É fato que muitas vezes classificar um incidente e priorizar o atendimento é um problema, principalmente para a operação de SOC que monitora muitas máquinas, ambientes e diferentes sistemas, tratar todos os eventos realmente é impossível, categorizar para priorizar as análises e atendimento é fundamental.
Quanto o assunto são as vulnerabilidades, automaticamente tratamos de classificação quanto a sua criticidade, mas isso nem sempre acontece com eventos e incidentes de forma geral.
Como parte de um fluxo de tratamento de incidentes os mesmos deveriam ser classificados, mas nem sempre a regra é clara, ocorrendo a classificação por talento.
Nesse caso usar um Framework como o proposto aqui seria de grande valia, vale a leitura, reflexão e até mesmo a colaboração para um "Framework" dessa natureza.
quinta-feira, dezembro 13, 2007
domingo, novembro 18, 2007
segunda-feira, novembro 05, 2007
A doença do Gestor de Segurança – Falsa Sensação de Segurança
O corpo humano é uma máquina fantástica. Tanto é verdade que, quando ela pára de funcionar, simplesmente não entendemos por que isso acontece. Simplesmente somos desafiados em relação a toda a nossa capacidade e inteligência, a aceitar algo incompreensível.
Sendo assim, toda pessoa que se preza e ama a sua vida, mais cedo ou mais tarde se dá conta de que precisa investir tempo para “cuidar da máquina”. Atividade física e equilíbrio na alimentação são fatores primordiais para a pessoa que pretende levar uma vida saudável.
Entretanto, normalmente não nos contentamos com estas duas ações. Procuramos especialistas nas diversas modalidades de tratamento do corpo, sempre procurando ouvir orientações peritas sobre o nosso próprio corpo e sobre as decisões que devemos tomar para manter o equilíbrio e o bom funcionamento.
O mesmo se dá com o profissional que assume o perfil de Gestor de Segurança da Informação. Embora este profissional tenha bons conhecimentos em segurança, ou, em muitos casos seja oriundo da área técnica, com bons conhecimentos de rede, conectividade, soluções técnicas de segurança para desenvolvimento de sistemas, etc., na posição de Gestor de Segurança, ele passa a DEPENDER da orientação perita de especialistas em assuntos técnicos e até de gestão.
A razão disso é simples: A tomada de decisão (capacidade que deve ser bem desenvolvida num gestor) muitas vezes depende do conhecimento técnico como ferramenta de trabalho. Neste contexto, um ex-técnico pode seguir por basicamente dois caminhos:
Assumir definitivamente a posição de gestor. Embora tenha conhecimento técnico e invista para se manter atualizado nos assuntos tecnológicos, ele ainda assim assume a posição de depender da orientação de especialistas, profissionais focados nos diversos segmentos ou “domínios” da segurança da informação.
Investir fortemente nas duas grandes vertentes desejáveis na segurança da informação: conhecimento técnico profundo em tecnologias de base e em soluções de segurança, e conhecimento técnico profundo em administração, finanças, relacionamento interpessoal, gestão de pessoas, gestão de projetos...a lista é quase interminável.
Conheci poucos profissionais “completos” durante toda a minha atuação na área de Segurança da Informação.
Tomar esta decisão na carreira é difícil. Na maior parte dos casos, os bons profissionais são apaixonados pelo que fazem, e normalmente se amedrontam diante da possibilidade de “ficarem pra trás” em termos de conhecimento técnico, ou se tornarem incapazes de falar sobre detalhes técnicos com seus amigos no almoço ou num happy hour. Esta mudança significa “sair da sua zona de conforto” e se não for algo muito bem planejado, pode dar errado, tornando o profissional menos competitivo, ou até inaceitável para os desafios na empresa onde trabalha.
Porém, considero tal decisão imprescindível. Não deixar de ser técnico é uma medida perigosa para um Gestor, especialmente pelo potencial de formação da doença, chamada aqui a de “Falsa Sensação de Segurança”.
Lembro muito bem da atuação de muitos gestores de segurança, que outrora haviam sido excelentes técnicos. Um deles viveu um dos maiores horrores da vida, quando teve que administrar as ansiedades e necessidades de uma equipe de competentes técnicos que passaram a estar sob o seu comando.
Outro caso interessante foi de um amigo, oriundo de área técnica, com formação acadêmica em Tecnologia da Informação, que foi indicado para ser Gestor de Segurança da Informação numa Companhia de abrangência nacional. Por muito tempo, este amigo continuou a se envolver em reuniões de cunho técnico, oferecendo com propriedade soluções de viabilidade técnica para vários processos de negócio.
Porém, sair da sua zona de conforto significava deixar a sua equipe trabalhar, enquanto ele mesmo deveria pensar, planejar e articular. Com o tempo, tivemos a oportunidade de observar os efeitos de decisões erradas tomadas por este gestor, por achar que possuía entendimento técnico pleno do assunto. Lamentavelmente, ele não havia se dado conta de que o tempo havia passado e o seu conhecimento técnico já não era suficiente para uma tomada de decisão correta. Foi contaminado pela “falsa sensação de segurança” e por fim, essa atitude gerencial errada lhe custou a permanência no cargo.
