Notícias Segurança

A Câmara dos deputados aprovou hoje o projeto que torna crime a invasão de computadores, os “cybercrimes”. O Projeto de Lei 2793/11, do deputado Paulo Teixeira (PT-SP) e outros, tipifica cimes cibernéticos no Código Penal (Decreto-Lei 2848/40). O texto prevê pena de reclusão (cadeia) de seis meses a dois anos e multas para quem “obtiver segredos comerciais e industriais ou conteúdos privados por meio da violação de mecanismo de segurança de equipamentos de informática”. A pena também vale para o “controle remoto não autorizado do dispositivo invadido”. Ainda há a previsão de extensão de 1/3 a 2/3 da pena se houver “divulgação, comercialização ou transmissão a terceiro dos dados obtidos”, além de 1/6 a 1/3 se a invasão resultar em prejuízo econômico e de 1/3 a metade se o crime for praticado contra autoridades públicas, como presidente da república, governadores e prefeitos.

A votação foi acelerada devido ao caso Carolina Dieckmann, atriz teve fotos íntimas divulgadas por alguém que teve acesso ao seu computador. Após passar pela Câmara, o texto agora se encaminha para análise e votação pelo Senado, e se aprovado para assinatura pela presidente Dilma Rousseff. Uma série de profissionais das áreas de segurança da informação, direito e tecnologia da informação rapidamente criticaram o projeto de forma veemente por alguns de seus artigos, e também pela forma que o projeto fora aprovado.  Veja mais detalhes sobre a votação ou leia o projeto de lei na íntegra em Câmara aprova punição para crimes cibernéticos – Agência Câmara de Notícias.

Posts Relacionados

California aprova lei contra perfil falso em redes sociais

Revista Segurança Digital em sua 3a edição ( via @_SegDigital )

Novo malware para Windows 7 - arquivos de atalho

Webinar e sorteio de curso de Teste de Invasão em Redes sem Fio da Clavis

A Academia Clavis Segurança da Informação disponibilizou ontem, dia 15 de maio de 2012, o vídeo de um novo webinar sobre Segurança da Informação. Nesta edição, o tema foi “As Provas e as Evidências na Investigação dos Crimes Informáticos“.

Quem ministrou e como foi este Webinar?

Este Webinar foi ministrado pelo Walter Capanena, instrutor do próximo lançamento da Academia Clavis, o curso “Direito para Administradores de Redes, Peritos Forense e Pentesters”. Walter fez neste webinar uma breve introdução do sistema jurídico brasileiro, e abordou as leis e o procedimento penal.

Qual foi o objetivo deste novo webinar da Clavis Segurança da Informação?

Este webinar teve o objetivo de mostrar ao especialista em TI as formalidades e os procedimentos legais de investigação penal, com foco nos crimes cometidos por meios eletrônicos. Foram abordadas os princípios, normas constitucionais e a legislação correlata.

O palestrante dessa edição, Walter Aranha Capanema, é advogado, consultor, coordenador do Projeto “Combate ao Spam”, Professor de Direito Administrativo Direito Processual Civil (processo eletrônico), Direito Penal (crimes contra a propriedade imaterial), Metodologia da Pesquisa e Didática da Escola da Magistratura do Estado do Rio de Janeiro (EMERJ); de Direito Público dos Cursos de Pós-Graduação em Direito Público e Direito Imobiliário da Universidade Estácio de Sá (UNESA); de Direito do Estado da Universidade do Estado do Rio de Janeiro (UERJ) e dos Cursos de Direito Eletrônico e Processo Eletrônico da OAB/RJ, da Caixa de Assistência dos Advogados do Rio de Janeiro (CAARJ) e da Escola Superior da Advocacia (ESA). É Secretário-Geral da 1ª Comissão de Direito e Tecnologia da Informação da OAB-RJ para o biênio 2010-2012, e membro da Comissão dos Crimes de Alta Tecnologia da OAB-SP, onde dirige a Coordenadoria de Crimes contra a Privacidade e a Intimidade. Integra também o capítulo brasileiro da Cloud Security Alliance BR.

Este Webinar foi realizado com a mesma infra-estrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação. Os demais vídeos dos Webinars da Clavis podem ser vistos na página de Webinars da empresa.

Aproveite a oportunidade e veja o calendários dos próximos cursos Online (EAD) e Presencial da Academia Clavis:

Próximos Cursos Presenciais – Academia Clavis Curso Data Metasploit Framework
Belo Horizonte e parcial online 16, 17, 19, 21, 26 e 28 de junho de 2012 (dias 16 e 17 presencial no BHack, os demais dias online de 19:00 as 22:00). Desenvolvimento Seguro – Security Development Lifecycle (SDL)
Rio de Janeiro – RJ 27, 28, 29 e 30 de agosto de 2012 das 09:00 as 18:00 horas. Teste de Invasão em Redes e Sistemas
VII Workshop SegInfo
Rio de Janeiro – RJ 27, 28, 29 e 30 de agosto de 2012 das 09:00 as 18:00 horas. Auditoria de Segurança em Aplicações Web
Rio de Janeiro – RJ 16, 17 e 18 de outubro de 2012 das 09:00 as 18:00 horas.

