Posts in Blog
Certificações Profissionais em Segurança da Informação - Parte 2B

certificates.jpg

Este é o segundo post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado, e a Parte 2A, onde as certificações de foco técnico foram analisadas. A Parte 2 do guia é destinada a detalhar as certificações. Nesse segundo post (2B), eu falarei sobre o CISSP, o MCSO e o CISM, que são as principais certificações de nível gerencial e consultivo.

CISSP

Não é exagero dizer que o CISSP (Certified Information Systems Security Professional) é a mais importante, e provavelmente uma das mais cobiçadas, certificações em SI. Principal título do (ISC)², o CISSP possui excelente reconhecimento internacional, sendo muitas vezes mencionado como um diferencial em programas de emissão de vistos de diversos países. Por isso, é a principal certificação para quem quer reconhecimento tanto no Brasil como no exterior, sendo que muitos a vêem como um passaporte internacional de trabalho. Com exceção dos EUA, onde o número de profissionais certificados beira os 40 mil, o CISSP é um título relativamente escasso na maioria dos países. No Brasil, apenas 200 profissionais possuem o título, havendo muito mais demanda do que oferta. Direcionado para profissionais de nível consultivo e gerencial, o CISSP é procurado tanto por técnicos como por gestores/consultores, embora o foco maior seja o último grupo. Se você quer um título de foco mais técnico que o CISSP, você deve procurar o SSCP, mantido também pelo (ISC)², ou o GIAC, mantido pelo SANS.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no site do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 499 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel (uma justificativa está disponível no artigo que fala sobre o SSCP). O exame possui 250 perguntas que devem ser respondidas em 6 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Apenas 225 perguntas entram na pontuação, sendo que as 25 restantes fazem parte de um processo de pesquisa de dificuldade e qualidade, mas o candidato não sabe quais são pontuadas ou não e deve tentar responder todas da melhor forma possível. O (ISC)² autoriza o uso de dicionários de tradução caso o exame seja aplicado em um idioma que não seja o nativo do candidato. O exame está disponível em inglês e em mais alguns idiomas que não incluem o português. Não existe período de carência em caso de reprovação. Os domínios que compõe o CISSP CBK (Common Body of Knowledge) são:
  • Access Control
  • Application Security
  • Business Continuity and Disaster Recovery Planning
  • Cryptography
  • Information Security and Risk Management
  • Legal, Regulations, Compliance and Investigations
  • Operations Security
  • Physical (Environmental) Security
  • Security Architecture and Design
  • Telecommunications and Network Security
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito a cada dois anos, onde profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O CISSP demanda requisitos prévios de experiência profissional. O candidato deve comprovar cinco anos de experiência em dois ou mais domínios de conhecimento dos que compõe o CBK. Como muitas vezes esse requisito gera dúvidas em relação a sua interpretação, há uma página especificando exatamente o que é aceito como experiência “direta em tempo integral”. Os candidatos que possuem diploma de mestrado ou graduação (curso de quatro anos) podem abater um ano de experiência. Esse desconto de um ano também é válido caso a pessoa possua uma certificação profissional aprovada pelo (ISC)². Dessa forma, ainda que utilize os descontos, o candidato tem que comprovar pelo menos quatro anos de experiência. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde é possível prestar o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do CISSP. Desta forma, o candidato comprova que possui conhecimentos, faltando apenas os requisitos de experiência para obter o certificado completo. Assim que experiência tiver sido acumulada, o diploma de Associate pode ser convertido no CISSP. Como no SSCP, todos os profissionais certificados pelo (ISC)² devem se comprometer com o Código de Ética do instituto e ter o seu formulário de registro endossado por outro profissional certificado. Todos os requisitos aqui apresentados são auditados por amostragem. Quem cai na malha fina deve prover documentação comprovando as informações apresentadas.

Validade

O CISSP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional e o título vai sendo renovado a cada período de 3 anos. Verifique no site do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o CISSP, a anuidade custa 85 dólares.

