O Retorno

Após praticamente um ano estou de volta. Posso dizer que muita coisa aconteceu nesse período e por essas e outras não pude escrever como gostaria.

Ficar 6 meses em projeto longe da família trabalhando nos USA não foi fácil, mas posso dizer que o aprendizado prático e a troca de experiência com outros profissionais da área foi simplesmente facinante, realmente coisas que nem o nem Mastercard paga :).

A organização, pragmatismo e profissionalismo das pessoas com quem trabalhei nos USA com certeza serão fundamentais para o resto de minha vida. O desafio da língua, vencer o preconceito de ser tupiniquim e mostrar que nós brasileiros somos capazes foram por si só mais um combustível para aumentar o empenho e desejo de sucesso.

A saudade da família com certeza foi o que mais pesou, a distância de amigos, primos, familiares, minha noiva enfim, foi realmente difícil. A jornada foi cumprida e voltei para o Brazil para encarar novos desafios e ficar perto da família.

Pode até parecer estranho mas deixei nos USA amigos de verdade, pessoas que me acolheram como parte da família, mesmo com todo o frio de Minneapolis me senti acolhido por pessoas que com certeza somente Deus pode ter colocado em minha vida.

Após trabalhar em um projeto de Gestão de Riscos e Compliance nos USA me deparei com o assunto Governança Corporativa ainda trabalhando nos USA e decidi que quando voltasse ao Brasil precisaria me aprofundar no assunto.

Para tanto comecei a procurar literatura que pudesse me apoiar na resposta de algumas questões como:

- O que é Governança Corporativa?

- O que essa disciplina tem em comum com Segurança da Informação? (se é que tem).

- Qual a correlação de Gestão de Riscos e Compliance com a Governança Corporativa?

- E a Governança em TI, Governança de Segurança.

- Governança do que ?

Aliás diga-se de passagem existem milhares de especialistas de plantão, que após duas ou três "gogadas"saem dizendo um monte de termos interessante se vendendo como especialistas em Governança de qualquer coisa.

Outro dia lendo uma entrevista do presidente da Azul Sr. David Neelam me deparei com uma declaração que me fez questionar algumas declarações dos especialistas de plantão.

Segundo o Sr. Neelam para ser especialista no assunto são necessárias mais de 10.000 horas de dedicação. Vale ressaltar que o Sr. em questão fundou várias companhias aéreas e todas muito bem sucedidas, ou seja, ele tem mais de 10.000 horas de estudo e prática, portanto pode ser considerado muito mais que um especialista no assunto "Empresa aérea".

Comecei a ler e estudar um pouco mais sobre o assunto Governança Corporativa quando da minha volta ao Brasil. Comecei de forma bem acanhada, lendo um ou outro artigo sobre o assunto.

Conversando com algumas pessoas mais experientes no assunto fui direcionado para o site do IBGC (Instituto Brasileiro de Governança Corporativa) e durante a minha saga de leitura e estudo me deparei com um livro do professor Professor Dr. Alexandre de Micelli, sem sombra de dúvida um dos maiores senão o maior estudioso e especialista do assunto no Brasil. Ele com certeza tem muito mais de 10.000 horas de dedicação ao assunto :).

Após essa leitura resolvi encontrar um curso em que eu realmente pudesse me dedicar a estudar e trocar experiências com profissionais experientes sobre o assunto.

Para a minha sorte (quem procura acha como se diz na minha terra), encontrei o Curso de MBA da FIPECAFI onde o coordenador em questão é nada mais nada menos que o Professor Dr. Alexandre de Micelli.

Estou muito longe de ter mais de 10.000 de dedicação ao assunto, mas um dia chego lá, enquanto isso pretendo periodicamente compartilhar com vocês opiniões, notícias e meu humilde entendimento sobre os estudos e ricas discussões sobre o tema nas salas de aula.

Bom por enquanto é isso, até o próximo Post onde falaremos sobre Insider Trading.

- O que é isso?

- O que a Segurança da Informação tem em comum com o tema?

Bom essas perguntas poderão ser respondidas somente no próximo Post.

Até lá.

Os 10 maiores CEOs fraudadores

A Governança Corporativa tem sido vista como uma das principais formas de "proteger os direitos dos acionistas ou de todos os interessados, conhecidos como stakeholders" - segundo Wentges 2002, p.74.