Poderíamos continuar contando casos similares por várias páginas. Mas o ponto em questão é: O amigo almeja alcançar uma posição como gestor de segurança da informação não deve achar que o fará por ser um grande conhecedor de tecnologia. Este conhecimento certamente o servirá como ferramenta para tomada de decisão. Porém, evitar a doença da Falsa Sensação de Segurança depende de adotar a estratégia de focar no desenvolvimento das suas capacidades gerenciais, e contar sempre com especialistas nas diversas vertentes de conhecimento, sobre os quais a sua gestão se desenvolverá.
Sugiro então que o amigo analise e decida: Qual é a orientação estratégica que você dará a sua carreia?
Sendo assim, toda pessoa que se preza e ama a sua vida, mais cedo ou mais tarde se dá conta de que precisa investir tempo para “cuidar da máquina”. Atividade física e equilíbrio na alimentação são fatores primordiais para a pessoa que pretende levar uma vida saudável.
Entretanto, normalmente não nos contentamos com estas duas ações. Procuramos especialistas nas diversas modalidades de tratamento do corpo, sempre procurando ouvir orientações peritas sobre o nosso próprio corpo e sobre as decisões que devemos tomar para manter o equilíbrio e o bom funcionamento.
O mesmo se dá com o profissional que assume o perfil de Gestor de Segurança da Informação. Embora este profissional tenha bons conhecimentos em segurança, ou, em muitos casos seja oriundo da área técnica, com bons conhecimentos de rede, conectividade, soluções técnicas de segurança para desenvolvimento de sistemas, etc., na posição de Gestor de Segurança, ele passa a DEPENDER da orientação perita de especialistas em assuntos técnicos e até de gestão.
A razão disso é simples: A tomada de decisão (capacidade que deve ser bem desenvolvida num gestor) muitas vezes depende do conhecimento técnico como ferramenta de trabalho. Neste contexto, um ex-técnico pode seguir por basicamente dois caminhos:
Assumir definitivamente a posição de gestor. Embora tenha conhecimento técnico e invista para se manter atualizado nos assuntos tecnológicos, ele ainda assim assume a posição de depender da orientação de especialistas, profissionais focados nos diversos segmentos ou “domínios” da segurança da informação.
Investir fortemente nas duas grandes vertentes desejáveis na segurança da informação: conhecimento técnico profundo em tecnologias de base e em soluções de segurança, e conhecimento técnico profundo em administração, finanças, relacionamento interpessoal, gestão de pessoas, gestão de projetos...a lista é quase interminável.
Conheci poucos profissionais “completos” durante toda a minha atuação na área de Segurança da Informação.
Tomar esta decisão na carreira é difícil. Na maior parte dos casos, os bons profissionais são apaixonados pelo que fazem, e normalmente se amedrontam diante da possibilidade de “ficarem pra trás” em termos de conhecimento técnico, ou se tornarem incapazes de falar sobre detalhes técnicos com seus amigos no almoço ou num happy hour. Esta mudança significa “sair da sua zona de conforto” e se não for algo muito bem planejado, pode dar errado, tornando o profissional menos competitivo, ou até inaceitável para os desafios na empresa onde trabalha.
Porém, considero tal decisão imprescindível. Não deixar de ser técnico é uma medida perigosa para um Gestor, especialmente pelo potencial de formação da doença, chamada aqui a de “Falsa Sensação de Segurança”.
Lembro muito bem da atuação de muitos gestores de segurança, que outrora haviam sido excelentes técnicos. Um deles viveu um dos maiores horrores da vida, quando teve que administrar as ansiedades e necessidades de uma equipe de competentes técnicos que passaram a estar sob o seu comando.
Outro caso interessante foi de um amigo, oriundo de área técnica, com formação acadêmica em Tecnologia da Informação, que foi indicado para ser Gestor de Segurança da Informação numa Companhia de abrangência nacional. Por muito tempo, este amigo continuou a se envolver em reuniões de cunho técnico, oferecendo com propriedade soluções de viabilidade técnica para vários processos de negócio.
Porém, sair da sua zona de conforto significava deixar a sua equipe trabalhar, enquanto ele mesmo deveria pensar, planejar e articular. Com o tempo, tivemos a oportunidade de observar os efeitos de decisões erradas tomadas por este gestor, por achar que possuía entendimento técnico pleno do assunto. Lamentavelmente, ele não havia se dado conta de que o tempo havia passado e o seu conhecimento técnico já não era suficiente para uma tomada de decisão correta. Foi contaminado pela “falsa sensação de segurança” e por fim, essa atitude gerencial errada lhe custou a permanência no cargo.
Poderíamos continuar contando casos similares por várias páginas. Mas o ponto em questão é: O amigo almeja alcançar uma posição como gestor de segurança da informação não deve achar que o fará por ser um grande conhecedor de tecnologia. Este conhecimento certamente o servirá como ferramenta para tomada de decisão. Porém, evitar a doença da Falsa Sensação de Segurança depende de adotar a estratégia de focar no desenvolvimento das suas capacidades gerenciais, e contar sempre com especialistas nas diversas vertentes de conhecimento, sobre os quais a sua gestão se desenvolverá.
Sugiro então que o amigo analise e decida: Qual é a orientação estratégica que você dará a sua carreia?
Novidades
Srs. é com grande prazer que anuncio que esse humilde espaço agora será compartilhado com alguns outros amigos da área de segurança, ou seja, outros profissionais de gabarito incontestável serão convidados a escrever periodicamente no blog comigo.
Não percam em breve. Posso garantir que os artigos serão FANTÁSTICOS.