Preparação

Existem muitos livros disponíveis que podem ser usados na preparação para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the CISSP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros sugeridos caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Outro livro bastante utilizado em virtude da sua didática é o CISSP All-in-one Exam Guide, 4th Ed., escrito pela autora Shon Harris. Se você puder comprar os dois, eu recomendo. Se você quiser comprar apenas um, a literatura oficial é a melhor opção. Porém, encare o livro como uma literatura de referência ao invés de tentar lê-lo de capa a capa. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de cinco dias e inclui um simulado oficial de 100 perguntas ao final.

Veredicto

O CISSP é de longe o título mais reconhecido e demandado na área de SI, tanto no Brasil como no exterior. Ele é procurado por consultores e gerentes, além de técnicos querendo direcionar sua carreira para gerência/consultoria. Se você quer um título puramente técnico, o Security+, o SSCP e o GIAC são as opções mais adequadas em ordem de dificuldade e reconhecimento. A opção Associate do CISSP permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. A prova está disponível apenas em inglês. Se isso for um problema para você, a única opção é o MCSO, pois esta é a única certificação cujo exame está disponível em português.

Maiores informações

CISSP® - The International Gold Standard

MCSO

O MCSO (Módulo Certified Security Officer) é a mais popular certificação em SI do mercado brasileiro, contando hoje com 800 profissionais certificados. Criada em 2000, usando como inspiração outros títulos disponíveis no mercado, incluindo o próprio CISSP, o MCSO é uma certificação gerencial, voltada para o Gestor de Segurança da Informação. De todas as certificações aqui apresentadas, essa é a única que se encontra em português, o que acaba sendo um fator determinante para muitas pessoas. Embora a dificuldade de obter a certificação não seja tão grande quanto a do CISSP ou do CISM, sua penetração é maior, havendo profissionais certificados em vários estados brasileiros, enquanto que no CISSP há uma forte concentração no eixo São Paulo, Rio e Brasília.

Exame

A prova é composta de cerca de 200 questões de múltipla escolha, sendo que 60% são relacionadas à gestão e 40% relacionadas à tecnologia. As perguntas de gestão têm peso 2 e as de tecnologia têm peso 1. A nota de aprovação é 70% dos pontos possíveis. Os exames são aplicados pela Módulo, em geral, duas vezes por ano (cerca de Julho e Dezembro). O exame custa 499 reais, porém é gratuito para aqueles que fazem os dois cursos de formação da empresa. Existe um curso para a parte gerencial e outro para a parte técnica do exame. Caso o candidato não consiga passar, não existe período de carência para tentar novamente. Na prática, porém, ele terá que esperar cerca de seis meses, que é o tempo que normalmente transcorre entre um exame e outro. O conteúdo da prova está dividido entre assuntos gerenciais e tecnológicos:
  • Gestão
    • Conceitos Gerais de Segurança da Informação
    • Gestão de Riscos
    • Legislação, Regulamentação, Normas, Investigação e Ética
    • Política de Segurança da Informação
    • Classificação de Informações
    • Gestão de Continuidade de Negócios
    • Gestão de Pessoas em Segurança da Informação
    • Segurança Física e Operacional
    • Organização da Segurança da Informação
  • Tecnologia
    • Criptografia
    • Controle de Acesso
    • Segurança em Redes e Telecomunicações
    • Segurança em Hosts
    • Arquitetura e Modelos de Segurança

Requisitos

O MCSO possui requisitos de experiência profissional mais baixos que certificações similares como o CISSP e o CISM. Apenas dois anos de experiência profissional são demandados. Se o candidato participa de um curso de formação da Módulo, não há a necessidade de se comprovar experiência. Isso torna o MCSO um título atrativo para quem não tem muita vivência profissional, embora o custo se torne mais elevado, já que o profissional será obrigado a fazer os cursos preparatórios nesse caso.

Validade

O certificado MCSO é válido por 4 anos e renovável por períodos de quatro anos adicionais desde que o profissional participe de um programa de educação continuada similar ao do (ISC)². No geral, 160 horas de atividades são demandadas para cada ciclo. Um detalhamento completo do funcionamento do programa pode ser encontrado aqui.