Percebe-se porém uma expressiva falta de integridade na esfera social por parte dos responsáveis em dirigir e controlar corporações - A Nova Governança Corporativa de Martin Hilb, 2009, p.14.

Esse comportamento pode ser observado em passado recente nas grandes corporações, seja no âmbito do conselho, CEO, CFO e auditores entre outros. Adicionalmente o uso de stock options e bônus astronômicos são questionáveis.

Recentemente a Time publicou a lista dos 10 maiores CEOs fraudadores dos EUA. É sempre bom aprendermos com o passado e pensarmos que mesmo utilizando-se das melhores práticas de governança corporativa ainda dependemos diretamente do bom caráter de cada um dos executivos envolvidos diretamente e ou indiretamente nas decisões corporativas (no interior chamamos isso de "bom berço").

Se pensarmos que um dos maiores desafios (a muito tempo batido) em Segurança da Informação é garantirmos a segurança em pessoas, percebemos rapidamente que esse também é o desafio para a Governança Corporativa, ou seja, como podemos manter "controle" sobre as ações de altos executivos sem engessar o negócio, mantendo a rapidez e autonomia na tomada de decisão, sem comprometer ou permitir que os interesses individuais (ganhar grandes bônus) sobreponham todos os outros interesses da sociedade, governo, funcioninários, meio ambiente e todas as "camadas" envolvidas pelas tomadas de decisão e gestão das grandes corporações.

Pergunto aos leitores, como o risco em pessoas pode ser analisado, avaliado e tratado?

Em A Nova Governança Corporativa de Martin Hilb, 2009 o autor sugere que o gerenciamento de risco é uma tarefa que pertence ao conselho de administração, assim como a responsabilidade pela sua direção, necessitando porém uma forte integração entre o nível estratégico e operacional.

Então qual é o desafio para garantir essa integração? Abaixo algumas sugestões:
1- Implementar uma linguagem comum de gestão de riscos corporativos em todos os níveis da corporação (Estratégio, Tático e Operacional).
2- Definir as responsabilidades no mapeamento e gestão de riscos em cada um dos níveis.
3- Identificar o apetite de riscos da corporação.
4- Garantir que o mapeamento dos riscos possibilite a visão clara de interdependência das ações, evitando a abordagem fragmentada e isolada, que ocasiona a sobreposição de ações e gastos desnecessários.
5- Evitar uma visão exclusivamente operacional dos riscos.


No próximo post falaremos mais sobre os desafios e Frameworks de implementação de ERM.

O mundo em 2019

Vídeo apresentado pela Microsoft demonstrando como poderá ser o mundo em 2019, totalmente integrado com as tecnologias que conhecemos hoje e até mesmo as que ainda não conhecemos.

E como fica a segurança nesse cenário?

Para corredores

Para não misturarmos os assuntos, inicia-se hoje a SAGA Maratona 2009. Para quem já me conhece um pouco sabe que amo a corrida e no blog estarei publicando artigos e comentários sobre a trajetória.

Então para os amantes da Segurança, Tecnologia e Corrida sejam bem vindos.

Até os próximos Posts.

A história se repete

Os pronunciamentos de Nicolas Sarkozy e de Dominique Strauss-Khahn nos permite inferir sobre o que nos aguarda (talvez muito mais rápido que possamos imaginar).

Talvez os leitores se recordem das empresas Enron, Tyco International, Adelphia, Peregrine Systems e lógico não poderíamos deixar de mencionar a WorldCom. As empresas em questão foram responsáveis por um escândalo que custou bilhões de dólares aos investidores americanos. Essa CRISE praticamente obrigou as autoridades americanas a criarem a SOX com o objetivo principal de regulamentar e recuperar a confiança dos investidores do mercado americano.

Se fizermos um paralelo com as notícias mencionadas e pensarmos na quebradeira (efeito dominó) dos Bancos, outras instituições financeiras e outros setores, é praticamente impossível não concluírmos que teremos novas regulamentações e todos os desdobramentos conhecidos (mais controles).

Agora acho importante ressaltar que a existência de regulamentações e boas práticas não garante o funcinamento da "máquina". A recente quebradeira de bancos americanos nos mostra isso.

Os bancos americanos estavam trabalhando com um índice de alavancagem muito maior que o recomendado pelo Banco Central Americano, mas pergunto, se a recomendação existia como o Banco Central americano demorou tanto tempo para reconhecer o risco, não estava monitorando adequadamente? Ou será que simplesmente aceitou o risco ou pior que isso omitiu esse risco literalmente rezando para que a coisa mudasse.