Marcos Julião e Alexandre Domingos Sejam bem vindos.
Não percam em breve. Posso garantir que os artigos serão FANTÁSTICOS.
Marcos Julião e Alexandre Domingos Sejam bem vindos.
quarta-feira, outubro 31, 2007
Palestras GTS.
Estive no último dia 26 no GTS e achei muito interessante o trabalho que o CENPRA vem realizando no desenvolvimento de pesquisas na área de Segurança, destacando que 3 trabalhos foram apresentados pelos estudantes do CENPRA. Gostaria também de destacar a apresentação sobre SPIT.
Com a adoção da tecnologia por grande parte das empresas aliada a "necessidade" das empresas de "marketing" massivo atuarem no contato direto com o consumidor o risco de ocorrer uma CHUVA de ligações indesejadas de forma automatizada aumenta consideravelmente. A palestra abortou as medidas de segurança necessárias para evitar ou ao menos minimizar os problemas com SPIT.
Aproveitando o ensejo vou viajar um pouquinho (afinal blog também serve pra isso).
Levando em consideração que tudo que utiliza IP, pode estar susceptível a ataques de negação de serviços, acho bem factível que em breve tenhamos problemas com BOTNETs sendo utilizadas como mecanismos de ataque para centrais VOIP, agora imagem só um Flood de conexões direcionadas para o VOIP PABX, não com o objetivo de efetuar contato e propaganda direta ao consumidor, mas como objetivo de indisponibilizar a rede de comunicação de VOZ, isso traz um impacto muito grande e real para qualquer empresa.
Uma das medidas abordadas para minimizar o RISCO tem como premissa a criação de BlackLists, ou criação de regras dinamicamente bloqueando-se o endereço origem de ligações. Porém se estamos falando de BOTNETs quantas origens diferentes são possíveis? Esse controle se torna ainda menos eficaz se as BOTNETs utilizarem mecanismos de TOR. Como bloquear os endereços da mesma BOTNET se ela troca o endereço dinamicamente?
Para deixar o cenário ainda mais caótico, ou até mesmo apocalíptico (rs) imaginem o cenário em que o Gateway VOIP está utilizando o mesmo link internet de outras aplicações. Um ataque ao VOIP Gateway poderá prejudicar toda a comunicação de Voz e dados. E para deixar o cenário ainda mais caótico (agora sim apocalíptico), se a rede interna estiver compartilhamento o mesmo meio físico para VOZ e Dados, em caso de SPIT pode-se comprometer a performance de link de acesso à internet, comunicação de voz e performance da rede interna, após a inundação com ligações e ou conexões indesejadas oriundas de BOTNETS utilizando mecanismos de TOR que dificultem o controle efetivo, prejudicando TODA a infra-estrutura crítica de comunicação.
Nesse momento vale ressaltar a importância de detectar de forma precoce problemas com DDoS, ai entra em cena a importância da Monitoração de Fluxo (Netflow), também abordada no GTS. Um IDS / IPS de rede não basta, é preciso monitorar o fluxo de rede para compreender possíveis desvios comportamentais causados por acessos indesejados de BOTNETS e máquinas comprometidas, possibilitando a ação mais rápida e efetiva.
Resumindo se você tem um PABX VOIP preocupe-se:
1- Preferencialmente utilize redes isoladas fisicamente para os ramais IP ou no pior caso isolado logicamente (Não estou nem pensando na facilidade de Escuta).
2- Utilize mecanismos de bloqueio e proteção contra SPIT.
3- Preferencialmente utilize um link de Internet dedicado para o serviço de VOZ, isolando de sua infra-estrutura de comunicação de DADOS.
4- Efetue uma monitoração de fluxo adequada, proporcionando a detecção de comportamentos anômalos rapidamente.
5- Implemente as demais boas práticas de segurança como Criptografia, limitação de acesso a interfaces de administração, autenticação e demais que podem ser encontradas no site:
www.voipsec.org
Mas voltando ao evento, foi muito bom estar em contato com as cabeças das Universidades, novos talentos que em breve estarão brilhando na área de segurança, afinal como escrevi em outro post, a falta de profissionais técnicos me preocupa, mas estar no evento me mostrou que ainda há esperança.
Com a adoção da tecnologia por grande parte das empresas aliada a "necessidade" das empresas de "marketing" massivo atuarem no contato direto com o consumidor o risco de ocorrer uma CHUVA de ligações indesejadas de forma automatizada aumenta consideravelmente. A palestra abortou as medidas de segurança necessárias para evitar ou ao menos minimizar os problemas com SPIT.
Aproveitando o ensejo vou viajar um pouquinho (afinal blog também serve pra isso).
Levando em consideração que tudo que utiliza IP, pode estar susceptível a ataques de negação de serviços, acho bem factível que em breve tenhamos problemas com BOTNETs sendo utilizadas como mecanismos de ataque para centrais VOIP, agora imagem só um Flood de conexões direcionadas para o VOIP PABX, não com o objetivo de efetuar contato e propaganda direta ao consumidor, mas como objetivo de indisponibilizar a rede de comunicação de VOZ, isso traz um impacto muito grande e real para qualquer empresa.
Uma das medidas abordadas para minimizar o RISCO tem como premissa a criação de BlackLists, ou criação de regras dinamicamente bloqueando-se o endereço origem de ligações. Porém se estamos falando de BOTNETs quantas origens diferentes são possíveis? Esse controle se torna ainda menos eficaz se as BOTNETs utilizarem mecanismos de TOR. Como bloquear os endereços da mesma BOTNET se ela troca o endereço dinamicamente?