 

Próximos Cursos EAD – Academia Clavis Linux Essentials EAD (Em Andamento) 28 de abril, 2, 5, 9 e 12 de maio de 2012 (quartas de 19:00 as 22:00 e sábados de 09:00 as 13:00 horas). Desenvolvimento Seguro de Aplicações Web EAD 17, 22, 24, 29, 31 de maio e 05 de junho de 2012 (terças e quintas das 19:00 as 22:00 horas). Auditoria de Segurança em Aplicações Web EAD 19, 23, 26 e 30 de maio e dia 02 de junho de 2012 (sábados das 09:00 as 13:00 horas e quartas das 19:00 as 22:00 horas). Proteção de Perímetro de Redes com Software Livre EAD 05, 10, 12, 17, 19 e 24 de julho de 2012 (terças e quintas das 19:00 as 22:00 horas). Teste de Invasão em Redes e Sistemas EAD 09, 13, 16, 20, 23, 27 e 30 de junho de 2012 (sábados das 09:00 as 13:00 horas e quartas das 18:45 as 22:00 horas). Análise Forense de Redes EAD 14, 18, 21, 25 e 28 julho de 2012 (sábados das 09:00 as 13:00 horas e quartas das 18:45 as 22:00 horas). Fortalecimento de Servidores UNIX/Linux EAD 20, 25, 27 de setembro e 2, 4 e 9 de outubro de 2012 (terças e quintas das 19:00 as 22:00 horas)

Até o próximo webinar e/ou curso!

A 9ª edição do CNASI – Brasília/DF, que irá acontecer nos dias 23 e 24 de maio, receberá uma programação de palestras técnicas especial. Palestrantes como André Luiz Furtado Pacheco – auditor do TCU e Júlio Figueiredo – especialista em governança de dados / IBM fazem parte da equipe.

Teremos também a palestra técnica “Auditorias Teste de Invasão para Proteção de Redes Corporativas” do Rafael Soares Ferreira, diretor de tecnologia da Clavis Segurança da Informação e colunista do SegInfo.

Já nos Cases de Sucesso, Pedro Ivo, diretor comercial da Arcon, contará o caso “Tribunal de Justiça do Estado de São Paulo, no dia 23 de maio das 16h45 às 17h15.

No congresso haverá o painel de debates ministrado pelo Delegado da Polícia Civil, José Mariano de Araújo Filho e pelo Perito Criminal Federal, Ivo Peixinho. O tema do painel é “Crimes Cibernéticos” e irá ocorrer no dia 24 das 10h45 às 12h.

Para saber a programação completa acesse: http://www.cnasi.com.br/df/programacao.php

Posts Relacionados

Blog SegInfo na Rede CBN!

XSS-Harvest: Coletando XSS, cliques do mouse, teclado e cookies

Artigo sobre segurança em lojas de aplicativos em dispositivos móveis

China pode banir empresas de segurança da informação estrangeiras de prestar serviços ao governo

Foi lançado semana passada a quinta versão do OpenVAS, uma solução de rastreamento e gerência de vulnerabilidades que oferece uma série de serviços e ferramentas integradas. Lançado um ano após o OpenVAS 4, e em testes (beta) desde janeiro, o OpenVAS 5 permite rastrear mais de 25.000 vulnerabilidades, e trouxe 20 novas funcionalidades, que focam em simplificar o seu uso. Veja a lista completa de mudanças em OpenVAS – News Archive – May 10th, 2012 – OpenVAS-5 released: New Asset-Management, Delta-Reports and embedded SCAP-Data.

Posts Relacionados

Restropectiva Blog SegInfo - Notícias e Artigos mais acessados em 2011

Vulnerabilidade no Ubuntu Linux

Homem condenado a 7 anos de prisão por trojan que fazia ligações

Microsoft anuncia atualizações para a próxima patch tuesday, dia 14 de setembro

O Inmetro (Instituto Nacional de Metrologia, Qualidade e Tecnologia) do Rio de Janeiro promove neste mês de maio o Workshop de Grafos & Aplicações. O encontro ocorrerá no dia 25 de maio de 2012 no Auditório do Prédio 6 – Campus do Inmetro, localizado na Avenida Nossa Senhora das Graças, 50 em Xerém, município do Rio de Janeiro, e conta com inscrição gratuita e vagas limitadas. Haverá também transporte gratuito saindo da UFRJ (Fundão, Centro de Tecnologia – CT).Veja a programação completa aqui e inscreva-se em Inmetro – Workshop de Grafos e Aplicações – Inscrição.