Preparação

A melhor forma de se preparar para o MCSO é fazendo os cursos oficiais da Módulo. São dois curso de uma semana, cobrindo assuntos de gestão e tecnologias. Uma alternativa é tentar adquirir os livros e prestar a prova por conta própria. O problema é que os livros neste exato momento estão esgotados, havendo apenas a possibilidade de compra de segunda mão. Uma nova edição está sendo planejada para breve.

Veredicto

O MCSO é um título bastante reconhecido no mercado brasileiro, embora não conte com o mesmo prestígio de certificações como o CISSP ou o CISM. Entretanto, seu exame é o único aplicado em português, o que o torna a única opção para aqueles que têm dificuldade com outros idiomas. Seus requisitos de experiência profissional são mais baixos e podem ser descontados caso o candidato faça os cursos oficiais de formação da Módulo, embora os custos envolvidos devam ser avaliados. Seu foco é gerencial, portanto, se você procura uma certificação de nível técnico, você deve avaliar o Security+, o SSCP ou o GIAC em seu lugar (em ordem de dificuldade e reconhecimento).

Mais informações

Certificação MCSO

CISM

O CISM (Certified Information Security Manager) é um título mantido pela ISACA, instituição mundialmente reconhecida por ser a principal associação profissional voltada para o mercado de auditoria de sistemas. Entretanto, seu título de maior prestígio é o CISA (Certified Information Systems Auditor). O CISM foi criado para ser um título exclusivamente destinado a gestores de segurança da informação, ou seja, os profissionais que possuem o título devem, obrigatoriamente, possuir experiência gerencial. Isso não implica necessariamente que a pessoa deva ter coordenado equipes, mas que ela tenha trabalhado em uma posição administrativa responsável por gerir a SI dentro de uma organização. O lançamento do CISM em 2003 gerou reclamações por parte do (ISC)², que não via na certificação, segundo notas de imprensa publicadas, nada de novo sendo trazido. Argumentava que o efeito prático de uma nova certificação tão similar ao CISSP seria forçar os profissionais a longo prazo a tirarem mais de um título, o que traria custos sem muito valor agregado. A ISACA refutou essas alegações, dizendo que o título é focado apenas em gerentes, enquanto que o CISSP, apesar de ter esse foco, era muito procurado também por técnicos querendo mudar a carreira. Comparado ao CISSP, o CISM contém um escopo um pouco menor, por priorizar assuntos relacionados à gestão, enquanto que o CISSP busca prover uma formação mais abrangente. Há cerca de 50 profissionais no Brasil que possuem a certificação CISM, um número quatro vezes menor que o de CISSPs e quinze vezes menor que o de MCSOs.

Exame

A prova é feita duas vezes por ano, de maneira sincronizada, em diversas cidades do mundo, incluindo São Paulo, Rio de Janeiro e Brasília. O exame possui 200 questões e é feito em papel. O valor do exame é 505 dólares. Candidatos que se registram com antecedência recebem desconto de 50 dólares. O ISACA divulga anualmente os calendários com as datas e prazos limite para inscrição. Membros da associação também recebem desconto nas inscrições e é uma boa opção associar-se caso você pretenda fazer a prova. Caso o candidato não passe no exame ele pode fazê-lo novamente na data seguinte, embora normalmente esse espaço de tempo seja de pelo menos seis meses. A escala de nota da prova vai de 200 a 800 pontos, sendo que o candidato necessita de pelo menos 450 para ser aprovado. O exame está disponível em diversas línguas, sendo que a mais próxima do português é o espanhol. Entretanto os candidatos não podem usar dicionário de tradução como acontece no CISSP. Diferente do (ISC)², a ISACA divulga quais os percentuais de questões que são extraídos de cada um dos assuntos exigidos, o que facilita os estudos e a preparação dos candidatos:
  • Information Security Governance (23%)
  • Information Risk Management (22%)
  • Information Security Program Development (17%)
  • Information Security Program Management (24%)
  • Incident Management and Response (14%)

