, comece a pensar seriamente a respeito. Veja os motivos.

    1. Permite obter máximo proveito do seu servidor.

    Normalmente, muitos servidores operam na maior parte do dia em níveis muito baixos de utilização. Adicionando múltiplos SOs e aplicativos, é possível tirar o máximo proveito dos recursos do servidor. Uma vez que muitas máquinas virtuais podem ser executadas em um servidor, você reduz substancialmente a despesa total com hardware.

    2. Permitirá a configuração de servidores redundantes para melhorar a tolerância a falhas.

    Hipervisors permitem migrar sistemas operacionais e seus aplicativos de um sistema para outro. Se um servidor de hardware ou de sistemas operacionais e aplicativos rodando sobre ele falhar, os sistemas operacionais e aplicativos podem ser movidos para outro hypervisor rodando em um servidor físico diferente.

    Grandes servidores são configurados normalmente para melhor tolerância a falhas do que os servidores de pequeno porte. Dois servidores de grande porte, por exemplo, podem permitir a migração de aplicações e fornecer tolerância a falhas melhor do que uma dúzia de servidores de pequeno porte. E ainda usam menos energia e são mais fáceis de gerenciar.

    3. Gerenciamento é simplificado.

    Já que todos os sistemas operacionais em um hypervisor podem ser administrados por meio de uma interface única, e podem usar mais recursos de computação, conforme necessário, pode ser muito mais fácil gerenciar uma dúzia de servidores virtuais do que uma dúzia de sistemas físicos separados. Cada sistema operacional deve continuar a ser gerido separadamente. Feramentas add-on estão disponíveis para simplificar esse processo.

    4. Você pode definir partições em sistemas operacionais separados para maior confiabilidade.

    Normalmente, um servidor físico será executado em um sistema operacional, que terá vários servidores de aplicações instalados nele – um servidor Web, um servidor de e-mail, um servidor de banco de dados, e assim por diante.

    No entanto, a execução de vários servidores de aplicações em um único sistema operacional aumenta a possibilidade de que uma aplicação interfira na outra, causando gargalos ou mesmo acidentes. Com o particionamento, e as aplicações rodando em diferentes máquinas virtuais, cada uma tem seu próprio sistema operacional e recursos, e é menos provável que interfira em outras aplicações.

    5. Provisionamento de novos servidores para testes de protótipos, e migração simplificada.

    Com a virtualização, a criação de um servidor adicional para testes demora alguns minutos e não requer nenhum hardware adicional. Em contraste, a compra de um novo servidor físico (ou a manutenção de servidores extras para testes) é mais cara e a instalação de sistema operacionais e aplicativos também bastante demorada.

    Já as máquinas virtuais existentes podem ser clonadas com todas as configurações do sistema operacional e aplicações, em um processo muito simples de duplicação de um sistema de produção para teste de novos patches ou uma nova versão de um aplicativo.

    6. Você pode economizar energia.

    Embora avanços tenham sido feitos em eficiência energética para servidores, ainda é mais barato executar um ou dois grandes servidores do que uma dúzia ou mais de servidores tradicionais. Sem contar que servidores virtuais permitem que os recursos sejam desligados quando não estiverem em uso, reduzindo ainda mais o uso de energia. Um grande servidor que hospeda dezenas de VMs pode substituir dezenas de servidores de pequeno porte e gastar menos energia.

    7. Com a virtualização de desktops você pode economizar uma fortuna em PCs.

    Além de virtualizar sistemas operacionais e aplicativos de servidor, você pode querer considerar a virtualização de desktops. A VDI permite que você execute um thin client em desktops existentes ou hardware novo, e tenha acesso virtual ao Windows 7 ou outro sistema operacional. Isso significa que você pode oferecer desktops Windows 7 para usuários cujos sistemas existentes não suportam o Windows 7 rodando localmente. A gestão também pode ser simplificada, uma vez que os patches para o Windows e os aplicativos podem ser aplicados uma só vez e estarem disponíveis para todos no servidor VDI.

    Fonte: Computer World

    Tags: Dicas, segurança, Virtualização
    Publicado em Boas práticas | Nenhum comentário »

  • 5 truques de Engenharia Social que os golpistas usam para enganar você


    4 de outubro de 2011

    Você agora pode conhecer o bastante sobre tecnologia para saber que se trata de um golpe quando um amigo chega no Facebook dizendo que foi assaltado em algum lugar e precisa desesperadamente de dinheiro. Mas os “engenheiros sociais” – criminosos que criam esses esquemas para tentar te enganar, estão sempre um passo à frente.

    Os ataques de engenharia social estão ficando cada vez mais específicos, de acordo com Chris Hadnagy, autor do livro Social Engineering: The Art of Human Hacking. “Os ataques direcionados estão proporcionando melhores resultados aos engenheiros sociais”, diz.

    Isso significa que eles podem precisar trabalhar mais para descobrir informações pessoais, e que isso pode levar mais tempo, mas a recompensa geralmente costuma ser maior.

    “Os ataques agora não são apenas um esforço amplo de spams, enviando um milhão de e-mails com uma oferta de Viagra”, afirma Hadnagy. “Existem agora ataques individuais em que eles vão atrás das pessoas separadamente, uma por uma.”

    Confira abaixo cinco novos golpes de engenharia social na web que empregam muito mais envolvimento individual:

    1) “Somos da equipe de suporte da Microsoft – queremos ajudar” (“This is Microsoft support – we want to help”)

    Hadnagy afirma que um novo tipo de ataque tem atingido muitas pessoas ultimamente. Ele começa com uma ligação telefônica em que alguém afirma ser do serviço de suporte da Microsoft e diz que está ligando por causa de um número anormal de erros que teriam origem no seu computador.

    “A pessoa do outro lado da linha diz que quer ajudar na solução porque há uma falha e eles tem feito ligações para usuários licenciados do Windows”, explica Hadnagy. “Faz sentido; você é um usuário licenciado do Windows, tem uma máquina com Windows e ela quer provar isso para você.”

    A pessoa que ligou diz para a vítima ir até o event log (visualizador de eventos) da máquina e a acompanha pelos passos até chegar ao log do sistema.

    “Todo usuário do Windows terá dezenas de erros neste log, simplesmente porque acontecem pequenas coisas; um serviço trava, algo não inicializa. Sempre existem erros”, afirma Hadnagy. “Mas quando um usuário sem experiência abre isso e vê todos esses erros, parece assustador.”

    Nesse ponto, a vítima está desesperadamente pronta para fazer qualquer coisa que o suposto funcionário do “suporte” pedir. O engenheiro social então aconselha-os a ir até o site Teamviewer.com, um serviço de acesso remoto que dá a ele controle da máquina.