Posts Relacionados

Vulnerabilidade no access point Linksys WAP610N: console root sem autenticação

Vulnerabilidade nos equipamentos Cisco Tandberg séries E, EX e C - root sem senha

Exploit AutoFill no Safari? Veja a prova de conceito.

Inscrições promocionais prolongadas e divulgada grade de palestras do Workshop SegInfo

Foram confirmados dois novos palestrantes para o VII Workshop SegInfo através da chamada de palestras: Fernando Mercês e Ricardo Brigatto Salvatore.

Fernando Mercês, consultor de segurança da informação na 4Linux, idealizador do evento Universidade Livre e autor do site Mente Binária, palestrará sobre computação forense. Mais especificamente: formas de análise de memória RAM em ambientes GNU/Linux.

Já Ricardo Brigatto Salvatore, oficial da reserva da Marinha do Brasil com mais de 10 anos de atuação na área de segurança da informação, irá apresentar a palestra “Defesa em Profundidade e Monitoração”, sobre “uma visão gerencial das 6 camadas de defesa propostas pelo SANS Institute e os 20 controles críticos para segurança da
informação acordados pelos governos dos EUA, Australia e Grã-Bretanha. A palestra pretende relacionar a arquitetura de defesa das informações com a realidade das organizações e a monitoração das defesas implementadas”.

Veja mais detalhes sobre as palestras do VII Workshop SegInfo em Evento SegInfo – VII Workshop de Segurança da Informação – SegInfo. De 27 de agosto a 01 de setembro de 2012 na cidade do Rio de Janeiro – RJ. E você, ainda não fez sua inscrição promocional? (: Faça-a aqui e agora.

Posts Relacionados

Google corrige 19 vulnerabilidades do Chrome antes do evento Pwn2Own

Corrigidas duas falhas de segurança no OpenSSL

Urnas com identificação biométrica falham em 7% dos eleitores

Juiz estadunidense julga que assinantes de provedores de Internet não tem expectativa de privacidade

Temos prazer em informar que a Clavis Segurança da Informação é Patrocinadora Ouro da 7a edição do Workshop SegInfo.

Fundada em 2004 por universitários da UFRJ, a Clavis Segurança da Informacão é uma empresa especializada em soluções e treinamentos na área de segurança da informação. Na área de soluções e consultoria, a Clavis oferece ao mercado soluções especializadas de Auditoria de Segurança em Aplicações Web, Auditoria Teste de Invasão e Gerenciamento Centralizado de Vulnerabilidades.

Na área de treinamentos, a empresa oferta inúmeros treinamentos no modelo presencial e a distância (EAD), entre eles: Curso Oficial EC-Council Certified Ethical Hacker (CEH), Metasploit Framework, Auditoria de Segurança em Aplicações Web EAD, Desenvolvimento Seguro de Aplicações Web EAD, Análise Forense de Redes EAD, Teste de Invasão em Redes e Sistemas EAD,  entre outros cursos na área técnica de segurança da informação.

A Clavis conta ainda com parceiros estratégicos para agregar valor as soluções e treinamentos ofertados, entre eles podemos destacar: Qualys, EC-Council, Rapid7, TIRio, Inov9 Consultoria, dentre outros importantes parceiros.

Conheça um pouco mais sobre a história, clientes, serviços e treinamentos ofertados pela Clavis Segurança da Informação.

Posts Relacionados

FreeBSD-8.1-RC2

Atualização: Digital Forensics Framework v1.1.0

Marshalled pUnk - Encontrado backdoor de 9 anos no Apple QuickTime que permite execução de código remoto

CERT.org divulga novidades de seu "Controle de Ameaças Internas"

Daqui a duas semanas, nos dias 23 e 24 de maio (quarta e quinta-feira) acontecerá em Brasília a 9ª edição do CNASI – Congresso de Auditoria de TI, Segurança da Informação e Governança. O evento será no Nobile Lakerside Convention e Resort – SHNT Trecho 1 – Lote 2 Projeto Orla 3 – Lago Norte, e será realizado das 8h30 às 17:30.

Os macrotemas são: governança de TI, compliance, auditoria e segurança da informação. Durante os dois dias de evento, haverão cursos e palestras técnicas e de soluções. Dentre os palestrantes, destacamos o colunista do SegInfo Rafael Soares Ferreira, com a palestra “Auditorias Teste de Invasão para Proteção de Redes Corporativas”, assim como o palestrante Jacomo Piccolini, da Team Cymru NFP, que abordará o tema “Panorama dos Ataques no Brasil e América Latina”, e também o painel sobre “Crimes Cibernéticos ” através dos profissinais Ivo Peixinho e José Mariano de Araujo, respectivamente, Perito Criminal Federal da Polícia Federal Brasília e  Delegado Polícia Civil de São Paulo.