Requisitos

O CISM demanda pelo menos cinco anos de experiência profissional em tempo integral em pelo menos três das cinco áreas de conhecimento avaliadas no exame. Três destes anos devem ser obtidos ocupando uma posição de nível gerencial. Essa experiência deve ter sido obtida dentro do período de dez anos que antecede o exame, ou em até cinco anos após ter sido obtida a aprovação. A ISACA permite que os candidatos sentem para o exame sem ter toda a experiência necessária, mas apenas emite certificados para aqueles que fazem as comprovações necessárias. Há dois descontos possíveis para esses requisitos de experiência. Caso o candidato já possua o CISSP, o CISA ou uma pós-graduação em SI ou áreas correlatas (incluindo TI) é possível obter um desconto de dois anos. Se, além disso, o candidato possuir uma certificação técnica, como as da Microsoft ou do CompTIA, ou tiver pelo menos um ano de experiência em gestão de TI, mais um ano pode ser descontado. Combinando os dois descontos, fica necessário apenas comprovar dois anos de experiência. Porém, há um detalhe importante: nenhum dos dois descontos acima reduz a necessidade de comprovar experiência em gestão de SI. Além dos requisitos de experiência profissional, os candidatos que obtém o CISM devem aderir ao Código de Ética Profissional da ISACA.

Validade

Para manter o seu título válido, os profissionais devem participar de um programa de educação continuada, similar ao do CISSP, onde seu título é renovado a cada período de três anos. Além disso, uma anualidade para sustentar os benefícios aos profissionais certificados é cobrada, custando 75 dólares, sendo que membros filiados ao ISACA pagam apenas 40.

Preparação

A ISACA publica todos os anos um manual de revisão para as suas certificações. O CISM Review Manual é um material de extrema importância para os candidatos, porém não pode ser considerado um guia definitivo em virtude da sua superficialidade. Fora este texto básico, faltam livros de qualidade que possam ser utilizados. Uma busca na Amazon retorna apenas dois títulos específicos, com notas de avaliação vergonhosas. Outra alternativa de qualidade questionável são os livros produzidos pela SRV Books, publicados independentemente pelo próprio autor. Eventualmente, cursos preparatórios, oficiais ou não, são oferecidos no Brasil pelos capítulos locais da ISACA. O site do capítulo paulista da ISACA é o melhor local para começar as buscas.

Veredicto

O CISM é uma certificação que compete de maneira direta com um concorrente muito forte, mas que é amparada por uma associação profissional muito forte e tradicional. A quantidade de profissionais certificados no Brasil é ainda muito baixa, o que a torna menos reconhecida que o CISSP e o MCSO. A idéia da ISACA de diferenciá-la do CISSP, focando em um público mais gerencial, ainda necessita trazer resultados mais consistentes para que o CISM receba o destaque que merece, uma vez que o programa é muito bem elaborado e gerenciado. Se o seu foco é técnico, fuja do CISM completamente. Se o inglês é um problema, corra para o MCSO.

Mais informações

CISM Certification

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre certificações mais específicas, como o CISA e o GIAC. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
As Artes do Risco e os Riscos da Arte

arte2.png

O Instituto Internacional de Ciências Sociais e a Livraria Cultura organizarão um ciclo de palestras denominado As Artes do Risco e os Riscos da Arte, reunindo profissionais de diferentes perfis para discutir a temática do risco sobre diversas perspectivas. Filósofos, escritores e empresários farão um papo-cabeça sobre temas variados como O risco da informação (Bernardo Ajzenberg) ou O sentido do risco na modernidade (Rafael Ruiz). As palestras acontecerão na Livraria Cultura do Shopping Market Place em São Paulo, próximo a Av. Eng. Luis Carlos Berrini, a capital brasileira do congestionamento. Está trabalhando na região e pretende esperar o trânsito diminuir expandindo os conhecimentos sobre o risco para fora da nossa caixinha de Segurança da Informação? Aproveite a oportunidade, pois são dez datas diferentes a um preço camarada de R$25,00. De quebra, aproveite o acervo de livros de tecnologia da loja, um dos melhores do país. O local já virou ponto turístico para os profissionais do Brasil inteiro que visitam a região à trabalho. O Shopping Market Place também é facilmente acessado pela estação Morumbi da Linha 9 - Esmeralda da CPTM.
Read More
BlogAnderson RamosCarreiraComment
Lan house é punida por falta de identificação de usuários