    Uma vez que o cracker tiver acesso à máquina por meio do Teamviewer, ele pode então instalar algum tipo de rootkit ou outro tipo de malware que permitirá a ele ter acesso contínuo ao sistema, afirma Hadnagy.

    2) “Faça uma doação para ajudar as vítimas do (alguma tragédia)!” (“Donate to the hurricane recovery efforts!”)

    Golpes de doações para caridade têm sido um problema há anos. A todo momento temos desastres de grandes proporções no mundo, como o terremoto no Haiti ou tsunami no Japão, e os criminosos rapidamente entram no jogo e lançam sites falsos de doações. A melhor maneira de evitar isso é indo a uma organização conhecida e de boa reputação, como a Cruz Vermelha, e iniciar o contato por conta própria se quiser fazer uma doação. No entanto, Hadnagy afirma que surgiu há pouco tempo um tipo particularmente desprezível de golpe de engenharia social direcionado para pessoas que possam ter perdido parentes ou amigos em desastres naturais.

    Neste exemplo, Hadnagy diz que, entre 8 e 10 horas após o incidentes, o site aparece dizendo ajudar a encontrar pessoas que possam ter desaparecido no desastre. Eles alegam ter acesso as bases de dados do governo e informações de recuperação. Normalmente os engenheiros não pedem por informações financeiras, mas exigem nomes, endereços e informações de contato, como números de telefone e e-mail.

    “Enquanto você está esperando para ouvir sobre a pessoa, recebe um pedido de doação para caridade”, diz Hadnagy. “A pessoa da suposta instituição de caridade normalmente vai iniciar uma conversa e dizer que está coletando contribuições porque tem uma relação mais passional com a causa porque perdeu um membro da família em um desastre parecido. Secretamente, eles sabem que a pessoa que contataram também já perdeu alguém, e isso ajuda a criar uma suposta camaradagem.”

    Tocada pela pessoa que entrou em contato, a vítima então oferece um número de cartão de crédito pelo telefone para fazer a doação para “caridade”.

    “Agora eles tem seu endereço, seu nome, nome do seu parente e também do seu cartão de crédito. Basicamente todas as informações que eles precisam para cometer um roubo de identidade”, explica Hadnagy.

    3) “Sobre sua inscrição para a vaga de emprego…” (“About your job application…”)

    Tanto pessoas buscando empregos quanto empresas de recrutamento estão sendo atacadas por engenheiros sociais.

    “Esse é um golpe perigoso, para os dois lados”, afirma Hadnagy. “Seja a pessoa buscando trabalho ou a companhia postando novas vagas, ambas as partes estão dizendo ‘estou disposto a aceitar arquivos anexos e informações de estranhos.”

    De acordo com um alerta do FBI, mais de US$ 150 mil foram roubados de uma empresa americana por meio de uma transferência não-autorizada como resultado de um e-mail com malware que a companhia recebeu a partir de uma oferta de emprego.

    “O malware estava incorporado em um e-mail de resposta a uma vaga de emprego que a companhia colocou em um site de recrutamento e permitiu ao cracker conseguir as credenciais bancárias online da pessoa que estava autorizada a realizar transações financeiras na companhia”, afirma o aviso do FBI. “O invasor alterou as configurações da conta para permitir o envio de transferências protegidas, sendo uma para a Ucrânia e duas para contas domésticas.”

    4) “@pessoanoTwitter, o que você pensa sobre o que a Dilma disse sobre #desemprego? http://shar.es/HNGAt” (“@Twitterguy, what do you think about what Obama said on #cybersecurity? http://shar.es/HNGAt”)

    Os engenheiros sociais estão observando o que as pessoas estão tuitando e usando essa informação para realizar ataques que parecem mais críveis. Uma maneira disso acontecer é na forma de hashtags populares, de acordo com a companhia de segurança Sophos. Na verdade, o início da nova temporada da série “Glee” no começo deste mês na Inglaterra fez com que os cibercriminosos “sequestrassem” a hashtag #gleeonsky por várias horas. A operadora de TV por assinatura Sky pagou para usar a hashtag como uma forme de divulgar a nova temporada, mas os spammers tomaram conta dela rapidamente e começaram a incorporar links maliciosos nos tuítes com o termo.

    “Obviamente que os spammers podem escolher redirecionar para qualquer site que quiserem uma vez que você tenha clicado no link”, afirma o consultor sênior de tecnologia da Sophos, Graham Cluley. “Poderia ser um site de phishing desenvolvido para roubar suas credenciais no Twitter, uma farmácia falsa ou um site pornô.”

    “Acho que veremos ainda mais ataques desse tipo em mídias sociais por causa da maneira como as pessoas clicam nesses links”, afirma Hadnagy.

    5) “Saiba como ter mais seguidores no Twitter!” (“Get more Twitter followers!”)

    A Sophos também faz um alerta sobre serviços que dizem conseguir mais seguidores no Twitter. De acordo com Cluley, serão cada vez mais comuns mensagens como “QUEREM MAIS SEGUIDORES? EU VOU TE SEGUIR DE VOLTA SE VOCÊ ME SEGUIR – (LINK)”.

    Clicar nesse link leva o usuário para um serviço na web que promete conseguir muitos novos seguidores.

    O próprio Cluley criou uma conta teste para ver o que acontecia.

    “As páginas pedem para você digitar seu nome de usuário e senha do Twitter”, afirma Cluley em um post no blog sobre o experimento. “Isso deveria fazer você sair correndo – por que um site de terceiros deveria pedir suas credenciais? O que os donos dessas páginas estão planejando fazer com seu nome de usuário e senha? É possível confiar neles?”

    Cluley também colocou que o serviço admite não ser apoiado ou afiliado ao Twitter, e que para usar o serviço, você precisar autorizar o aplicativo a acessar sua conta. A essa altura, todas as garantias de segurança e uso ético já eram, afirma o especialista. O próprio Twitter avisa aos usuários para tomarem cuidado com esses serviços em sua página de informações de ajuda.

    “Quando você fornece seu nome de usuário e senha para outro site ou aplicativo, está passando o controle da sua conta para outra pessoa”, explica uma das regras do Twitter. “Elas podem então postar atualizações e links duplicados, maliciosos ou spam, enviar mensagens diretas não desejadas, seguir outros usuários de modo agressivo, ou violar outras regras do Twitter com a sua conta. Alguns aplicativos de terceiros já foram implicados em atos de comportamento de spam, fraude, venda de nomes de usuários e senhas e golpes de phishing. Por favor, não forneça seu nome de usuário e senha para aplicativos de terceiros que você não conheça ou tenha pesquisado com cuidado antes.”