Veja mais detalhes sobre o evento, como a programação completa, em .: CNASI DF – Congresso de Auditoria de Sistemas, Segurança da Informação e Governança :..

Posts Relacionados

Israel e Estados Unidos estariam diretamente envolvidos com o ataque do Stuxnet no Irã, afirma NYT

Ex-funcionários são responsáveis por mais de um terço dos casos de vazamento de informação, revela pesquisa

Dados de inscritos no Enem vazaram

Será discutida "A lei contra cibercrimes" em reunião na Câmara dos Deputados

A Folha divulgou extensa entrevista com o general José Carlos dos Santos, comandante do CDCiber (Centro de Defesa Cibernética), que fará sua estreia na Rio+20, conferência da ONU para Desenvolvimento Sustentável que ocorrerá a partir do dia 20 de junho. Dos Santos detalha a implantação do novo órgão, como está sendo feito o treinamento dos militares e integração entre forças armadas e outros órgãos do governo. Confira a entrevista em General detalha implantação do Centro de Defesa Cibernética, novo órgão brasileiro.

Posts Relacionados

Snort.org retoma série de webcasts sobre Snort

Novo ciclo do Wireshark e reconhecimento SourceForge

MacOSX 10.6.4 corrige 23 falhas de segurança

Uma lista repleta de listas de ferramentas de segurança (por @suffert)

Inclusão do War Games no formato online no RioInfo 2012, com premiação, é uma das novidades deste ano

A sétima edição do SegInfo, Workshop de Segurança da Informação, será realizada dos dias 27 de agosto a 1º de setembro no Centro de Convenções da Bolsa de Valores do Rio de Janeiro. É um dos maiores eventos sobre segurança da informação no país. Participam gerentes, empresários, executivos e pesquisadores da área. As inscrições estão abertas, com informações no http://www.evento.seginfo.com.br.

O evento engloba a terceira edição do War Games SegInfo, competição que testa a segurança dos sistemas de informática com grupos de competidores que farão jogos de defesa e ataque de informações. O objetivo é conscientizar as empresas da área sobre a importância de aperfeiçoar as medidas de segurança. A final será realizada durante o Rio Info 2012, o maior evento de TI do país, que acontece de 3 a 5 de setembro no Hotel Royal Tulip (antigo Intercontinental), em São Conrado.

Além das abordagens acadêmica e empresarial, o SegInfo tem como diferencial incentivar e aperfeiçoar pesquisas, empreendimentos e inovações sobre o tema. Serão realizadas palestras sobre temas dos setores jurídico, social e corporativo, debates e cursos. O evento deste ano também contará com campeonatos, desafios e a participação de especialistas brasileiros e internacionais. Dos dias 27 a 30 de agosto acontecerão três treinamentos na área de segurança da informação, e nos dias 31 de agosto (sexta-feira) e 1º de setembro (sábado), palestras, debates e mais cursos.

Cinco dos palestrantes do evento são convidados pela organização. Já para outras onze palestras, a organização recebe sugestões de temas. Os interessados devem encaminhar suas propostas, que serão submetidas a uma comissão avaliadora – os selecionados serão incluídos na grade de palestras. Caso o proponente seja de fora do Rio, terá sua hospedagem e passagens financiadas pela organização.

Dentre os palestrantes confirmados, estão renomados nomes da área, como Rodrigo Rubira Branco, Diretor de Pesquisas em Vulnerabilidades e Malwares da Qualys, com a palestra “Demonstrando o uso de recursos computacionais existentes em software para exploração de vulnerabilidades”, e Ricardo Kleber, professor de Segurança de Redes de Computadores IFRN, que palestrará sobre a implementação do NARIS na UFRN em 2002. O NARIS é o Núcleo de Atendimento e Resposta a Incidentes de Segurança da Informação da UFRJ, e um dos primeiros Grupos de Resposta a Incidentes de Segurança Computacional acadêmicos do Brasil. Ao todos são 6 os renomados palestrantes confirmados, a lista completa pode ser visualizada aqui.

Já os treinamentos com os temas “Teste de invasão em redes e sistemas”; “Tecnologia para programação segura” e “IT Disaster Recovery Analyst”, serão realizados das 9 às 18 horas, de segunda a quinta-feira (27 a 30 de agosto), num total de 32 horas cada.

Os participantes das palestras ou dos treinamentos estarão automaticamente habilitados a participarem do War Game, que acontece durante o Rio Info 2012. Este ano, pela primeira vez, a competição será disputada online, com cinco jogos. Em breve serão divulgadas mais informações.

É possível acompanhar os preparativos para o evento na internet através do blog e das mídias sociais: seginfo.com.br; Facebook: facebook.com/seginfo e Twitter: @seginfo.