E como se não bastasse a "coincidência" de fatos, como ficam as auditorias independentes realizadas? Vale recordar que a Arthur Andersen simplesmente sumiu do mapa após os escândalos detectados.No caso dos Bancos as auditorias não perceberam nada antes? Quem auditava o Lehman Brothers por exemplo?


Onde há crise há oportunidade. Com a crise mundial podemos afirmar que teremos novos desafios para adequação as novas regulamentações, normas e alterações na forma de conduzir os negócios, trazendo consequentemente oportunidades para implementação de melhorias, integração, otimização orientada a Risco e atendimento aos objetivos estratégicos definidos, premissas essas totalmente aderentes ao conceito de GRC.

Será que a onda veio mais rápido que esperávamos, ou será um Tsunami?

A caminhada.

Gostaria hoje de compartilhar com os leitores do Blog a alegria que tive no dia de ontem (20 de setembro) ao voltar à Universidade São Francisco onde me formei em Engenharia de Computação em 2001.

Foi muito importante ter voltado onde praticamente se iniciou minha carreira(6 anos antes em 1995) podendo falar da minha profissão para os alunos da Graduação.

Adoro esse contato com as Universidades, a sagacidade dos alunos por conhecimento me faz sentir cada dia mais jovem, forte, disposto e motivado a continuar, literalmente me "recarrega as baterias".

Ontem me recordei de uma citação do professor Randy Pausch, pessoa que não tive a oportunidade de conhecer (infelizmente) mas que lendo seu livro e procurando um pouco de informações de sua vida é fácil descobrir um ser humano simplesmente fantástico, um exemplo de vida.

O professor Randy menciona em seu livro que ele sentia nas aulas e palestras que ministrava uma prazer enorme ao saber que nas aulas tinha a oportunidade de ajudar outros estudantes a obter conhecimento e se tornarem pessoas melhores (prova viva de doação).

Quando ministro aulas realmente tenho um prazer enorme em trocar conhecimento e saber que posso ajudar outras pessoas a refletir sobre segurança da informação ou sobre a própria vida. Sinceramente acredito que a reflexão seja um caminho curto para o equilíbrio e felicidade.

Ontem durante a palestra de 1 hora e meia, falei sobre a evolução da Área de Segurança da Informação, o cenário atual e as perspectivas de carreira. Achei importante destacar que quando eu fiz Universidade o assunto não era tão "abortado", ou seja, é fundamental aproveitar esse momento, muitas coisas que aprendi na área necessitaram de horas e horas e horas de auto estudo e dedicação (não que isso ainda não seja necessário), mas hoje o assunto está mais presente na vida "universitária" dos alunos, basta verificar a existência de matérias de segurança na própria graduação.

O tema por sí só já é muito interessante, e os alunos participaram ativamente com perguntas, realmente foi muito prazerozo e diria também que divertido.

No final da palestra fiz questão de enfatizar a emoção de estar na Universidade (detalhe na sala onde tive várias aulas de cálculo, física entre outras matérias), para trazer conhecimento, podendo assim me tornar também fornecedor de conteúdo e experiências para os alunos da gradução.

Será um momento a ser lembrado, andando pelos corredores vi um filme muito rápido passar pela minha cabeça com várias cenas, dificuldades superadas, desafios vencidos até chegar aqui nesse momento.

Isso só me da mais energia, permitindo saber que ainda existem muitos desafios a vencer mas que quando chegar lá, poderei olhar para trás com orgulho da caminhada.

Certa vez ouvi um provérbio (acho que chinês) que dizia mais ou menos assim... (Eu acho - rsrs).

"O mais importante não é chegar no topo, mas aproveitar toda a caminhada até lá".

Acho que é isso.

Mais um momento muito bacana, simples, mas inesquecível.

Será o fim do mundo???

Realizou-se hoje a primeira tentativa para circular um feixe de partículas no LHC - Large Hadron Collider - que algumas pessoas tem chamado de "a máquina do fim do mundo".

Vale Conferir AO VIVO.

Mais informações.

Fraudes em Cheques

Do Portal G1.