    Fonte: IDGNow

    Tags: Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • Como evitar a perda de dados corporativos


    27 de setembro de 2011

    Com base nos resultados do estudo sobre Segurança da Informação nas Empresas, divulgado hoje (23/9) pela Symantec, que identificou que as empresas estão preocupadas com a proteção de seus ambientes, a companhia recomenda cinco iniciativas para evitar perda dos dados corporativos.

    Políticas de TI

    É preciso desenvolver e aplicar políticas de TI. Depois de priorizar riscos e definir políticas que envolvam todos os ambientes, as empresas podem aplicá-las por meio de processos automatizados e fluxos de trabalho que protejam as informações, identifiquem ameaças e corrijam incidentes ou se antecipem a eles.

    Sempre alerta

    As companhias precisam garantir a proteção pro-ativamente, com uma abordagem centrada nas informações para proteger tanto os dados quanto as interações.

    De acordo com a Symantec, adotar uma abordagem sensível ao conteúdo para proteger as informações é fundamental para identificar e classificar dados confidenciais e críticos, conhecendo onde eles estão armazenados, quem tem acesso a eles, e como estão chegando ou saindo da empresa. Criptografar os endpoints também ajudará as organizações a minimizar as consequências associadas a perdas de dispositivos.

    Autenticação

    Para ajudar a controlar os acessos, os administradores de TI precisam validar e proteger a identidade de usuários, sites e dispositivos em toda a organização. Além disso, precisam fornecer conexões confiáveis e autenticar transações, quando necessário.

    Ambiente em dia

    A Symantec recomenda que as organizações gerenciem os sistemas por meio da implementação de ambientes operacionais seguros, distribuição e regulamentação de níveis de patche (atualizações), automação de processos para elevar a eficiência, monitoramento e relatórios sobre o status dos sistemas.

    Novas tecnologias sob controle

    Os administradores de TI, afirma a Symantec, precisam proteger a infraestrutura, garantindo a segurança de todos os endpoints – incluindo o número crescente de dispositivos móveis –, além das mensagens e ambientes Web.

    Proteger os servidores internos críticos e assegurar a capacidade de fazer backup e recuperar dados também devem ser prioridades. Além disso, as organizações precisam de visibilidade, inteligência de segurança e avaliações de malware em seus ambientes para responder às ameaças rapidamente.

    Fonte: CIO.

    Tags: Dados, Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • Como criar rapidamente uma cloud privada ou híbrida


    26 de setembro de 2011

    O hype em torno da computação em nuvem é difícil de ignorar e como os fornecedores estão, cada vez mais, inserindo a palavra “nuvem” antes de todos os produtos oferecidos, as empresas estão descobrindo que é difícil filtrar o barulho e realmente encontrar quais os produtos que funcionam melhor no data center.

    Embora a capacidade de utilizar a nuvem pública seja atraente, por reduzir a necessidade de gestão de infraestrutura, CIOs e gerentes de data center hesitam em migrar dados importantes e aplicativos para esse modelo. Com esse ponto de vista cauteloso, as companhias estão se voltando para soluções de cloud privada e/ou híbridas, que viabilizam os benefícios de uma nuvem pública, mas mantendo a infraestrutura sob controle próprio.

    A popularidade do modelo fez sua adoção crescer no ano passado, à medida que as empresas buscaram uma maneira mais simples e rápida de infraestrutura de nuvem. Uma nuvem turnkey, ou seja, simples e pronta para o uso, promete alguns benefícios atraentes como simplicidade, rápido roll-out e redução de custos. Ainda assim, muitas organizações têm dúvidas sobre como integrá-la com a rede existente e a infraestrutura de armazenamento.

    Para ajudar as organizações a avaliar, abaixo veja três elementos essenciais para constituir qualquer nuvem turnkey privada e/ou híbrida:

    1. Recursos de automação inteligentes e confiáveis

    Uma nuvem turnkey deve ser capaz de realizar configurações automaticamente quando necessário. Além disso, deve ser capaz de combinar todos os dispositivos conhecidos, descobrir novos dispositivos e compilá-los em um pool de recursos. Com a introdução da computação em nuvem híbrida, a importância para a automação inteligente aumenta significativamente. As empresas precisam ser capazes de acessar de maneira confiável e segura uma nuvem pública quando os recursos não estão disponíveis na cloud privada.

    Um dos elementos mais importantes para assegurar a seleção da solução de turnkey correta é escolher uma tecnologia que não só conta com recursos virtualizados, mas também com recursos físicos e cloud pública. Hoje, quando organizações pensam em soluções de cloud computing parecem voltar às atenções para plataformas que lidam com a virtualização.

    No entanto, essa é apenas uma solução parcial para empresas que têm, em média, 50% das aplicações virtualizadas. A capacidade de fornecer hardware virtualizado que inclui computação, rede e armazenamento, é crucial em uma solução turnkey. Esse sistema é fundamental para controlar a dispersão de recursos e maximizar a utilização.

    2. Adaptadores para a infraestrutura existente

    Integração de uma ferramenta de gerenciamento de cloud em infraestrutura existente é vital. CIOs e gerentes de data centers tentar tirar o máximo proveito da infraestrutura existente. Hoje, a maioria dos ambientes de TI é heterogênea com equipamentos de múltiplos sistemas, rede e fornecedores de armazenamento. Por isso, quando as empresas adotam uma solução de cloud privada, devem ser capazes de trabalhar nesse ambiente.

    Se recursos adicionais precisam ser adotados, a TI não pode hesitar. Uma solução turnkey que não é capaz de fornecer grande variedade de dispositivos pode causar dor de cabeça para a TI.

    Existem milhares de dispositivos de hardware de vários fornecedores de virtualização que contam com um adaptador para cada um dos recursos. Esse cenário é desafiador e empresas devem procurar ferramentas que têm adaptadores pré-construídos para a maioria dos hardware físicos e virtuais. Dell, IBM, HP, NetApp, EMC, Cisco, Juniper, VMware, Citrix, Microsoft e Red Hat são exemplos.

    Criar uma nuvem privada em um hardware existente não só possibilita economia de tempo, mas também gera redução de Capex, já que será possível reutilizar recursos existentes e evitar a aquisição de novos equipamentos.

    3. Modelos predefinidos para calcular computação usada, configurações de rede e de armazenamento

    Modelos predefinidos de uma solução em nuvem pode ser uma mão na roda. O maior investimento para a construção de uma nuvem privada está relacionado à concepção e à elaboração dos modelos para as topologias que serão utilizadas.

    Quando uma solução de nuvem turnkey oferece uma biblioteca pré-construída de modelos usados, as empresas podem acelerar significativamente o tempo que leva para operacionalizar uma nuvem privada. Esses modelos predefinidos podem entregar de 50% a 90% do projeto de ambiente privado e tudo o que a companhia precisa fazer são personalizações de TI para alinhar o modelo ao seu ambiente.