Realização: TI Rio / SEPRORJ – Sindicato das Empresas de Informática do Estado do Rio de Janeiro.

Apoio Institucional: SEBRAE RJ

Patrocínio: Bluepex, Daryus e Clavis

Apoio: EC-Council, Qualys, CNASI, Academia Clavis, Módulo, Convergência Digital, Stay Safe, TecnoHall, CSA Brasil (Cloud Security Alliance) e WVF’S Brasil.

Evento: Sétima edição do SegInfo, Workshop de Segurança da Informação
Quando: de 27 de agosto a 1º de setembro
Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro – Praça XV de Novembro, 20 – Centro (Praça XV) – RJ (mapa)

Veja como foi a última edição do evento:

Resumo VI edição do Workshop de Segurança da Informação – SegInfo por SegInfo no Videolog.tv.

É com muito prazer que a organização da sétima edição do Workshop de Segurança da Informação – SegInfo divulga o primeiro grupo de palestrantes selecionados e confirmados para o evento.

Palestrantes confirmados:

• Nelson Brito, Pesquisador Independente;
• Nelson Murilo, Consultor de Segurança e Diretor da Pangeia Informática;
• Ricardo Kleber, Professor da área de Segurança de Redes do Instituto Federal do Rio Grande do Norte – IFRN;
• Rodrigo Rubira Branco (BSDaemon), Director of Vulnerability & Malware Research, Qualys;
• Wagner Elias, Co-Founder & CTO at Conviso IT Security;
• Walter Capanema, Secretário-Geral da Comissão de Direito e Tecnologia da Informação da OAB-RJ;

Nos próximos dias a organização irá divulgar no site do evento mini-currículo de todos os palestrantes confirmados, assim como maiores detalhes das palestras a serem ministradas. Vale lembrar que um novo grupo de palestrantes será divulgado no dia 10 de maio de 2012, e um outro grupo até o dia 28 de maio de 2012.

Para mais informações sobre a Chamada de Trabalho do SegInfo, entre elas: lista não exaustiva de possíveis temas das palestras, formato de envio, custeios e considerações gerais – por favor acesse:  http://www.evento.seginfo.com.br/palestras

Artigo por Filipe Villar.

Quando se fala em tratamento de riscos, uma das possibilidades é a de terceirização, isto é fazer um seguro (o exemplo mais clássico da terceirização de riscos) sobre determinado processo ou ativo cujo risco seja maior do que o nível aceitável, porém com controles compensatórios mais caros do que a contratação do tal seguro.

Um dos processos mais críticos para as empresas é a gestão da segurança da informação. Muitas vezes nascida e mantida dentro da área de TI em virtude dos executivos entenderem que Segurança da Informação é o mesmo que Segurança de TI, esse processo é carregado de responsabilidades que podem envolver desde a gestão dos controles de segurança até questões envolvendo perícias e análise de artefatos e desdobramentos legais. Normalmente a gestão de segurança da informação é considerada pela literatura como sendo uma área cujo reporte deveria ser feito diretamente à presidência da companhia ou a uma diretoria específica e que, por isso, estaria numa situação de topo de pirâmide na organização.

Recentemente acompanhei uma discussão sobre a possibilidade de se terceirizar essa área, fazendo-se o uso de consultoria em substituição de uma equipe interna e formada exclusiva ou predominantemente por profissionais internos. O tema levantado era bem direto: deveria ou não ser possível a terceirização da gestão de segurança da informação?

Como consultor já tive experiências sendo terceirizado com essa finalidade, bem como já tive a oportunidade também de trabalhar em uma empresa cuja área de segurança da informação era total e exclusivamente interna à empresa. E a conclusão à que chego para essa situação é: “depende”. Ambas as possibilidades são válidas (e amplamente praticadas), mas cada caso continuará sendo um caso. Mas para evitar o impasse de opinião desse artigo, vamos tentar abordar os prós e contras de cada possibilidade.

Terceirizado

Assim como no início desse artigo, deve-se manter em mente que a terceirização de qualquer atividade envolve a aceitação dos riscos das coisas não irem exatamente como o esperado ou planejado. Em se tratando da área de gestão de segurança da informação, e de todos os detalhes estratégicos envolvidos, a terceirização pode ser considerada em alguns casos como, por exemplo:

• start up da área: A empresa pode não ter estrutura de pessoal para fazer o início das atividades ou mesmo alguma outra deficiência como falta de conhecimento e cultura interna, mas por outro lado por uma questão regultória ou de direcionamento de mercado a empresa deve apresentar em um curto espaço de tempo atividades de SI. E não são raras as empresas que têm essas prerrogativas. A questão é que depois de um tempo agindo, o provisório acaba assumido (muitas vezes) a característica de “provinitivo” (provisório que se tornou definitivo). É necessário um direcionamento estratégico que permita a alta cúpula questionar sobre a internalização ou não.
• carência de mão de obra: É o que acontece nos casos em que a empresa precisa de uma equipe mais estruturada, mas não busca (ou não consegue buscar) mão de obra especializada no mercado para contratação. Para esse cenário o mais comum é ter um gestor da empresa ao qual a equipe terceirizada se reporte e de quem venham as instruções, determinações, diretrizes e tudo mais relacionado ao direcionamento da área. Especificamente nesse caso, o gestor assume uma posição de altíssimo risco visto que ele é o responsável por todas as atividades da equipe de gestão de segurança, mas os resultados são dependentes diretamente do quão capacitada e comprometida essa equipe estará com a organização. E considerando que a gestão de segurança da informação é uma atividade estratégica, o conhecimento do negócio por parte dos integrantes da área é de extrema importância e representa a tênue diferença entre o sucesso e o fracasso desa equipe. E como se não bastasse, o risco do gestor é potencializado justamente pelo fato de ser inviável a rotação da equipe visto que a curva de aprendizado sobre o negócio e os processos internos tem um crescimento muitas vezes suave.
• Política da terceirização: pode parecer estranho e um tanto que arriscado de mais, mas há empresas que optam pela terceirização ao máximo que puder. E ok se isso fizer parte da estratégia escolhida pela gestão, mas quando é essa a escolha, espera-se que hajam controles que cuidem com certo apreço dos contratos, SLAs, questões trabalhistas e todos os outros possíveis desdobramentos. A empresa que opta pela terceirização como base de sua gestão tem na verdade outro fator que os onera subjetivamente que é a questão da retenção do conhecimento e criação/manutenção de uma cultura própria. Mas por outro lado, os benefícios de não ter os custos trabalhistas e de impostos pela quantidade de funcionários, a possibilidade de ser capaz de trocar de equipe através da simples troca de fornecedor e o benefício de poder ter em sua operação o know-how de outras empresas do mesmo setor agregando valor em seu cotidiano podem acabar por assumirem um peso grande na balança das decisões.

Internalizando

Ao contrário do que se tem nos cenários de terceirização, manter a área de Segurança da Informação internalizada, composta exclusivamente popr funcionários tem a vantagem que todos conhecerão vivenciarão os valores da empresa. Por mais que se leve um tempo até que a equipe esteja enganjada, inevitavelmente será uma área com o DNA da empresa. Isso obviamente tem seu lado positivo, visto que não haverá espaço para o ranço de outras empresas e ainda, por serem funcionários assim como todos os outros profissionais de outras áreas, a integração entre a equipe de segurança da informação e as demais equipes (RH, financeiro e comunicação, por exemplo) tende a ser melhor e mais natural. Afinal, os profissionais estariam juntos em eventos de integração, festas de final de ano, torneios de futebol, o choppinho de sexta e tudo mais que pessoas que compartilham o mesmo empregador costumam fazer. Além disso, atividades mais duradouras como planos de comunicação e conscientização, revisões de análises de risco e PCNs, auditorias internas e tudo mais que leve tempo e ocorra em ciclos seriam melhor aproveitados visto que o histórico e o conhecimento se manteria dentro das paredes da empresa.

Mas nem tudo pode ser tão positivo assim. Normalmente, e note que eu disse normalmente, equipes formadas por funcionários da empresa concorrem com outras áreas em pontos comuns à toda a empresa. É o caso de orçamento, calendários, hierarquias, ordem de seja lá o que for… Isso acaba dificultando que haja disponibilidade de recursos para manter essa equipe atualizada e circulante nos meios. Não que seja impossível, mas como é da natureza de todo bom funcionário (salvo raras exceções), ele acredita que todo investimento em sua melhoria como profissional deve ser provida, facilitada ou mesmo bancada pelo seu empregador. Normal em nossa sociedade de origem patriarcal, mas ainda assim não é difícil ver alguns que entendem que esses esforços beneficiam muito mais o próprio profissional em si do que a empresa.

Acrescente-se a isso, o fato de que não é comum o intercâmbio de funcionários entre empresas. Ao menos nunca ouvi falar de tal coisa acontecer por aqui. Você conseguiria imaginar um funcionário da Apple indo fazer um intercâmbio com um empregado da Microsoft? Soa tão estranho quanto improvável. Não que fosse esperado tal intercâmbio, mas em se tratando de consultorias externas, já torna-se mais possível encontrar consultores que tenham trabalhado em projetos mesmo semelhantes em empresas clientes que fossem concorentes entre si. Sob os olhos da consultoria, isso é bem normal e praticado visto que podem haver processos e objetivos semelhantes entre as concorrentes, o que reduz o tempo de aprendizado e de atendimento.