Cyber Café na Noruega por Anderson Ramos

Uma decisão inédita na justiça mostra que é possível responsabilizar legalmente aqueles que não são capazes de proteger e controlar adequadamente sua estrutura de acesso à Internet. A Justiça de São Paulo determinou que uma lan house pague 10 mil reais de indenização a uma vítima de difamação. Tudo ocorreu porque a lan house foi incapaz de fornecer informações que ajudassem a identificar o originador de uma mensagem de caráter difamatório. Desde 2006 há uma lei no Estado de São Paulo que obriga as lan houses a identificarem seus usuários. Entretanto, a advogada responsável pelo caso, Camilla Jimene, informou que baseando-se apenas no Código Civil brasileiro é possível abrir processos similares por qualquer pessoa que se sinta vítima de uma mensagem que contenha teor que constitua calúnia, injúria ou difamação. Esse é mais um caso ganho em primeira instância pelo escritório Opice Blum Advogados, que já há algum tempo se firmou como o principal escritório do país especializado em direito eletrônico.
Read More
BlogAnderson Ramos Comments
Atravessar a rua falando no celular pode gerar multa

Crossing the streets by Jonathan Irwin

Um político dos EUA está em campanha para aprovar uma lei que multará pedestres que atravessarem a rua falando ao telefone celular. O legislador Kenneth Dunkin do estado de Illinois acredita que a sua lei ajudará a reduzir a mortalidade de pedestres. Um exemplo típico de lei polêmica, a iniciativa já está dando o que falar. Notícias satirizando ou apoiando a iniciativa têm aparecido em alguns sites e blogs por aí. E você, o que acha? Pura maluquice exagerada ou uma medida importante para conscientizar as pessoas sobre os riscos envolvidos? Fonte: The Register.
Read More
BlogAnderson RamosSegurança FísicaComment
IBM desenvolve algoritmo de resposta a desastres

ibm2.jpg

A IBM patenteou nos EUA um algoritmo cujo objetivo é aumentar a eficiência na resposta a catástrofes naturais. A técnica é chamada de Programação Estocástica, podendo ser usada para uma ampla gama de aplicações.

Na resposta aos desastres, as técnicas ajudariam a aumentar a velocidade do processo de tomada de decisões em momentos de crise. Segundo a notícia, quase 200 milhões de pessoas são afetadas todos os anos por esse tipo de incidente. Entretanto, as iniciativas governamentais estão normalmente baseadas em sistemas desconexos, sem inteligência específica para lidar com este tipo de problema.

Maiores informações na fonte original: IBM touts complex math to help handle natural disasters.

Read More
BlogAnderson RamosContinuidade, Gestão, Segurança FísicaComment
Hackers publicam impressões digitais de ministro

Fingerprint por sensesmaybenumbed

O CCC (Chaos Computer Club), um grupo de hackers alemães, resolveu publicar as impressões digitais de Wolfgang Schauble, Ministro do Interior da Alemanha, como forma de protesto contra as iniciativas do governo alemão de armazenar informações biométricas em passaportes eletrônicos. Um simpatizante do grupo capturou as impressões digitais a partir de um copo usado pelo ministro em um painel de discussões. A notícia, bem como uma explicação do método utilizado para a coleta, foram divulgadas na última edição da revista Die Datenschleuder, a principal publicação do CCC. Quatro mil edições da revista foram impressas contendo um filme plástico para ser colocado sobre os dedos dos leitores, para que estes possam se passar pelo ministro. O CCC é uma organização hacker fundada em Berlin no ano de 1981, o que a torna um dos mais antigos (e influentes) grupos da atualidade. Segundo o Wikipedia, a organização conta hoje com 1800 membros. O CCC é muitas vezes classificado com um grupo gray hat, tendo um comportamento que o coloca no limite entre o legal e o ilegal e que já lhes causou uma série de problemas. Eles são responsáveis pelo Chaos Communication Congress, um evento que seria o equivalente europeu da DEF CON, o maior evento hacker existente. A porta voz do primeiro ministro informou que nenhum tipo de ação legal será tomada contra o grupo, provavelmente por medo de dar visibilidade aos seus questionamentos que são totalmente pertinentes, embora o método possa ser condenável. A coleta indiscriminada de informações biométricas é uma prática que certamente gerará muitos problemas no futuro e os seus defensores e financiadores não estão dando a devida atenção ao problema. Via Gizmodo.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Perícia, Segurança Física Comments
Artigos mais acessados de 2008