    O objetivo de uma solução turnkey é ser capaz, de forma rápida e confiável, converter um ambiente estático existente em um de autoatendimento. E para que esse ambiente seja bem-sucedido, a solução turnkey deve conter os três elementos discutidos. Esses recursos serão fundamentais para empresas que buscam implementar uma nuvem privada ou híbrida.

    Fonte: Computer World

    Tags: Cloud Computing, Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • Sua empresa está preparada para reagir a uma catástrofe?


    9 de setembro de 2011

    Em julho de 2005, uma série de atentados suicidas no sistema de trânsito de Londres matou 56 pessoas e levou caos à cidade. Na sede, nos Estados Unidos, o CEO de uma empresa financeira multinacional com escritórios em Londres fez uma pergunta que parecia simples e essencial: “Todo o nosso pessoal está bem?”

    O mais difícil foi obter uma resposta. Em primeiro lugar, porque não havia uma listagem centralizada de todos os funcionários da empresa, atualizada de acordo com as contínuas mudanças no quadro de pessoal. Tampouco existia uma listagem centralizada com informações de localização e contato de cada funcionário. E, mesmo que houvesse, não incluiria os prestadores de serviços, que, no entanto, encaixavam-se na definição de “nosso pessoal” do CEO.

    No fim das contas, foi difícil fazer contato até com os funcionários que a companhia sabia que estavam em Londres, mesmo tendo seus endereços e números de telefone.“O transporte foi paralisado e os serviços de telefone celular e SMS foram interrompidos”, recorda Andrew Marshall, diretor da Consultifi, que ajuda as empresas a entender os riscos aos negócios. Em suma: os departamentos de RH e TI da empresa foram incapazes de dar uma resposta rápida ao CEO.

    Qualquer líder de TI pode tirar muitas lições dessa história. Para começar, não existem lugares seguros. Todos estão sujeitos a transtornos. Também é importante ter um plano que explicite as responsabilidades de cada indivíduo e que inclua todas as informações de que o líder de TI necessitará. E, por fim, é preciso ter um sistema de comunicação redundante, uma vez que os métodos “normais” de comunicação provavelmente irão falhar – em especial, o serviço móvel, que rapidamente fica sobrecarregado com o aumento de demanda local durante uma crise.

    Hoje, é praticamente impossível deixar de ter pelo menos algumas preocupações em relação a sistemas, a dados e a empregados, principalmente fora da sede da empresa. Durante pesquisa realizada em 2010 junto às cem maiores empresas globais de tecnologia, 55% dos executivos se mostraram preocupados com catástrofes naturais, guerras, conflitos e ataques terroristas. Quando os mesmos executivos foram ouvidos novamente, em 2011, o percentual subiu para 81%.

    Neste mundo cada vez mais globalizado e interligado, é fácil perceber o motivo da inquietação. Na realidade, uma operação substancialmente global está propensa a ser afetada por perturbações em algum lugar e com muita regularidade. Quedas de energia, catástrofes climáticas, agitações políticas ou mesmo algo tão banal como a âncora de um navio partindo um cabo de fibra óptica ou um raio caindo em uma subestação de energia podem interromper as operações de TI de maneiras inesperadas.

    “Há eventos ocorrendo quase que constantemente, a qualquer hora, em diferentes partes do mundo, seja um bombardeio em Jacarta, uma inundação no Brasil ou um terremoto no Japão”, diz Michael Shea, vice- presidente-executivo de TI da International SOS, empresa que fornece serviços médicos e de segurança para viajantes.

    E mesmo que uma organização tenha poucas operações em regiões instáveis no exterior, é aconselhável avaliar quais eventos podem paralisá-la, afetar seus dados ou ameaçar funcionários. Uma política externa bem- arquitetada deve fazer parte do arsenal de todo CIO. Mas como se preparar efetivamente para qualquer catástrofe que o mundo imponha?

    Aqui vão algumas ideias que podem ser úteis.

    Não tente planejar tudo em todos os lugares

    In omnia paratus. “Pronto para tudo!” À primeira vista, parece uma boa abordagem para proteger as operações de TI de todos os perigos no exterior. E, de fato, alguns líderes de TI adotam a postura de que, se não é possível prever o que pode acontecer a seguir sem nenhuma localização geográfica, a melhor estratégia é estar preparado para enfrentar absolutamente qualquer ameaça em qualquer lugar que ela possa surgir. Certo?

    Errado. Essa visão tem um problema: a impossibilidade de concretizá-la, acredita Dan Blum, analista do instituto de pesquisas Gartner. Tentar se preparar para tudo em toda parte conduz a dois caminhos, nenhum deles ideal. “Uma alternative é dizer que qualquer atitude está adequada, já que não dá para entender de tudo. Outra é ser paranóico e perseguir fantasmas exaustivamente, embora nenhuma organização tenha fôlego para fazer isso durante muito tempo. Os CIOs ou chief information security officers que tentarem atingir e manter um nível muito alto de preparo em toda parte verão sua credibilidade e sua influência diminuírem com o passar do tempo.”

    Pergunte: “E se…?”

    Depois de avaliar os tipos de problemas mais prováveis nas diversas operações da empresa, é hora de se reunir com os principais funcionários e conversar detalhadamente sobre cada um dos diferentes cenários. É uma grande oportunidade de saber o que a alta gerência vai esperar da TI em uma crise. “Verá que em 90% das vezes, alguém dirá: ‘Achei que vocês estariam preparados para isso!’”, alerta Marshall.

    As pessoas tendem a presumir que os sistemas que estavam em execução continuarão funcionando depois de um desastre, observa Marshall. “Quem já trabalhou em uma empresa com armazenamento de dados centralizado sabe que há todos os tipos de equívocos em relação ao que será ou não possível acessar, e que as suposições que são feitas em TI não são as mesmas de outros departamentos”, justifica. De acordo com Marshall, as principais questões a serem cobertas em cada cenário são: a internet estará disponível? E o serviço telefônico? Se for necessário restaurar os dados a partir de um backup, quanto tempo levará? As pessoas pensam que, se existe backup, então os dados estarão disponíveis instantaneamente.

    Outra boa razão para fazer esse exercício é descobrir quais sistemas são mais essenciais para manter a empresa em atividade – e talvez eles nem sejam os mais complexos ou desafiadores do ponto de vista de TI. Em geral, tudo que diz respeito a fluxo de receita é altamente crítico, afirma Terry Assink, vice-presidente de grupo da Brand Velocity, que presta consultoria em implementações de projetos de negócios, e ex-CIO da Kimberly- Clark. É preciso continuar ganhando dinheiro e pagando os funcionários.