Por isso é que normalmente (e, de novo, atenção ao “normalmente”) equipes formadas exclusivamente por funcionários podem apresentar alguma defasagem de experiência. Não que isso seja tão prejudicial assim, mas ao menos os riscos de descontinuidade e de vazamento de informações acabam sendo reduzidos.

Então, qual é a melhor escolha: terceirizar ou não os riscos e/ou alguma área? Encerro deixando essa pergunta propositalmente sem uma resposa definitiva porque, como dito anteriormente, cada caso será um caso. Se a duvida persistir, pode me escrever que tento ajudar.

Posts Relacionados

War Driving Day - Sistema, Antenas, Dispositivos e Ferramentas utilizadas

Proteção de software em ambientes hostis: além da criptografia e da esteganografia

Cartilha de Segurança da Informação para usuários não técnicos

Auditoria Teste de Invasão(Pentest) - Planejamento, Preparação e Execução

Temos prazer em informar que a Daryus Strategic Risk Consulting é Patrocinadora Ouro da 7a edição do Workshop SegInfo.

Desde 2005 a DARYUS Consultoria e Treinamento atua com Planejamento Estratégico em Continuidade de Negócios, Gestão de Riscos, Governança e Segurança da Informação, sendo uma referência para empresas exigentes que procuram os melhores serviços aderentes as melhores práticas internacionais com competência, capacidade técnica e qualidade comprovada.

Através de suas duas unidades de negócios, Education Center e Consulting, a empresa alia conhecimento, experiência e capacitação contínua a uma visão analítica simples focada em soluções inteligentes através de serviços acima da expectativa dos clientes.

Conheça mais sobre a Daryus em http://www.daryus.com.br/

Posts Relacionados

Apresentação Inception @h2hconference - via @nbrito

Evento "BlackBull Security Day - O Brasil na mira das ameaças virtuais"

Vulnerabilidade de autorização cruzada no Facebook corrigida silenciosamente

Novo malware para Windows 7 - arquivos de atalho

Estudo de segurança mostra que embora o número de vulnerabilidades tenha caído 20%, o número de ataques maliciosos aumentou 81% em 2011. A alta mais expressiva foi no segmento mobile – um aumento de 93% de janeiro a dezembro. Por outro lado, o número de emails indesejados (spams) caiu 20%. Veja mais detalhes sobre o estudo realizado pela Symantec em Mobile vulnerabilities increased by 93%.

Posts Relacionados

Vulnerabilidade no Cisco Internet Streamer

Digital Forensics Framework (DFF) atualizado para versão 1.0.0

Bug no CAPTCHA em áudio do Google

Vulnerabilidade no ICQ 7

O WordPress é o sistema de gerenciamento de conteúdo (CMS) mais utilizado no mundo; segundo dados da Alexa, roda em 22% de todos os sites do mundo. Por ser utilizado em larga escala, é um alvo de usuários maliciosos, que buscam falhas que podem afetar diversos sites que utilizam a ferramenta; no entanto, é bastante seguro desde que haja uma preocupação constante com a segurança, tanto em procedimentos pós-instalação quanto na instalação das atualizações assim que disponibilizadas e no seu gerenciamento do dia-a-dia.

Trazemos hoje a sugestão de uma série de links e vídeos para que você possa manter seguro o seu WordPress:

• Lockdown WordPress – A Security Webinar with Dre Armeda | Sucuri
• 11 Best Ways to Improve WordPress Security | Pro Blog Design
• Hardening WordPress Security: 25 Essential Plugins + Tips
• Hardening WordPress « WordPress Codex

Com a migração de serviços para a nuvem, muitas vezes há a impressão de que manter o sistema operacional e o navegador atualizados é o suficiente para manter a segurança em todos os serviços, e isto está longe de ser verdade. Como exemplo, vimos na última semana duas falhas em serviços bem populares da Microsoft: o Hotmail e o Skype.

O Hotmail apresentou uma falha no processo de recuperação de senhas que permitia “resetar” a senha de qualquer usuário, devido a um problema na validação do sistema de tokens. A falha chegou a ser explorada largamente, inclusive com videotutoriais no YouTube explicando o processo. No entanto, na última sexta-feira, a Microsoft corrigiu a falha.

Já a falha do Skype é mais sutil, mas que também pode revelar detalhes indesejados sobre o usuário – um pesquisador de segurança russo descobriu que é possível descobrir os endereços IP externos e internos de todos os dispositivos do usuário que estejam conectados no Skype. Assim, é possível descobrir a localização do usuário mesmo que ele tenha escolhido ocultá-la nas configurações do programa.

Veja mais detalhes sobre as duas falhas de seguranças em SSegurança – blog.suffert.com: Hotmail e Skype – falhas de segurança e privacidade.