Compact Card Calendar por Joe Lanman

Hoje faz exatamente três meses que este blog está no ar. Certamente um período curto de tempo, mas que me deixa muito feliz por conta do resultado alcançado. Para compartilhar um pouco dessa realização com os leitores, resolvi fazer aqui um resumo de quais foram os artigos, posts e seções que foram os campeões de audiência do trimestre. Os três artigos mais acessados (e comentados) foram: Guia de Certificações em Segurança da Informação - Parte 1 - Essa série, que ainda está sendo publicada, junta em uma única fonte a maior quantidade possível de informações sobre as certificações profissionais existentes na área de segurança da informação (SI), além de fornecer dicas de preparação. A Parte 2A deste artigo também foi publicada e está disponível aqui. Resoluções de Ano Novo - Como Fazer o que Você Ama - O segundo colocado é um texto que não é de minha autoria. Ele foi traduzido a partir de um original do Paul Graham (autor do livro Hackers and Painters) e é o texto mais inspirador que eu já li sobre como dar um rumo a sua carreira profissional. Como não implementar medidas de segurança - Parte 1 - Essa série também está em publicação. Nela eu comentei alguns aspectos sobre a postura dos profissionais de SI que podem influenciar na resistência que ele enfrentará dentro da organização onde trabalha. A Parte 2 já está disponível e explica na prática como proceder com as negociações durante o processo de definição controles, também com o objetivo de diminuir resistências. Na última parte eu falarei sobre como conscientizar os usuários a respeito dos controles mas, enquanto ela não sai, há também um artigo disponível aqui sobre o assunto. Já os três posts mais acessados, com títulos auto-explicativos, foram: Explicando um deadlock com imagens de trânsito (ISC)² publica guia sobre como contratar profissionais de SI Como se preparar para o CISM Por fim, as seções mais acessadas do blog são: Livros publicados - Trabalhei como autor e organizador de três livros sobre segurança da informação, mas infelizmente os dois mais populares estão esgotados. Há planos para a publicação de uma nova edição mas, por hora, a única forma de conseguir os dois volumes do Security Officer - Guia Oficial para Formação de Gestores em Segurança da Informação é comprando de segunda mão. Uma boa dica é tentar em listas de discussão especializadas como a CISSP BR. O outro livro no qual eu trabalhei (Information Security Management Handbook) foi publicado nos EUA e pode ser encontrada nas livrarias de lá, ou em qualquer livraria especializada por aqui, como a Livraria Cultura. Artigos - Todos os artigos disponíveis no blog estão nesta seção. Você também pode usar a barra de categorias lateral para filtrar tanto artigos como posts de acordo com o tema de sua preferência. Palestras - Aqui estão todas as principais palestras que eu ministrei nos últimos dez anos. Se você gostaria de ter visto algum e perdeu, ela provavelmente deve estar aqui. Aproveito esta mensagem para agradecer as mensagens e os comentários freqüentes dos leitores e colegas que têm contribuído para enriquecer todo o conteúdo que eu publico por aqui. Grande abraço!
Read More
BlogAnderson RamosCarreira, Continuidade, Crime, Criptografia, Gestão, Malware, Perícia, Segurança Física, Segurança em Redes, Sistemas OperacionaisComment
Como não implementar medidas de segurança - Parte 2