Fraudadores estão aplicando novo golpe utilizando-se de forno microondas para remover a tinta de cheques preenchidos por máquinas. As vezes (ou quase sempre) as vulnerabilidades são mais triviais do que parecem, já diria Albert Einstein, as coisas deveriam se tornar mais simples e não mais simplificadas.

O mundo é plano ... ... e a Segurança da Informação com isso???

Recentemete li o livro - O Mundo é Plano de Thomas L. Friedman - e o mesmo trata inicialmente do processo de Globalização e as alterações econômicas, sociais, educacionais e culturais que aconteceram e ainda acontecerão em virtude desse processo.

Sempre que leio um livro que não tem como assunto principal Segurança da Informação (e tenho feito isso com mais frequência) tento entender se os aspectos abordados podem gerar impacto na área de Segurança da Informação (minha paixão como profissão, assim como a corrida como esporte). Para minha surpresa apesar do livro não tratar diretamente do assunto Segurança da Informação em vários momentos o autor reflete direta ou indiretamente sobre o tema.

Apenas para exemplificar, o autor menciona em vários momentos os desafios de uma empresa para se globalizar e advinhe qual é um grande desafio ??? Se adequar as normas e regulamentações dos países alvo do "pouso" sem engessar o negócio, ou seja, as vezes será preciso abrir a torneira e as vezes fechar. Além disso com a Globalização e também com o avanço tecnológico, cada vez mais o vazamento de informações é fato e vira um incidente de segurança corriqueiro.

Essa semana a revista Exame publicou uma matéria sobre Vazamento de Informações e formas de mitigar esse risco. Para nós profissionais de segurança a matéria pode não trazer novidade alguma, mas me atrai o fato de uma publicação que não é da área de Segurança tratar desse tema, ainda mais uma publicação que trata de negócios e fala a linguagem do gestor, será que Segurança da Informação está entrando mesmo na pauta da Alta Gestão? Tenho CERTEZA que sim.

Em um mundo Globalizado a Segurança da Informação é primordial para o sucesso de uma empreitada Global, seja atendendo a várias regulamentações em diferentes países, analisando os riscos de segurança para o negócio ou ainda garantindo um braço forte para a Governança Corporativa.

Opa ... ... me parece que nesse momento estamos falando de GRC (Governança, Risco e Compliance), e estamos mesmo. Risco para nós profissionais de Segurança não parece ser grande novidade, Compliance pode não parecer também muito distante de nossa realidade, mas Governança Corporativa é muito mais amplo e importante, falar a linguagem dos negócios é primordial para nossa área e nada melhor do que entender os conceitos de Governança e avaliar onde e como a Segurança da Ínformação pode contribuir para esse cenário, de Globalização, Regulamentação, Controles, Riscos e Governança Corporativa.

Recomendo a Leitura desses dois Livros para pensar sobre o tema:
- O Mundo é Plano - Thomas L. Friedman.
- Uma década de Governança Corporativa - IBGC

Como já li os 2 livros em breve estarei publicando em parceria com um amigo artigo mais profundo sobre o tema.

Até o próximo.

O grande irmão.

Se a moda pega (aliás acho que já pegou por aqui faz tempo) a polícia vai instalar Spywares para monitorar suspeitos, e cá entre nós acho que está mais que certo mesmo, se usuários mal intencionados usam desse recurso a polícia tem o direito e dever de usar desses "recursos" tecnológicos para monitorar e obter as informações necessárias para as suas investigações.

Análise de Código

É fato que por mais que se implemente as medidas de segurança em um ambiente de TI, com Firewalls, Sistemas de Detecção e Prevenção de Intrusão, monitoração, NAC, NAP, anti isso, anti aquilo entre outros, um código com BUGS pode expor o ambiente de forma desastrosa.

Sendo assim a implementação de boas práticas de desenvolvimento e elaboração de um processo de desenvolvimento e codificação segura é primordial.

Para auxiliar nesse trabalho uma ferramenta de análise de código pode automatizar a verificação de BUGS(mas mesmo com uma ferramenta dessas acho que ainda nada substitui o bom e velho teste de segurança da aplicação).

Ainda assim esse comparativo de ferramentas do NIST pode ser um bom começo para realizar testes de segurança em aplicações de diversas naturezas.

Relatório Interpol

O relatório de análise forense foi publicado na íntegra, vale a pena conferir, após minha leitura vou publicar os comentários.

Boa leitura.

RELATÓRIO INTERPOL

Ferramenta Indispensável.