    Shea acrescenta que o departamento financeiro pode ser muito necessário em uma situação de crise. Se você estiver no Egito durante um distúrbio social e precisar fretar aviões para retirar pessoas de lá em segurança, por exemplo, necessitará de funcionários da área financeira e de recursos financeiros. Com operações em 70 países, grande parte em mercados emergentes e outras áreas política ou economicamente instáveis, atravessar momentos de crise é a algo natural para a International SOS. A cada três ou quatro semanas um dos planos de continuidade de negócios é ativado.

    Outro benefício da pergunta “E se?” é ajudar a tomar (ou influenciar) decisões melhores sobre onde colocar dados ou operações de TI críticas.

    Adote uma abordagem militar

    Já reparou que soldados, policiais e equipes de emergência, muitas vezes, parecem calmos no meio de uma crise? Eles têm um conjunto específico de regras e procedimentos a ser seguido, que os permite manter o foco e os impede de entrar em pânico enquanto tentam descobrir o que fazer em seguida. Crie um conjunto igualmente bem delineado de planos e procedimentos que seu próprio pessoal deverá seguir em uma situação de crise.

    A International SOS adota essa abordagem. Sua equipe de TI tornou-se adepta da elaboração de planos extremamente detalhados. A maioria não só descreve tarefas e responsabilidades muito específicas que cada funcionário deve assumir em uma crise, como também traz um diagrama do local exato onde sentará na sala de gerenciamento de crises. A informação é reforçada com ensaios. Nas instalações da empresa, existem diagramas e cartazes lembrando os funcionários aonde devem ir em caso de emergência ou o que eles devem informar aos supervisores se um dos telefones internos especiais tocar.

    O mesmo vale para quem está distante do local da crise. Uma tarefa importante, mas muitas vezes esquecida, é informar ao restante da companhia e talvez até seus clientes. Eles devem saber que você tem o controle da crise e entender como ela poderá afetá-los.

    Ao planejar para uma crise, os executivos da International SOS promovem reuniões frequentes com funcionários em diversos locais para definir quem vai executar as tarefas. “Analisamos os departamentos individualmente e elaboramos planos de ação”, conta Jonathan Bar, gerente-geral de Infraestrutura Global. “São uma espécie de fluxograma a ser seguido por cada departamento. Descrevem etapas específicas, com informações e números de telefone de pessoas a serem contatadas. Orientam todas as etapas.”

    Lembre-se de que, muitas vezes, em caso de emergência, poderá ser necessário recorrer à ajuda de todos os funcionários, e não apenas do pessoal de TI ou suporte. Por isso, é importante que todos participem de algumas reuniões de planejamento de crise, salienta Bar. O gerenciamento de crise não é uma função exclusiva da gerência sênior ou mid-level. Todos têm de conhecer e entender o plano de continuidade.

    Fonte: CIO

    Tags: catástrofe, Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • 5 fatos que os CIOs devem saber sobre grupos como Anonymous e LulzSec


    1 de setembro de 2011

    Dois proeminentes grupos hackers, o Anonymous e o LulzSec, iniciaram a crescente preocupação sobre a segurança de computadores ao realizarem espetaculares ataques e roubos de dados contra sites de grandes empresas e governos. Juntos, eles realizaram mais de 30 ataques nos últimos meses, derrubando várias páginas pertencentes ao senado americano e a CIA, rebaixando a gigante Sony e comprometendo cerca de 2 milhões de IDs e logins de usuários por toda a rede.

    Especialistas em segurança alertam que os ataques irão continuar graças ao reaparecimento, principalmente, de usuários de computadores jovens do sexo masculino atraídos para hackear por uma causa e gabar-se de seus feitos. Até então, a maioria dos membros dos dois grupos permaneceram nas sombras. Além disso, eles não possuem liderança central e estrutura formal.

    O que você precisa saber sobre eles, para evitar que sua empresa seja a próxima vítima?

    1. Ninguém está no comando

    “Nós somos Anonymous. Nós somos uma legião.” Este slogan enigmática é usado por um bando de hackers que se chamam Anonymous. Ativo por quase uma década, o grupo se destacou no ano passado com ataques a PayPal, Visa, HBGary e Sony. Muitas vezes chamado de coletivo hacker, o Anonymous é essencialmente um movimento. Não há nenhuma autoridade central. De tempos em tempos, os participantes se unem para lançar as chamadas “operações”, lideradas por um pequeno grupo de confiança dos associados. Os líderes das operações dão as diretrizes e convidam quem estiver interessado a participar. Operações pode acontecer online ou no mundo real.

    2. Seus ataques parecem aleatórios

    Aparentemente, as operações são motivadas pela defesa da liberdade digital e denúncia da hipocrisia e da corrupção. Por isso, muitas vezes as motivações para seus ataques podem parecer obscuras para líderes de TI, embora façam sentido para geeks. Os primeiros ataques públicos notórios foram contra a Igreja da Cientologia e a Recording Industry Association of America. Quando o PayPal, a MasterCard e a Visa pararam de receber doações para o WikiLeaks, no fim do ano passado, o grupo Anonymous viu isso como uma ameaça à livre troca de informações e atacou os serviço, tirando-os do ar por algumas horas.

    3. Eles são capazes

    Logo no início, os Anonymous agiam mais através de ataques distribuídos de negação de serviço, ocasionais. Ultimamente, têm mostrado um lado mais assustador, com grande habilidade técnica. Em fevereiro, os membros do grupo invadiram o servidores de e-mail e sites, tornando público o conteúdo de dezenas de milhares de e-mails privados de empresas que, por qualquer motivo, os desagradam. Ataques recentes ligados ao grupo, e a seu spin-off, o grupo LulzSec, demonstraram o domínio de atécnicas como SQL injection, engenharia social e o controle de botnets controle.

    4. São internacionais
    Apesar de o Inglês ser o idioma de escolha para a maioria das comunicações, supostos membros foram detidos na Holanda, França, Itália, Espanha, Reino Unido e nos Estados Unidos. O grupo Anonymoustem incentivado o surgimento de grupos derivados dele, globalmente.

    5. A exposição pública os move

    Muitos daqueles que se juntam aos Anonymous se veem como hacktivistas – um novo tipo de manifestante cujas atividades on-line no ciberespaço equivalem às manifestações de massa nas ruas das cidades. O objetivo final parece estar mudando a percepção do público mais do que perturbando os negócios. PayPal, MasterCard e Visa experimentaram algum tempo de inatividade na web, mas não tiveram a imagem dos serviços afetada pelos ataques. A pressão real vem das notícias. Ninguém quer a sua marca ligada a um ataque hacker.

    Os recentes roubos de dados ganharam mais atenção graças a uma ferramenta  relativamente nova: campanhas de relações públicas com bom conhecimento de mídia. Os membros dos grupos LulzSec e Anonymous mantém contas públicas no Twitter e enviam comunicados de imprensa anunciando vazamentos de dados. Em um determinado momento o LulzSec chegou até a publicar um número de telefone para receber pedidos de ataques.