Manufactured Security by Kris Krüg

Na primeira parte desta série eu falei sobre como a postura do profissional de segurança pode influenciar na resistência que ele enfrentará durante a implementação de políticas e controles. Nesta segunda parte, darei um foco maior nos aspectos práticos deste processo. Toda discussão sobre redução de resistências a medidas de segurança deve, na realidade, começar por uma avaliação da autoridade que as medidas inspiram. Você até pode, eventualmente, com muita capacidade de persuasão e liderança conseguir resultados interessantes em termos de cooperação sem ter o apoio da alta administração da organização onde você atua, mas certamente terá muito mais trabalho. As medidas de segurança são inerentemente impopulares, pois, na grande maioria dos casos, elas se parecem com desperdício de tempo e recursos. Pense numa trava de carro. Você poderia simplesmente estacionar o carro, desligá-lo e trancá-lo, sem colocar a trava. Se você fizer isso, as chances de furto são maiores. Se você colocar a trava, serão menores. Entretanto é perfeitamente possível que vários anos se passem até que você possa ver a trava apresentando eficiência, ou pode ser que você nunca veja. Mas o que você vê todos os dias é que, se você perder 3 minutos por dia colocando e tirando a trava, você perde um dia útil inteiro por ano apenas fazendo isso. Algo que certamente se parece com puro desperdício de vida. A grande falta de visão aqui é achar que, porque nunca ninguém tentou roubar seu carro, a trava é algo desnecessário. Certamente uma das principais razões pelas quais seu veículo nunca sofreu uma tentativa de furto é justamente a trava. Ela também funciona desencorajando tentativas de furto. É por isso que muitas pessoas colocam as travas. No geral, elas são eficazes. Vale a pena gastar um dia útil por ano para prevenir uma perda centenas de vezes superior. Mas alguém que tem a autoridade para tal deve definir isso, pois nem todos conseguem perceber voluntariamente. Pense em 10 minutos de desperdício diários de um vendedor em uma equipe de 30 pessoas com um salário de 1000 reais. Se considerarmos que o custo real do funcionário em virtude dos encargos é o dobro disso, chegamos a um desperdício anual de cerca de R$21.500,00, o que representa cerca de 3% da folha de pagamento. Um diretor comercial jamais vai aceitar pacificamente tamanho impacto em termos de custos e resultados. Você pode até tentar convencê-lo de que no longo prazo é melhor ter os controles, pois eles estarão prevenindo perdas. Mas ele está sendo cobrado por um resultado de curto prazo, normalmente uma meta mensal de vendas, e não vai te dar ouvidos por razões óbvias. Logo, alguém acima dele deve apoiar e exigir as medidas de segurança, senão seus esforços vão custar a trazer resultados. Dependendo do tamanho da empresa, essa pessoa pode ser o próprio presidente, mas o ideal é que haja um grupo de pessoas na alta administração apoiando as iniciativas de segurança. Essa recomendação está explícita na NBR ISO/IEC 27002 (antiga 17799). As responsabilidades principais deste grupo são exigir compromisso dos colaboradores e prover recursos adequados. Em uma grande empresa de capital aberto, o ideal é que este grupo seja um comitê executivo multidisciplinar, representando os principais departamentos. Um de seus primeiros trabalhos será aprovar um conjunto de diretrizes básicas que formariam o primeiro documento de uma Política de Segurança da Informação. Essas diretrizes devem definir o escopo da SI e as responsabilidades das pessoas envolvidas. Por terem sido aprovadas pelo comitê, sua publicação é uma manifestação clara de apoio às iniciativas de segurança. Todas as normas e procedimentos que serão posteriormente definidos buscarão respaldo nessas diretrizes. Dessa forma, elas se tornam uma espécie de carta branca formal que dá poderes ao gestor de SI para definir e implementar as medidas necessárias. Porém, isso funciona apenas na teoria. Na prática, por mais que o departamento de segurança tenha crédito, ele vai enfrentar todos os tipos de resistências possíveis e imagináveis que ainda demandarão muito esforço para serem reduzidas. O passo seguinte seria buscar compreender como funcionam os departamentos da empresa de forma a sugerir controles que reduzam riscos inaceitáveis, mas que ao mesmo tempo não sejam um empecilho injustificável aos processos de negócio. Nem