Para os profissionais de segurança que alguma vez já precisaram efetuar análise comportamental de um Malware, com certeza já utilizaram as ferramentas do Sr. Mark Russinovich. Confesso que depois da aquisição da Sysinternals pela Microsoft, fiquei "preocupado" com o futuro das ferramentas, mas é ótimo perceber que as ferramentas evoluíram muito e foram incorporadas já a algum tempo na plataforma de sistemas operacionais da Microsoft.

Essa semana tive que utilizar o Process Monitor e resolvi testar a nova versão, achei simplesmente fantástico, facilita muito a análise de binários.

Aqui o link link para a ferramenta Process Monitor e demais ferramentas.


Adicionalmente recomendo assistirem ao vídeo do próprio Sr. Mark.

Bons testes (rs).

Nova roupagem para velhos conhecidos

Enquanto "velhos" atores e artistas são ressuscitados através de filmes e documentários trazendo nova roupagem para velhos conhecidos (Rocky Balboa, Rambo4, Indiana Jones, Jackson 5 entre outros) vejo que também na área de segurança velhas vulnerabilidades trazem novo problemas.


Uma notícia do Computer World me fez lembrar dos primeiros ataques direcionados aos usuários (PHISING) que tinham como objetivo alterar as configurações de DNS da estação ou o arquivo hosts do Windows direcionando o usuário para um site fake.

Agora o ataque é praticamente o mesmo porém direcionado para outro "ativo", nesse caso o roteador Wireless.

O chamado "drive-by pharming" compromete os roteadores Wireless que usam o antigo VENENO usuário e senha padrão.

Está ai, velhos truques com novas roupagens.

A insegurança em locais inimagináveis

A cada vez que vejo uma notícia como essa de um garoto que consegue ocasionar um estrago real usando vulnerabilidades tecnológicas simples, tenho a certeza que o futuro "promete", afinal tecnologia e conectividade estão presentes em literalmente tudo (imagino uma geladeira IP sendo comprometida -rs), chego até a pensar que o filme Duro de Matar 4 pode não estar exagerando tando assim (mas pensando bem invadir um satélite usando um Nokia Communicator com Symbian é D+ pra mim).

Todos os dias novas tecnologias surgem e dai a necessidade de novas preocupações com segurança, novas especificações, novos padrões, e antes mesmo de implementarmos novas tecnologias SEGURAS, aparecem outras, depois outras e sucessivamente, realmente vira uma corrida contra o tempo (me lembro sempre da imagem de um cachorro correndo atrás do rabo).

Com isso vão se criando legados muito rapidamente e esses consequentemente vão ficando praticamente esquecidos, até que um profissional totalmente paranóico de segurança da informação (afinal ser paranóico às vezes é preciso, mas com sabedoria, mesmo que pareça difícil) lembre dela ou aconteça um evento como o anteriormente mencionado.

Gostei também da conclusão do Schneier.

Classificando Incidentes.

É fato que muitas vezes classificar um incidente e priorizar o atendimento é um problema, principalmente para a operação de SOC que monitora muitas máquinas, ambientes e diferentes sistemas, tratar todos os eventos realmente é impossível, categorizar para priorizar as análises e atendimento é fundamental.

Quanto o assunto são as vulnerabilidades, automaticamente tratamos de classificação quanto a sua criticidade, mas isso nem sempre acontece com eventos e incidentes de forma geral.

Como parte de um fluxo de tratamento de incidentes os mesmos deveriam ser classificados, mas nem sempre a regra é clara, ocorrendo a classificação por talento.

Nesse caso usar um Framework como o proposto aqui seria de grande valia, vale a leitura, reflexão e até mesmo a colaboração para um "Framework" dessa natureza.

Usabilidade BY MORDAC.

Essa do Dilbert é imperdível.