    “A nova tendências de hacks por grupos como LulzSec e Anonymous é acentauda porque os invasores estão tentando trazer mais publicidade agora”, afirma o cofundador e CTO da empresa de apps de segurança Veracode, Chris Wysopal..

    Há mais de dez ano, hackers como Kevin Mitnick, Ehud Tenenbaum e Michael Calce também estavam derrubando sites e invadindo grandes redes. O que os motivava naquela época,era apenas um interesse geral em ver o que era possível. As salas de chat IRC (Internet Relay Chat) viam muitas competições online em que os hackers batalhavam, um tentando derrotar o outro com ataques de negação de serviço direcionados.

    Um cracker é sempre um cracker

    Especialistas em segurança concordam que perigosos crackers (hackers especialistas em roubos de dados e cibercrimes) ainda existem, mas desafiam a noção de que grupos como o Anonymous não são tão ameaçadores. Certamente eles foram custosos para as vítimas: a Sony estima que os ataques que sofreu recentemente custaram cerca de 170 milhões de dólares.

    Em março, crackers desconhecidos roubaram dados da empresa de segurança RSA que colocaram em perigo o produto de autenticação de dois fatores SecurID. Esse roubo levou a um ataque em maio contra a Lockheed Martin, uma grande empresa de defesa dos EUA. Em um incidente não relacionado, o gigante dos bancos CitiGroup foi vítima de um ataque que expôs mais de 200 mil de seus correntistas a roubos de dados. Com certeza esses golpes foram mais sérios do que postar uma grande quantidade de IDs de gamers e logins de sites no Pastebin; no entanto, surgiram alguns rumores de fraude relacionada aos roubos de dados.

    Mas estejam os hackers buscando por “lulz” (“risadas”) ou segredos de defesa, esse tipo de atividade provavelmente vai continuar pelo futuro. “O grupo Anonymous demonstrou o que pode ser feito com um nível de habilidade médio”, diz Wysopal. “Se esses caras estão fazendo isso, você deve pensar que há outras pessoas, em outros países, fazendo a mesma coisa de maneira tão fácil quanto.”

    Fonte: IDGNow

    Tags: segurança
    Publicado em Notícias | 2 Comentários »

  • Dez hábitos capazes de evitar os piores pesadelos da segurança


    24 de agosto de 2011

    No mundo das revistas em quadrinhos, todo bandido é um gênio do mal. Na web, crackers, spammers e phishers podem encarnar o mal, mas não precisam ser gênios.

    Eles exploram brechas na segurança conhecidas, que muitos usuários não se deram ao trabalho de corrigir ou apostam que as pessoas vão fazer coisas que foram aconselhadas a não fazer.

    O consolo é que você também não precisa ser um gênio para evitar estes ataques frequentes. Adote alguns hábitos simples para rechaçar a maior parte do mal existente por aí.

    Fix 1: Corrija o cerne do software
    Foi-se o tempo dos grandes vírus exibicionistas, que se anunciavam para os usuários de PC. O cibercriminoso moderno prefere assumir o controle dos equipamentos sem fazer alarde. E software não corrigido é a oportunidade perfeita para isso.

    Hoje, uma página web “sequestrada” - o ataque preferido dos modernos bandidos digitais - busca uma vulnerabilidade não corrigida nos softwares da máquina que possa ser explorada. Se algo for encontrado, torça para que seu programa antivírus detecte o ataque que virá a seguir. Do contrário, provavelmente você não perceberá nada errado enquanto seu sistema for infectado.

    Ainda bem que você pode bloquear totalmente a maioria dos exploits baseados na web se mantiver todos os seus programas atualizados, não apenas o sistema operacional ou o navegador.

    Portanto, ative recursos de atualização automática para qualquer software que ofereça o serviço – é a opção mais rápida e fácil para obter patches.

    Fix 2: Descubra as outras brechas

    Se todos os programas fornecessem atualizações automáticas – e todos nós fôssemos espertos o bastante para também usá-las – o próspero negócio de malware sofreria um sério golpe. Até lá, use um aplicativo que examine o software instalado e aponte os programas desatualizados que talvez estejam tornando seu PC vulnerável. Há opções de empresas de segurança confiáveis disponíveis gratuitamente na Internet.

    Fix 3: Deixe que os navegadores mais novos lutem por você

    É quase impossível detectar as páginas web “sequestradas” mais traiçoeiras. Pequenos fragmentos do código inserido que não aparecem na página podem ativar ataques devastadores nos bastidores. Tentar evitar tais páginas por conta própria é um convite a problemas, sobretudo porque pessoas desonestas gostam de violar sites populares.

    Mas novos recursos lançados navegadores web oferecem alguma blindagem. Cada camada adicional de proteção ajuda.

    Fix 4: Evite a engenharia social

    Os bandidos mais perigosos utilizam marketing mais inteligente para levar você a infectar seu próprio PC. Muitos ataques de engenharia social são absurdamente primitivos, contendo palavras com grafia errada e gramática tosca, mas isso não significa que você deva negligenciar o perigo.

    De vez em quando, um ataque primoroso pode ludibriar suas defesas e seduzi-lo a abrir um anexo de e-mail ou um arquivo baixado envenenado. Um ataque dirigido pode até usar seu nome e seu cargo corretos.

    Resista. Há programas antivírus com ferramentas poderosas ara analisar previamente o conteúdo desses arquivos. Faça uso corrente delas.

    Fix 5: Controle malware que se movimenta rápido

    O software antivírus tradicional baseado em assinatura está sendo soterrado sob malware. Os atacantes tentam escapar da detecção criando mais variantes do que os laboratórios de segurança são capazes de analisar. Por isso, além das assinaturas, qualquer programa antivírus digno deste nome utiliza hoje detecção pró-ativa que não exige uma assinatura completa para detectar malware sorrateiro.

    Uma abordagem promissora emprega análise comportamental para identificar software malicioso baseando-se exclusivamente no modo como ele age no seu PC. Mas seu software antivírus, por si só, talvez não baste.

    Fix 6: Proteja sua caixa de entrada contra spam

    Os filtros de spam estão cada vez melhores, mas algum lixo ainda consegue passar até mesmo pelo mais possante deles. Em vez de se contentar em pressionar a tecla Del para todas estas tentações de compra de ações “quentes” e Viagra, experimente o endereço de e-mail descartável.

    Você pode criar este endereço toda vez que se depara com um site de compras online, fórum ou outro serviço que exige que você entre um endereço de e-mail. Se este endereço é inundado com spam, você pode anulá-lo. É um sistema melhor do que criar uma conta de webmail gratuita utilizada exclusivamente para compras e inscrições na web. Com uma conta única separada, você tem que cancelar a conta inteira se ela receber spam demais.