Para deixar o cenário ainda mais caótico, ou até mesmo apocalíptico (rs) imaginem o cenário em que o Gateway VOIP está utilizando o mesmo link internet de outras aplicações. Um ataque ao VOIP Gateway poderá prejudicar toda a comunicação de Voz e dados. E para deixar o cenário ainda mais caótico (agora sim apocalíptico), se a rede interna estiver compartilhamento o mesmo meio físico para VOZ e Dados, em caso de SPIT pode-se comprometer a performance de link de acesso à internet, comunicação de voz e performance da rede interna, após a inundação com ligações e ou conexões indesejadas oriundas de BOTNETS utilizando mecanismos de TOR que dificultem o controle efetivo, prejudicando TODA a infra-estrutura crítica de comunicação.
Nesse momento vale ressaltar a importância de detectar de forma precoce problemas com DDoS, ai entra em cena a importância da Monitoração de Fluxo (Netflow), também abordada no GTS. Um IDS / IPS de rede não basta, é preciso monitorar o fluxo de rede para compreender possíveis desvios comportamentais causados por acessos indesejados de BOTNETS e máquinas comprometidas, possibilitando a ação mais rápida e efetiva.
Resumindo se você tem um PABX VOIP preocupe-se:
1- Preferencialmente utilize redes isoladas fisicamente para os ramais IP ou no pior caso isolado logicamente (Não estou nem pensando na facilidade de Escuta).
2- Utilize mecanismos de bloqueio e proteção contra SPIT.
3- Preferencialmente utilize um link de Internet dedicado para o serviço de VOZ, isolando de sua infra-estrutura de comunicação de DADOS.
4- Efetue uma monitoração de fluxo adequada, proporcionando a detecção de comportamentos anômalos rapidamente.
5- Implemente as demais boas práticas de segurança como Criptografia, limitação de acesso a interfaces de administração, autenticação e demais que podem ser encontradas no site:
www.voipsec.org
Mas voltando ao evento, foi muito bom estar em contato com as cabeças das Universidades, novos talentos que em breve estarão brilhando na área de segurança, afinal como escrevi em outro post, a falta de profissionais técnicos me preocupa, mas estar no evento me mostrou que ainda há esperança.
terça-feira, outubro 23, 2007
GTS / GTER
Nessa semana nos dias 26 e 27 ocorre em SP o evento GTS / GTER, eu estarei por lá, recomendo a participação.
Nos vemos por lá.
Nos vemos por lá.
segunda-feira, outubro 22, 2007
Dilbert - Segurança ao EXTREMO .
Essa tirinha do Dilbert (como sempre muito bem pensada) relata muito a bem a posição de alguns consultores e profissionais de Segurança que tem uma postura muito EXTREMISTA, diria até mesmo irrealista, corroborando para a imagem "negativa" que a área de Segurança tem em algumas empresas, da área do NÃO, chata e que somente "atrapalha" o negócio.
É preciso ter uma visão realista e pensar do ponto de vista do negócio com o objetivo de agregar valor e SEGURANÇA, bom senso é o segredo, e nem sempre utilizar o NÃO como resposta padrão.
É preciso ter uma visão realista e pensar do ponto de vista do negócio com o objetivo de agregar valor e SEGURANÇA, bom senso é o segredo, e nem sempre utilizar o NÃO como resposta padrão.
quarta-feira, outubro 17, 2007
3 Guerra Mundial
Não é novidade nenhuma que o Governo Americano monitora tráfego da Internet por interesses próprios, afinal quem não se lembra do Carnivore (nossa to ficando velho mesmo rs).
Mas no documento National Strategy for Homeland Security o governo americano declara o desejo de "negar" o acesso dos terroristas à Internet, vale dar uma olhada no documento na íntegra, mas segue abaixo um trecho interessante.
"...In addition to discrediting their terrorist propaganda on the Internet with the promotion of truthful messages, we will seek to deny the Internet to our terrorist enemies as an effective safe haven for their recruitment, fund-raising, training,
and operational planning.
Questiono somente como isso será implementado, afinal o controle da Internet vai contra a concepção do "produto" se assim definíssemos a Internet. E depois disso virá o que, controle de TV, Rádio, Correio etc etc etc.
Vale lembrar que o Terrosismo já existia antes da internet e acho difícil acabar mesmo sem o acesso a Internet, se isso for possível. A ameaça continua lá e só vai utilizar de outros meios.
Acho que toda a ação contra o terrorismo é bem vinda, desde que ela não prejudique na sua maioria inocentes. E nos países considerados "Terroristas" não existem somente terroristas, mas pessoas de bem que precisam de acesso a Internet em um mundo mais que globalizado.
Para finalizar... ... alguém tem dúvida que manter os ROOT.SERVERS sob domínio dos USA foi "premeditado" (rs) ?
Mas no documento National Strategy for Homeland Security o governo americano declara o desejo de "negar" o acesso dos terroristas à Internet, vale dar uma olhada no documento na íntegra, mas segue abaixo um trecho interessante.
"...In addition to discrediting their terrorist propaganda on the Internet with the promotion of truthful messages, we will seek to deny the Internet to our terrorist enemies as an effective safe haven for their recruitment, fund-raising, training,
and operational planning.