Posts Relacionados

Ferramenta Wfuzz 2.0

Twitter habilita o Content Security Policy (CSP) em seu site mobile

Veja como foi o Workshop Análise Forense Computacional realizado dia 19/01

Lançado Google Chrome 5.0.375.125

O CERT lançou ontem o Linux Triage Tools 1.0, um conjunto de ferramentas para verificar se um determinado programa Linux possui alguma vulnerabilidade conhecida, classificando os bugs encontrados por severidade. O Triage Tools foi construído a partir do GNU Debugger (gdb), sendo portanto uma versão modificada ou extensão deste. A ferramenta inclui ainda um script wrapper para execução em lote (múltiplos arquivos). Veja mais detalhes sobre o lançamento da ferramenta em CERT/CC Blog: CERT Linux Triage Tools 1.0 Released.

Posts Relacionados

Compilação do US-CERT das vulnerabilidades da primeira semana de novembro

Lançado Metasploit Framework 3.4.0

Microsoft lança notificação avançada de boletim de segurança sobre as correções da tuesday patch de novembro

Google está desenvolvendo extensões para melhorar a segurança do Java

Numa audiência pública no Congresso Nacional sobre a estrutura de segurança e defesa do Brasil para a organização dos grandes eventos internacionais que serão realizados no país nos próximos anos – Copa das Confederações e Jornada Mundial da Juventude em 2013, Copa do Mundo em 2014 e Olimpíadas em 2016 -, o diretor da Agência Brasileira de Inteligência (Abin), Luiz Alberto Sallaberry, afirmou nesta terça (24) que nunca estivemos tão próximos de um ciberataque terrorista:

“Desde o descobrimento do Brasil não tivemos atentados e nunca fomos alvo. Mas, pela primeira vez em nossa história, vamos sediar grandes eventos – o que nos coloca numa situação de exposição sem precedentes. Não estamos aqui com mensagem alarmista, mas, no contexto atual, não houve momento mais propício para atos terroristas no País”

O discurso foi complementado pelo representante do Gabinete de Segurança Institucional da Presidência da República, major-brigadeiro Gerson Nogueira Machado: “Um ataque cibernético pode paralisar a maior empresa aérea, acabar com um evento como esses”.

Especificamente no âmbito da Segurança da Informação, a Abin vem se preparando com o treinamento de seus agentes no Brasil e no exterior, para atuar já em junho, na Rio+20, e trocando informações com órgãos semelhantes de outros países, segundo o diretor do Departamento de Integração do Sistema Brasileiro de Inteligência da Agência, Carlos Alberto Ataíde Trindade.

Veja mais detalhes em Abin: Copa do Mundo deixa o Brasil vulnerável a ataques terroristas – Agência Câmara de Notícias e Audiência discute possibilidade de cibertaques em grandes eventos no País – Internet – IDG Now!.

Posts Relacionados

Vulnerabilidade de autorização cruzada no Facebook corrigida silenciosamente

Paletras Gratuitas no RJ - Gerenciando Riscos em SI e a Importância das Auditorias Teste de Invasão (via @daryusbr)

Malware espalhado no twitter com os trending topics

HTTPS no Facebook suprimido por aplicações que não suportam

A equipe de desenvolvedores do OpenSSH lançou a versão 6.0 da implementação livre do protocolo SSH. A versão 6.0 do OpenSSH é basicamente um release de correção de bugs: traz apenas 5 novas funcionalidades, enquanto corrige 10 correções (e mais 6 para a versão portável), nenhuma delas falha de segurança crítica. Veja mais detalhes sobre as novas funcionalidades e as correções no site do OpenSSH.

Posts Relacionados

Detido o criador do malware Mariposa

Novo Alerta Adobe - Atualização de segurança para o Shockwave Player

Terça-feira é o dia com mais ameaças na rede

70% de todo o spam em SMS são fraudes financeiras

A Clavis Segurança da Informação fechou parceria com o CEFET/RJ e ministrará a palestra Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção no dia 25/04, às 20:30 no Auditório 3, localizado na Rua General Canabarro, 485 – Maracanã, Rio de Janeiro.

A palestra tem como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.

Após a palestra serão sorteados uma vaga nos cursos de Auditoria de Segurança em Aplicações Web EAD e Desenvolvimento Seguro de Aplicações Web EAD, além de outros brindes.

Veja mais detalhes e faça sua inscrição em Empresa Clavis Segurança da Informação » Blog Corporativo » Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.

Lembrando que no começo de maio teremos mais palestras de Segurança da Informação aqui no Rio, promovidas pela Daryus.

Posts Relacionados

Ministério da Justiça irá propor nova lei para a proteção de dados pessoais no País

Variante do ZeuS afeta somente PCs top de linha - so acima de 1,99GHz!?

Usuários do Internet Explorer são os que mais sofrem risco de ataque de injeção DLL

O código-fonte do Stuxnet está disponível online