    Fix 7: Desenvolva um hábito antiphishing

    A prática de phishing de informações pessoais ainda existe e é difícil distinguir muitos sites falsos dos verdadeiros. Mas alguns hábitos simples podem assegurar que você nunca será fisgado por um anzol.

    A abordagem melhor e mais simples é jamais clicar em um link em qualquer mensagem de e-mail para acessar suas contas financeiras. Em vez disso, sempre digite a URL ou use um bookmark. Este único hábito o protegerá de praticamente todos os ataques phishing.

    Se você não conseguir empreender esta mudança, então pelo menos use a versão mais recente dos browsers. Todos têm recursos embutidos para bloquear sites phishing conhecidos.

    Por fim, fique de olho na tática comum de phishing de usar URLs do tipo “http://adwords.google.com.d0l9i.cn/select/Login”. Se você der uma olhada na URL talvez pense que o domínio do site é google.com. Na verdade, ele está apontando para d0l9i.cn, um site na China onde os operadores estão à espreita para roubar suas informações pessoais.

    Alguns browsers já detectam este tipo de trapaça.

    Fix 8: Mantenha seu próprio site seguro

    Para manter seu site seguro, comece com alguns scans gratuitos rápidos que mostram os problemas mais óbvios.

    Um certificado de boa saúde nesses scans não garante que o site está seguro, mas ajuda a identificar de cara as falhas mais comuns. Os scans não descobrem problemas em código JavaScript personalizados, outro tipo comum de ataque. E, embora seja fácil solicitar ou executar o scan, corrigir uma brecha reportada pode ser bastante trabalhoso. Mas bem menos do que reparar o site e a reputação depois que seu site foi seqüestrado.

    Fix 9: Crie senhas seguras e fáceis de lembrar

    A oferta de logins roubados está tão grande que é praticamente impossível para os trapaceiros ganhar dinheiro vendendo-as, a menos que acrescentem outros dados roubados, tais como endereços ou números de inscrição na previdência social, de acordo com pesquisadores de segurança. E os ladrões não se contentam em roubar logins para contas financeiras – eles também roubam regularmente informações de acesso a contas de webmail. Em um caso recente, um criminoso invadiu contas de webmail e enviou mensagens para os amigos da vítima pedindo dinheiro.

    Os especialistas nos dizem que deveríamos usar senhas fortes e exclusivas para todas as nossas contas. Mas eles não nos ensinam a lembrar delas. Por isso, a maioria de nós emprega a mesma senha, não tão segura, em todas as nossas contas. Evite isso a qualquer custo.

    Fix 10: Obtenha ajuda extra para limpar infecções resistentes

    Muitos fornecedores de antivírus oferecem varreduras online gratuitas e fáceis por meio do seu navegador. O scan vai demorar, já que o serviço de varredura precisará baixar grandes componentes Java ou ActiveX antes de iniciá-lo, mas é fácil ativá-lo. Você pode executá-lo, além do aplicativo antivírus já instalado, para obter uma segunda (ou terceira ou quarta) opinião.

    Fonte: CIO

    Tags: Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • Três erros que sua empresa pode evitar com Cloud Computing


    2 de agosto de 2011

    Empresas e pessoas que estão aderindo à computação na nuvem estão fazendo algumas coisas corretamente e muitas outras de forma errada. Veja aqui os três erros mais comuns e saiba como evitá-los.

    1- Não considerar a nuvem pública

    Você ama cloud computing e seus servidores. Então, você está indo diretamente para nuvens privadas, sem ao menos considerar as alternativas públiacs. Embora a cloud privada seja uma grande solução em muitos casos, deixar de lado sem nem mesmo avaliar as opções públicas pode significar perda de oportunidades para alavancar soluções sob demanda e capacidade de baixo custo.

    O fato é que nuvens públicas provêm escalabilidade – e também no modelo pague por serviço. Assim, no caso de processos que ocorrem em alguns dias do mês ou em épocas com grande sazonalidade (como compras de fim de ano), o uso de nuvens públicas, mesmo que seja apenas para prover capacidade adicional em alguns momentos, pode ser uma boa alternativa.

    2- Preocupações com segurança e governança

    Embora seja preciso considerar tanto segurança quanto governança de forma sistêmica, muitas empresas olham para segurança e governança apenas depois de adotar uma solução de cloud computing, seja ela privada, pública ou híbrida. O problema é que você não pode simplesmente colocar uma camada de segurança e governança sobre a nuvem, ela deve ser considerada a partir do nível um do planejamento da arquitetura.

    3- Falta de estratégia de continuidade de negócios

    Apesar de muitas soluções de cloud computing oferecerem boa elasticidade e sites standby, é sua responsabilidade planejar a continuidade do serviço em seus sistemas, na nuvem ou no modelo tradicional. Não cabe ao seu provedor de cloud computing fazer esse trabalho. Além disso, você deve pensar sobre o que poderia acontecer se seu provedor desligar, cair ou fechar.

    Houve algumas grandes interrupções em 2009 e deveremos ver mais em 2010. O que ocorreria se essa interrupção afetasse você por dias ou semanas, em vez de horas? Como você daria continuidade a seus negócios? Você precisa de um plano para solucionar essa questão, incluindo armazenar versões atuais de seus dados em sistemas de backup que possam manter a empresa funcionando.

    Além das interrupções, é necessário considerar o que você faria se seu provedor de cloud computing fechar sem aviso prévio. E o que você faria se o serviço fosse bloqueado, devido a erros de cobrança ou se o provedor considerar que você usa a nuvem para violar alguma regra?

    Essas são questões óbvias, se você me perguntar. Claramente, esses erros você pode evitar.

    Tags: Cloud Computing, Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • Cinco maiores erros a evitar na segurança de TI


    26 de julho de 2011

    A segurança pode ser uma tarefa ingrata, porque só se percebe quando não é feita. E para fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing, é preciso evitar erros técnicos e políticos. Em particular, cinco muito comuns:

    1. Pensar que o seu papel na organização não mudou nos últimos cinco anos.

    O seu poder e influência estão sendo desbastados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.

    Cada vez mais é preciso ser pró-ativo na introdução de práticas de segurança razoáveis para escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de segurança para explicitar claramente os fatores de risco e para que não haja espaço para falsas premissas.

    2. Não construir relações de trabalho entre as equipes de TI e os gestores de nível superior.

    Grupos de segurança de TI são geralmente pequenos em relação ao resto do departamento de TI. Normalmente os profissionais de segurança precisam do apoio do restante do pessoal de TI para realizar funções básicas.

    O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente as que mais dizem “não” aos projetos de outras pessoas.