Questiono somente como isso será implementado, afinal o controle da Internet vai contra a concepção do "produto" se assim definíssemos a Internet. E depois disso virá o que, controle de TV, Rádio, Correio etc etc etc.
Vale lembrar que o Terrosismo já existia antes da internet e acho difícil acabar mesmo sem o acesso a Internet, se isso for possível. A ameaça continua lá e só vai utilizar de outros meios.
Acho que toda a ação contra o terrorismo é bem vinda, desde que ela não prejudique na sua maioria inocentes. E nos países considerados "Terroristas" não existem somente terroristas, mas pessoas de bem que precisam de acesso a Internet em um mundo mais que globalizado.
Para finalizar... ... alguém tem dúvida que manter os ROOT.SERVERS sob domínio dos USA foi "premeditado" (rs) ?
terça-feira, outubro 09, 2007
Geração de Gerentes
Tenho observado e me preocupado com a quantidade de profissionais recém formados nas Universidades e que saem querendo no dia seguinte ocuparem cargos de gerência e ou diretoria em TI, Segurança entre outros, se transformando em gestores do dia para a noite em um piscar de olhos.
Não que a ambição e desejo de ocupar cargos de gestão esteja INCORRETO, entendo que faz parte do processo evolutivo, mas o que me intriga é querer alcançar altos postos sem a devida preparação.
Por exemplo, os CSOs de sucesso que conheço (só não vou mencionar nomes para não cometer injustiças) na sua grande maioria são profissionais (se não na totalidade) de origens técnicas e que com o passar dos anos amadureceram e conseguiram obter conhecimentos e preparação para exercerem o papel de liderança e gerênicia necessários a um gestor. Esses por sua vez utilizam os conhecimentos técnicos como suporte na tomada de decisão e garanto que são decisões bem mais acertivas.
Como consultor tenho visto muitos exemplos de profissionais que CAEM literalmente na função de CSO e tomam decisões MALUCAS, sem qualquer base técnica e até mesmo gerencial, sem sequer pensar nos aspectos básicos de segurança, desse ponto para o desastre falta muito pouco.
Não estou nesse simples artigo generalizando, dizendo que os profissionais de segurança que não são oriundos da área técnica não podem exercer de forma "satisfatória" a função de CSO, mas o conhecimento técnico como base para a tomada de decisão é bem vindo, caso contrário o CSO deve NO MÍNIMO se cercar de profissionais com competência técnica para auxiliarem na tomada de decisão. Mesmo com conhecimento técnico ouvir os liderados também é o mínimo que se espera, mas os aspectos de liderança vou deixar para outro artigo.
Agora e se esses "profissionais técnicos" estiverem em falta ?
Acho que corremos um sério risco de termos em breve uma geração de gerentes e gestores e uma ausência de técnicos e executores valorizados, motivados e principalmente técnicamente competentes.
É importante considerar a razão pela qual A GRANDE MAIORIA quer sair da Faculdade e já se tonarem diretores e presidentes (rs).
1-) Isso está acontecendo em virtude da cultura e ou crescimento do mercado de TI e possível ausência de líderes preparados aliada a preocupação das instituições educacionais em prepararem com foco direcionado para Gestão ?
2-) O problema é que no Brasil a carreira em Y NÃO EXISTE, é uma Utopia?
Na verdade acho que é um conjunto dessas coisas. Do meu ponto de vista teremos (se nada mudar)uma geração de muitos caciques e poucos índios.
Apenas como uma observação adicional e final. A mais de 8 anos além de trabalhar como Consultor de Segurança também ministro treinamentos "técnicos" e de "Gestão" na área de Segurança de Informação e meu sentimento é que os aspectos técnicos são encarados pela grande maioria como "desejados" mas "desprezíveis" como se fossem um trabalho MENOS NOBRE. Já os aspectos de Gestão são considerados nobres e importantíssimos.
O segredo ao meu ver é o equilíbrio, ter conhecimento técnico, de gestão e qualidades de liderança, sem negligenciar nenhum deles, mas infelizmente se depreza muitas vezes o trabalho técnico.
Vale lembrar que se o Engenheiro projetar mas o pedreiro não executar adequadamente... ... a casa vai cair. Nesse sentido poderia mencionar o VALE... ... isso mesmo o VALE que existe em muitas empresas entre a Gestão e a EXECUÇÃO, originando diariamente os monstrinhos de TI e Segurança que crescem, ficam fortes e se transformam em grandes... ... ENORMES geradores de FRAUDES, PERDAS e DORES DE CABEÇA.
Para finalizar... ... um amigo diria.
"Quero ver o circo pegar fogo para jogar gasolina ..." (rs). Mas espero que esse cenário mude, afinal a área de segurança sempre vai precisar de bons gestores e também ótimos técnicos, e um bom gestor COM CERTEZA deve e precisa estar cercado de bons técnicos.
Não que a ambição e desejo de ocupar cargos de gestão esteja INCORRETO, entendo que faz parte do processo evolutivo, mas o que me intriga é querer alcançar altos postos sem a devida preparação.
Por exemplo, os CSOs de sucesso que conheço (só não vou mencionar nomes para não cometer injustiças) na sua grande maioria são profissionais (se não na totalidade) de origens técnicas e que com o passar dos anos amadureceram e conseguiram obter conhecimentos e preparação para exercerem o papel de liderança e gerênicia necessários a um gestor. Esses por sua vez utilizam os conhecimentos técnicos como suporte na tomada de decisão e garanto que são decisões bem mais acertivas.