A doença do Gestor de Segurança – Falsa Sensação de Segurança

O corpo humano é uma máquina fantástica. Tanto é verdade que, quando ela pára de funcionar, simplesmente não entendemos por que isso acontece. Simplesmente somos desafiados em relação a toda a nossa capacidade e inteligência, a aceitar algo incompreensível.
Sendo assim, toda pessoa que se preza e ama a sua vida, mais cedo ou mais tarde se dá conta de que precisa investir tempo para “cuidar da máquina”. Atividade física e equilíbrio na alimentação são fatores primordiais para a pessoa que pretende levar uma vida saudável.
Entretanto, normalmente não nos contentamos com estas duas ações. Procuramos especialistas nas diversas modalidades de tratamento do corpo, sempre procurando ouvir orientações peritas sobre o nosso próprio corpo e sobre as decisões que devemos tomar para manter o equilíbrio e o bom funcionamento.
O mesmo se dá com o profissional que assume o perfil de Gestor de Segurança da Informação. Embora este profissional tenha bons conhecimentos em segurança, ou, em muitos casos seja oriundo da área técnica, com bons conhecimentos de rede, conectividade, soluções técnicas de segurança para desenvolvimento de sistemas, etc., na posição de Gestor de Segurança, ele passa a DEPENDER da orientação perita de especialistas em assuntos técnicos e até de gestão.
A razão disso é simples: A tomada de decisão (capacidade que deve ser bem desenvolvida num gestor) muitas vezes depende do conhecimento técnico como ferramenta de trabalho. Neste contexto, um ex-técnico pode seguir por basicamente dois caminhos:
Assumir definitivamente a posição de gestor. Embora tenha conhecimento técnico e invista para se manter atualizado nos assuntos tecnológicos, ele ainda assim assume a posição de depender da orientação de especialistas, profissionais focados nos diversos segmentos ou “domínios” da segurança da informação.
Investir fortemente nas duas grandes vertentes desejáveis na segurança da informação: conhecimento técnico profundo em tecnologias de base e em soluções de segurança, e conhecimento técnico profundo em administração, finanças, relacionamento interpessoal, gestão de pessoas, gestão de projetos...a lista é quase interminável.
Conheci poucos profissionais “completos” durante toda a minha atuação na área de Segurança da Informação.
Tomar esta decisão na carreira é difícil. Na maior parte dos casos, os bons profissionais são apaixonados pelo que fazem, e normalmente se amedrontam diante da possibilidade de “ficarem pra trás” em termos de conhecimento técnico, ou se tornarem incapazes de falar sobre detalhes técnicos com seus amigos no almoço ou num happy hour. Esta mudança significa “sair da sua zona de conforto” e se não for algo muito bem planejado, pode dar errado, tornando o profissional menos competitivo, ou até inaceitável para os desafios na empresa onde trabalha.
Porém, considero tal decisão imprescindível. Não deixar de ser técnico é uma medida perigosa para um Gestor, especialmente pelo potencial de formação da doença, chamada aqui a de “Falsa Sensação de Segurança”.
Lembro muito bem da atuação de muitos gestores de segurança, que outrora haviam sido excelentes técnicos. Um deles viveu um dos maiores horrores da vida, quando teve que administrar as ansiedades e necessidades de uma equipe de competentes técnicos que passaram a estar sob o seu comando.
Outro caso interessante foi de um amigo, oriundo de área técnica, com formação acadêmica em Tecnologia da Informação, que foi indicado para ser Gestor de Segurança da Informação numa Companhia de abrangência nacional. Por muito tempo, este amigo continuou a se envolver em reuniões de cunho técnico, oferecendo com propriedade soluções de viabilidade técnica para vários processos de negócio.
Porém, sair da sua zona de conforto significava deixar a sua equipe trabalhar, enquanto ele mesmo deveria pensar, planejar e articular. Com o tempo, tivemos a oportunidade de observar os efeitos de decisões erradas tomadas por este gestor, por achar que possuía entendimento técnico pleno do assunto. Lamentavelmente, ele não havia se dado conta de que o tempo havia passado e o seu conhecimento técnico já não era suficiente para uma tomada de decisão correta. Foi contaminado pela “falsa sensação de segurança” e por fim, essa atitude gerencial errada lhe custou a permanência no cargo.
Poderíamos continuar contando casos similares por várias páginas. Mas o ponto em questão é: O amigo almeja alcançar uma posição como gestor de segurança da informação não deve achar que o fará por ser um grande conhecedor de tecnologia. Este conhecimento certamente o servirá como ferramenta para tomada de decisão. Porém, evitar a doença da Falsa Sensação de Segurança depende de adotar a estratégia de focar no desenvolvimento das suas capacidades gerenciais, e contar sempre com especialistas nas diversas vertentes de conhecimento, sobre os quais a sua gestão se desenvolverá.
Sugiro então que o amigo analise e decida: Qual é a orientação estratégica que você dará a sua carreia?