    Além disso, não pense que a estrutura de poder está sempre apontando para o diretor de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está ocorrendo em que o papel tradicional do CIO como comandante dos projetos de TI está em declínio a favor do aumento do poder do diretor financeiro (CFO) como dono da palavra final sobre os projetos de TI. Algumas evidências mostram que o CFO nem sequer gosta do departamento de TI. As ideias do CFO sobre a segurança podem ir apenas até à ideia legal de “compliance”. O trabalho do profissional de segurança deve ser comunicar, comunicar, comunicar.

    3. Não entender que a virtualização tem puxado o tapete do mundo da segurança.

    As organizações estão no caminho para alcançar 80% de virtualização da sua infraestrutura de servidores, e os projetos de virtualização de desktops estão aumentando. Mas a segurança está atrasada, com muitos profissionais assumindo erradamente que ela começa e termina com as VLANs. A realidade é que arquiteturas de virtualização mudam tudo a partir da abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.

    Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados estão chegando finalmente ao mercado – e os profissionais de segurança precisam descobrir se algum deles deve ser usado e, ao mesmo tempo, se devem se manter a par da evolução dos planos de segurança de fornecedores como a VMware, Microsoft e Citrix. A virtualização é uma promessa tremenda, eventualmente, para melhorar a segurança, especialmente na recuperação de desastres.

    4. Não se preparar para uma violação de dados.

    É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correção técnica, a lei precisa ser aplicada às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto em algumas indústrias mais que em outras, como é o caso da área de saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma ação coordenada pelo gestor de segurança de TI, envolvendo o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planejar os piores cenários, realizando internamente exercícios de violação de dados e formas de combatê-las e mitigá-las.

    5. Complacência com os fornecedores de segurança de TI.

    É necessário ter sólidas “parcerias” com os fornecedores de TI e de segurança. Mas o perigo em qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olhar crítico, especialmente para confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e proteção contra malware. Muitos fabricantes estão tentando adaptar controles de segurança tradicionais para estruturas geradas a partir da virtualização e da computação em nuvem. E isso tem se transformado em um verdadeiro caos, que demonstra claramente o quanto a área de segurança vai ter que se esforçar para conseguir o que acredita que a organização precisa agora ou no futuro.

    Fonte: CIO

    Tags: Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

  • Seis dicas para usar o home banking com segurança


    22 de julho de 2011

    Um dos golpes mais populares na internet são os e-mails de “phishing” que alegam que um banco está “recadastrando contas” ou fazendo uma “atualização de segurança” , e que tentam convencer o usuário a visitar um site (que parece o site do banco, mas é comandado por criminosos) para “confirmar seus dados pessoais”, incluindo aí o número da conta, agência, senha…

    Não precisamos dizer que quem cai nessa história tem prontamente todo o dinheiro em sua conta roubado, e ainda corre o risco de ter que arcar com os custos de empréstimos feitos pelos falsários. Isso não significa que você deve evitar o home banking: não dá pra abrir mão desta comodidade com a correria da vida moderna. Basta seguir alguns cuidados básicos, como os que mostramos a seguir. Não garantimos que você ficará imune aos hackers, mas os riscos serão bem menores.

    1. Instale software de segurança

    Não dá pra frisar o quão importante é isso. Instale um pacote anti-vírus e anti-spyware, nem que seja um gratuito como o AVG Free ou o Microsoft Security Essentials, e o mantenha sempre atualizado. Um anti-vírus desatualizado é pior do que anti-vírus nenhum, pois dá uma falsa sensação de segurança.

    2. Tenha cuidado com os e-mails

    Você recebeu uma mensagem do banco dizendo que é necessário algum tipo de recadastramento ou atualização, ou você perderá o acesso à sua conta. Em primeiro lugar, pare e pense: você tem conta no banco que supostamente mandou o e-mail? Não? Então vai atualizar o quê? Descarte a mensagem, pois é golpe.

    Em segundo lugar, preste atenção: os golpistas costumam cometer erros grosseiros de português, que um banco de verdade nunca cometeria. Se a mensagem parece ter sido escrita por um repetente da 5ª série, desconsidere.

    Em terceiro lugar, por mais legítima que a mensagem pareça, não clique em nenhum link. Mesmo um link que parece legítimo à primeira vista pode estar “armado” para levá-lo a uma página falsa que irá tentar roubar suas informações pessoais, isso se não infectar também seu computador com malware. Feche a mensagem, abra um navegador e digite manualmente o endereço do site de seu banco. Veja se a página fala sobre algum recadastramento, se ele for verdadeiro estará lá. Em caso de dúvidas, entre em contato com o atendimento ao cliente do banco.

    3. Não continue na página se ela não for segura

    Antes de digitar seu nome de usuário e senha na página do banco, dê uma espiadinha no endereço. Ele deve começar com “https://” em vez de “http://”. O “s” extra indica uma conexão segura entre o site e seu navegador. Se a conexão não for segura, não prossiga. O Firefox e o Chrome dão uma forcinha, e destacam o começo do endereço em verde se estiver tudo OK.

    4. Use uma senha forte

    As melhores senhas tem pelo menos 8 caracteres e são uma combinação aleatória de letras (idealmente maiúsculas e minúsculas) e números, como “LVtkG70D”. “joao1234” ou “12senha3” não são combinações aleatórias, e são péssimas senhas pois são fáceis de adivinhar (assim como datas de aniversário). Se seu navegador se oferecer para guardar a senha, diga que não. Estas dicas servem não só para bancos, mas para qualquer site ou serviço na web.

    E nem pense em usar a mesma senha do banco em qualquer outro site que você visita. Se você não quer ter o trabalho de criar senhas fortes e se lembrar delas, use um gerenciador de senhas como o LastPass, que é gratuito e funciona com qualquer navegador.

    5. Evite computadores e redes públicas

    Não acesse o site de seu banco, de sua operadora de cartão de crédito ou mesmo uma loja virtual em um computador público, como uma Lan House, nem usando uma conexão Wi-Fi “gratuita” em um shopping ou restaurante. Você nunca sabe o que pode ter sido instalado no computador (há programas chamados keyloggers, que capturam tudo o que é digitado e enviam a informação para um criminoso) ou se há alguma “escuta” na conexão.

    6. Proteja informações confidenciais

    Se você guarda recibos de banco ou formulários de imposto de renda no computador, encontre uma forma de criptografá-los. Assim, mesmo que seu computador cair em mãos erradas eles estarão a salvo de bisbilhoteiros. Uma alternativa é guardar estes arquivos em um pendrive ou HD externo com criptografia e um leitor de impressões digitais integrado. Assim, só você terá acesso a eles.

    Fonte: IDGNow

    Tags: Dicas, segurança
    Publicado em Boas práticas | Nenhum comentário »

« Posts Mais Antigos
Posts Mais Novos »