Como consultor tenho visto muitos exemplos de profissionais que CAEM literalmente na função de CSO e tomam decisões MALUCAS, sem qualquer base técnica e até mesmo gerencial, sem sequer pensar nos aspectos básicos de segurança, desse ponto para o desastre falta muito pouco.
Não estou nesse simples artigo generalizando, dizendo que os profissionais de segurança que não são oriundos da área técnica não podem exercer de forma "satisfatória" a função de CSO, mas o conhecimento técnico como base para a tomada de decisão é bem vindo, caso contrário o CSO deve NO MÍNIMO se cercar de profissionais com competência técnica para auxiliarem na tomada de decisão. Mesmo com conhecimento técnico ouvir os liderados também é o mínimo que se espera, mas os aspectos de liderança vou deixar para outro artigo.
Agora e se esses "profissionais técnicos" estiverem em falta ?
Acho que corremos um sério risco de termos em breve uma geração de gerentes e gestores e uma ausência de técnicos e executores valorizados, motivados e principalmente técnicamente competentes.
É importante considerar a razão pela qual A GRANDE MAIORIA quer sair da Faculdade e já se tonarem diretores e presidentes (rs).
1-) Isso está acontecendo em virtude da cultura e ou crescimento do mercado de TI e possível ausência de líderes preparados aliada a preocupação das instituições educacionais em prepararem com foco direcionado para Gestão ?
2-) O problema é que no Brasil a carreira em Y NÃO EXISTE, é uma Utopia?
Na verdade acho que é um conjunto dessas coisas. Do meu ponto de vista teremos (se nada mudar)uma geração de muitos caciques e poucos índios.
Apenas como uma observação adicional e final. A mais de 8 anos além de trabalhar como Consultor de Segurança também ministro treinamentos "técnicos" e de "Gestão" na área de Segurança de Informação e meu sentimento é que os aspectos técnicos são encarados pela grande maioria como "desejados" mas "desprezíveis" como se fossem um trabalho MENOS NOBRE. Já os aspectos de Gestão são considerados nobres e importantíssimos.
O segredo ao meu ver é o equilíbrio, ter conhecimento técnico, de gestão e qualidades de liderança, sem negligenciar nenhum deles, mas infelizmente se depreza muitas vezes o trabalho técnico.
Vale lembrar que se o Engenheiro projetar mas o pedreiro não executar adequadamente... ... a casa vai cair. Nesse sentido poderia mencionar o VALE... ... isso mesmo o VALE que existe em muitas empresas entre a Gestão e a EXECUÇÃO, originando diariamente os monstrinhos de TI e Segurança que crescem, ficam fortes e se transformam em grandes... ... ENORMES geradores de FRAUDES, PERDAS e DORES DE CABEÇA.
Para finalizar... ... um amigo diria.
"Quero ver o circo pegar fogo para jogar gasolina ..." (rs). Mas espero que esse cenário mude, afinal a área de segurança sempre vai precisar de bons gestores e também ótimos técnicos, e um bom gestor COM CERTEZA deve e precisa estar cercado de bons técnicos.
Outros Assuntos.
Em breve estarei tratando de outros "assuntos", aos interessados como eu por corrida, em breve novidades, afinal o projeto Maratona de NY 2009 já começou e esse ano já foram 5 corridas. Para 2008 espero que sejam de 12 a 18.
segunda-feira, outubro 08, 2007
Compliance X Segurança
Depois de um longo tempo, após chuvas e tempestades estou novamente escrevendo no Blog. Muitas idéias, "rabiscos" e notepads estão guardados e aos poucos vou colocando todos eles aqui.
Para começar vou tocar em um assunto que cada vez mais vem permeando a Segurança da Informação. Não é novidade nenhuma que a busca pelo "compliance" é importante e vem auxiliando a segurança no amadurecimento do "discurso", porém tenho visto muitas empresas afirmando o seguinte:
"O importante é estar Compliance, vamos fazer o mínimo necessário".
Entendo que o "romantismo" da área de Segurança já acabou a muito tempo, agora cumprimento de metas, definição de métricas e atendimento a Legislação, SOX, HIPAA, PCI, etc etc etc etc são palavras chaves, mas daí a priorizar o Compliance e "fazer pouco caso" de aspectos de segurança relevantes mas que não se necessita para estar "Compliance" acho D+, o cúmulo do absurdo.
Entendo também que a luta é árdua e muitas vezes a escolha é inicialmente o "Compliance" afinal não é possível abraçar o mundo, mas é preciso (como em tudo na vida) evoluir, sair da área de conforto.
Pergunto a quem estiver lendo esse artigo (afinal depois de tanto tempo acho que meu blog ficou abandonado). Estar Compliance é "estar" seguro ? Até que ponto estar "Compliance" pode dar uma falsa sensação de Segurança? É possível estar Compliance e Seguro ?
Não quero influeniar o leitor, mas na minha humilde opinião, estar Compliance não garante que você está Seguro, pode talvez (enfatizando o TALVEZ) "tirar" o Mico das costas da área de Segurança, mas é preciso mais do que estar Compliance para se "sentir" seguro.
Acho que a melhor frase nesse caso seria.
É preciso estar Compliance E com Segurança, o Compliance é o MÍNIMO NECESSÁRIO e DESEJADO.