Novidades

Srs. é com grande prazer que anuncio que esse humilde espaço agora será compartilhado com alguns outros amigos da área de segurança, ou seja, outros profissionais de gabarito incontestável serão convidados a escrever periodicamente no blog comigo.

Não percam em breve. Posso garantir que os artigos serão FANTÁSTICOS.

Marcos Julião e Alexandre Domingos Sejam bem vindos.

Palestras GTS.

Estive no último dia 26 no GTS e achei muito interessante o trabalho que o CENPRA vem realizando no desenvolvimento de pesquisas na área de Segurança, destacando que 3 trabalhos foram apresentados pelos estudantes do CENPRA. Gostaria também de destacar a apresentação sobre SPIT.

Com a adoção da tecnologia por grande parte das empresas aliada a "necessidade" das empresas de "marketing" massivo atuarem no contato direto com o consumidor o risco de ocorrer uma CHUVA de ligações indesejadas de forma automatizada aumenta consideravelmente. A palestra abortou as medidas de segurança necessárias para evitar ou ao menos minimizar os problemas com SPIT.

Aproveitando o ensejo vou viajar um pouquinho (afinal blog também serve pra isso).
Levando em consideração que tudo que utiliza IP, pode estar susceptível a ataques de negação de serviços, acho bem factível que em breve tenhamos problemas com BOTNETs sendo utilizadas como mecanismos de ataque para centrais VOIP, agora imagem só um Flood de conexões direcionadas para o VOIP PABX, não com o objetivo de efetuar contato e propaganda direta ao consumidor, mas como objetivo de indisponibilizar a rede de comunicação de VOZ, isso traz um impacto muito grande e real para qualquer empresa.

Uma das medidas abordadas para minimizar o RISCO tem como premissa a criação de BlackLists, ou criação de regras dinamicamente bloqueando-se o endereço origem de ligações. Porém se estamos falando de BOTNETs quantas origens diferentes são possíveis? Esse controle se torna ainda menos eficaz se as BOTNETs utilizarem mecanismos de TOR. Como bloquear os endereços da mesma BOTNET se ela troca o endereço dinamicamente?

Para deixar o cenário ainda mais caótico, ou até mesmo apocalíptico (rs) imaginem o cenário em que o Gateway VOIP está utilizando o mesmo link internet de outras aplicações. Um ataque ao VOIP Gateway poderá prejudicar toda a comunicação de Voz e dados. E para deixar o cenário ainda mais caótico (agora sim apocalíptico), se a rede interna estiver compartilhamento o mesmo meio físico para VOZ e Dados, em caso de SPIT pode-se comprometer a performance de link de acesso à internet, comunicação de voz e performance da rede interna, após a inundação com ligações e ou conexões indesejadas oriundas de BOTNETS utilizando mecanismos de TOR que dificultem o controle efetivo, prejudicando TODA a infra-estrutura crítica de comunicação.

Nesse momento vale ressaltar a importância de detectar de forma precoce problemas com DDoS, ai entra em cena a importância da Monitoração de Fluxo (Netflow), também abordada no GTS. Um IDS / IPS de rede não basta, é preciso monitorar o fluxo de rede para compreender possíveis desvios comportamentais causados por acessos indesejados de BOTNETS e máquinas comprometidas, possibilitando a ação mais rápida e efetiva.

Resumindo se você tem um PABX VOIP preocupe-se:

1- Preferencialmente utilize redes isoladas fisicamente para os ramais IP ou no pior caso isolado logicamente (Não estou nem pensando na facilidade de Escuta).
2- Utilize mecanismos de bloqueio e proteção contra SPIT.
3- Preferencialmente utilize um link de Internet dedicado para o serviço de VOZ, isolando de sua infra-estrutura de comunicação de DADOS.
4- Efetue uma monitoração de fluxo adequada, proporcionando a detecção de comportamentos anômalos rapidamente.
5- Implemente as demais boas práticas de segurança como Criptografia, limitação de acesso a interfaces de administração, autenticação e demais que podem ser encontradas no site:
www.voipsec.org

Mas voltando ao evento, foi muito bom estar em contato com as cabeças das Universidades, novos talentos que em breve estarão brilhando na área de segurança, afinal como escrevi em outro post, a falta de profissionais técnicos me preocupa, mas estar no evento me mostrou que ainda há esperança.