Uma boa comparação:
Se o seu filho tirasse nota 5 a vida escolar toda, ele provavelmente passaria de ano, mas não necessariamente estaria preparado para enfrentar outros desafios, como por exemplo o Vestibular.
Passar "raspando" no quesito Segurança vai preparar a sua empresa para os novos velhos desafios do presente e do futuro? Pense bem.
Para começar vou tocar em um assunto que cada vez mais vem permeando a Segurança da Informação. Não é novidade nenhuma que a busca pelo "compliance" é importante e vem auxiliando a segurança no amadurecimento do "discurso", porém tenho visto muitas empresas afirmando o seguinte:
"O importante é estar Compliance, vamos fazer o mínimo necessário".
Entendo que o "romantismo" da área de Segurança já acabou a muito tempo, agora cumprimento de metas, definição de métricas e atendimento a Legislação, SOX, HIPAA, PCI, etc etc etc etc são palavras chaves, mas daí a priorizar o Compliance e "fazer pouco caso" de aspectos de segurança relevantes mas que não se necessita para estar "Compliance" acho D+, o cúmulo do absurdo.
Entendo também que a luta é árdua e muitas vezes a escolha é inicialmente o "Compliance" afinal não é possível abraçar o mundo, mas é preciso (como em tudo na vida) evoluir, sair da área de conforto.
Pergunto a quem estiver lendo esse artigo (afinal depois de tanto tempo acho que meu blog ficou abandonado). Estar Compliance é "estar" seguro ? Até que ponto estar "Compliance" pode dar uma falsa sensação de Segurança? É possível estar Compliance e Seguro ?
Não quero influeniar o leitor, mas na minha humilde opinião, estar Compliance não garante que você está Seguro, pode talvez (enfatizando o TALVEZ) "tirar" o Mico das costas da área de Segurança, mas é preciso mais do que estar Compliance para se "sentir" seguro.
Acho que a melhor frase nesse caso seria.
É preciso estar Compliance E com Segurança, o Compliance é o MÍNIMO NECESSÁRIO e DESEJADO.
Uma boa comparação:
Se o seu filho tirasse nota 5 a vida escolar toda, ele provavelmente passaria de ano, mas não necessariamente estaria preparado para enfrentar outros desafios, como por exemplo o Vestibular.
Passar "raspando" no quesito Segurança vai preparar a sua empresa para os novos velhos desafios do presente e do futuro? Pense bem.
sábado, março 17, 2007
Guia Forense Microsoft.
Procurando uma coisa, encontrei outra (isso quase sempre acontece não é mesmo). Achei esse artigo da Microsoft sobre análise forense em ambiente Windows. Aliás estava demorando depois da compra da SYSINTERNALS e incorporação das ferramentas para aparecer documentação relacionada ao tema no site da Microsoft.
O documento fala sobre um modelo e processo de investigação em ambiente Windows. Bem propício afinal trata-se de uma dura realidade, mas na maioria dos casos as área de segurança se preocupam com muitas coisas mas ainda se esquecem de um "pequeno" detalhe. Apesar de mitigar os riscos, as ameaças ainda assim podem comprometer um ativo no ambiente explorando uma vulnerabilidade residual. E ai será que sua empresa está preparada para responder aos incidentes de segurança?
Não me refiro a um PCN (plano de continuidade de negócios), mas sim a um time treinado e capaz de seguir procedimentos bem definidos para identificar e entender um possível incidente, avaliar e responder adequadamente ao mesmo, intervindo se necessário com autoridades externas e utilizando quando necessário as melhores práticas de análise forense para a coleta preservação e análise de evidências.
Vale a leitura, afinal é melhor conhecer e testar as técnicas antes mesmo de você realmente precisar, pois na hora do "vamos ver" não da para ficar "testando".
Uma outra dica? De uma olhada no live CD Helix e a documentação no mesmo, pode ser uma boa referência também.
O documento fala sobre um modelo e processo de investigação em ambiente Windows. Bem propício afinal trata-se de uma dura realidade, mas na maioria dos casos as área de segurança se preocupam com muitas coisas mas ainda se esquecem de um "pequeno" detalhe. Apesar de mitigar os riscos, as ameaças ainda assim podem comprometer um ativo no ambiente explorando uma vulnerabilidade residual. E ai será que sua empresa está preparada para responder aos incidentes de segurança?
Não me refiro a um PCN (plano de continuidade de negócios), mas sim a um time treinado e capaz de seguir procedimentos bem definidos para identificar e entender um possível incidente, avaliar e responder adequadamente ao mesmo, intervindo se necessário com autoridades externas e utilizando quando necessário as melhores práticas de análise forense para a coleta preservação e análise de evidências.
Vale a leitura, afinal é melhor conhecer e testar as técnicas antes mesmo de você realmente precisar, pois na hora do "vamos ver" não da para ficar "testando".
Uma outra dica? De uma olhada no live CD Helix e a documentação no mesmo, pode ser uma boa referência também.
sexta-feira, fevereiro 23, 2007
Phising MMS
No último sábado dia 17 estava eu em casa baixando meus e-mails quando me deparei com mais um dos milhões de e-mails falsos com o objetivo de instalar software malicioso e obter senhas de usuários para execução de transações fraudulentas.
Acreditem, assim como existem pessoas que se divertem jogando videogame por exemplo, eu prefiro usar meu tempo vago com leitura, música, corrida e algumas vezes efetuar a análise de um Malware, Trojan ou derivados.
É uma "terapia" e um exercício interessante, recomendo que profissionais da área pelo menos conheçam as técnicas adequadas para identificação e análise de um Malware. (Que bom seria se todos os usuários pudesse conhecer essas técnicas também, afinal os problemas seriam potencialmente reduzidos, mas isso é assunto para outro momento).
A análise não levou mais que 30 minutos e os resultados foram interessantes. Em breve estarei publicando os resultados de forma estruturada.
Obs: Já vi Trojans "melhores" (essa colocação é perigosa) , mas esse em especial me pareceu bem didático para a apresentação de uma análise estruturada.
Análise Forense sempre foi uma necessidade no meu trabalho e uma paixão contida mas nunca esquecida. GIAC me aguarde.
Acreditem, assim como existem pessoas que se divertem jogando videogame por exemplo, eu prefiro usar meu tempo vago com leitura, música, corrida e algumas vezes efetuar a análise de um Malware, Trojan ou derivados.
É uma "terapia" e um exercício interessante, recomendo que profissionais da área pelo menos conheçam as técnicas adequadas para identificação e análise de um Malware. (Que bom seria se todos os usuários pudesse conhecer essas técnicas também, afinal os problemas seriam potencialmente reduzidos, mas isso é assunto para outro momento).
A análise não levou mais que 30 minutos e os resultados foram interessantes. Em breve estarei publicando os resultados de forma estruturada.
Obs: Já vi Trojans "melhores" (essa colocação é perigosa) , mas esse em especial me pareceu bem didático para a apresentação de uma análise estruturada.
Análise Forense sempre foi uma necessidade no meu trabalho e uma paixão contida mas nunca esquecida. GIAC me aguarde.
Forensic Tool
Efetuando minhas leituras diárias, me deparei com um artigo que apresenta uma ferramenta de análise forense bem interessante. A reportagem publicada na revista (IN)Secure Magazine número 10 mostra a ferramenta User Assist criada pelo Sr. Didier Stevens. A ferramenta mostra os últimos programas executados em ordem cronológica, revelando algumas chaves de registro "não documentadas" que armazenam essas informações com o objetivo de "popular" o Menu Iniciar do Windows.
No mesmo periódico (Volume -10) encontrei um artigo bem interessante sobre a carreira na área de segurança da informação, vale a pena a leitura.
No mesmo periódico (Volume -10) encontrei um artigo bem interessante sobre a carreira na área de segurança da informação, vale a pena a leitura.
quinta-feira, fevereiro 22, 2007
Auditor X Consultor
Na semana de 5 de fevereiro tive a oportunidade de participar do treinamento de Auditor Líder em Segurança da Ínformação - ISO 27001 na Módulo.
Ao final do curso consegui a aprovação me tornando assim agora um Auditor Líder ISO 27001.
O curso foi muito interessante principalmente pelo fato de poder abstrair mais o lado consultor e exercitar mais o lado auditor, pois afinal o lado consultor tenta a todo momento (como força do hábito) sobrepor o auditor.
Um auditor não deve necessariamente "opinar" na solução dos problemas, ele deve simplesmente buscar evidências objetivas, comprovando conformidade ou não, evitando assim perder o foco do processo de auditoria.
Um outro ponto forte do treinamento ( entre tantos outros) é a obtenção da visão estratégica da Segurança da Informação com foco em Análise de Riscos, utilizando como fator de sucesso a implementação de um ciclo muito usado em outros ramos de gestão, o conhecido PDCA.
Desde já agradeço a Rosangela Caubit que com muita propriedade falou sobre o tema de forma prática e objetiva.
Ao final do curso consegui a aprovação me tornando assim agora um Auditor Líder ISO 27001.
O curso foi muito interessante principalmente pelo fato de poder abstrair mais o lado consultor e exercitar mais o lado auditor, pois afinal o lado consultor tenta a todo momento (como força do hábito) sobrepor o auditor.
Um auditor não deve necessariamente "opinar" na solução dos problemas, ele deve simplesmente buscar evidências objetivas, comprovando conformidade ou não, evitando assim perder o foco do processo de auditoria.
Um outro ponto forte do treinamento ( entre tantos outros) é a obtenção da visão estratégica da Segurança da Informação com foco em Análise de Riscos, utilizando como fator de sucesso a implementação de um ciclo muito usado em outros ramos de gestão, o conhecido PDCA.
Desde já agradeço a Rosangela Caubit que com muita propriedade falou sobre o tema de forma prática e objetiva.
sábado, fevereiro 03, 2007
Enfim o mestrado
Inicie na semana passada minha Jornada, intitulada MESTRADO. Espero em no máximo 2 anos e meio finalizar essa Jornada. Fiquei muito tempo sem postar pois estive literalmente "quebrado". Tive um pequeno probleminha com a mão, mas agora estou bem.
Na última terça-feira estive no evento do ISSA, e tive a oportunidade de ver a apresentação do Thiago Zaninotti, que com muita propriedade apresentou os problemas de segurança relacionados à Web 2.0.
Evento altamento recomendado.
Na última terça-feira estive no evento do ISSA, e tive a oportunidade de ver a apresentação do Thiago Zaninotti, que com muita propriedade apresentou os problemas de segurança relacionados à Web 2.0.
Evento altamento recomendado.
Assinar:
Postagens (Atom)