sempre é possível buscar este equilíbrio. Mas se você não se aproximar dos departamentos para entender como estes funcionam, sofrerá uma resistência a priori. Qualquer tentativa de elaborar procedimentos de segurança para um departamento cujo funcionamento você não conhece será julgada autoritária e prepotente. Envolver os gestores dos departamentos tem também outra vantagem importante. Uma vez que eles tenham participado do processo de elaboração, a probabilidade de haver cobrança para com os seus respectivos subordinados é maior. Dessa forma, o que faremos é preparar multiplicadores para a fase posterior ao desenvolvimento das políticas, que envolverá a conscientização a respeito delas. Nessa interação, você encontrará pelo menos três tipos de situação em termos de acordo entre a área de SI e o departamento: SI quer e o departamento concorda: Esse tipo de situação não é das mais freqüentes. Entretanto, incluímos aqui também os controles que foram aceitos a contragosto, mas que não geraram forte reação, seja porque os departamentos afetados não se importam ou porque a uma postura contrária seria injustificável. SI quer e o departamento não concorda: Essa é aquela situação que gerará discórdia e brigas políticas. Embora caiba a SI determinar os controles, isso não significa que todos serão aprovados, pois eles normalmente passam pelo crivo do comitê executivo como veremos mais à frente. Existem batalhas que não valem a pela. Outras, entretanto, têm validade, por isso você não vai querer perdê-las. Deixe para lutar por elas onde você tem mais chances de ganhar. Geralmente essa batalha seria travada dentro do comitê executivo, no momento da aprovação do conjunto completo de controles, onde você estará cheio de argumentos válidos e o seu adversário nem tanto, pois ele não poderá manifestar uma postura radicalmente contra a segurança da informação em um comitê cuja responsabilidade é justamente prezar pela proteção. Os departamentos não concordam, mas a lei exige: Esse seria uma subcategoria da situação anterior, com uma diferença importante. Se a legislação exige um controle, a sua implementação não está aberta a questionamento, pelo menos em teoria, então jogue a responsabilidade para o comitê executivo. Documente que o controle foi recomendado conforme exigência legal e traga os argumentos necessários. Caso ele não seja aprovado, você está pessoalmente protegido contra futuros questionamentos, ou mesmo problemas jurídicos. Não é possível, nem é desejável, vencer todas as batalhas. Escolha corretamente quais são aquelas que você vai querer travar. Em todas elas, acho que vale bastante um provérbio africano que se popularizou por descrever a política externa americana durante a presidência de Theodore Roosevelt: “quando visitar seu adversário, fale em voz baixa, mas leve um grande porrete nas mãos”. O porrete da área de SI é o apoio da alta administração para com as medidas de segurança. A fala mansa é a propensão ao diálogo com aqueles que serão afetados pelas medidas. Para ter sucesso durante esse processo de elaboração, é importante não perder nenhuma das duas coisas. Perdemos o apoio da alta administração quando temos dificuldade de manter a visão do negócio, ou seja, a capacidade de ter argumentos plausíveis de que aqueles controles têm uma boa relação custo/benefício. Para isso é de fundamental importância a execução de uma análise de riscos, mostrando de maneira impessoal que a ausência dos controles que você está sugerindo submetem a empresa a riscos que ela própria considera inaceitáveis. Para não perder a fala mansa, é importante ter paciência para compreender e negociar previamente os controles com as áreas de negócio. Se você perder este apoio de base, vai chegar desgastado ao comitê para aprovar os controles. Não esqueça que todos aqueles gestores têm um superior imediato, cuja probabilidade do mesmo estar no comitê é grande. Embora essa pessoa apóie a segurança, seu compromisso com os subordinados é muito mais crítico para seu trabalho. Dessa forma, nunca se esqueça de ter sensibilidade e observar os detalhes. Até aqui, eu procurei mostrar que para diminuir a resistência aos controles de segurança, o trabalho começa como uma avaliação prévia da sua própria postura profissional. Esses aspectos foram detalhados na primeira parte desta série. Aqui, eu discuti, na prática, como deve ser o ciclo de negociações e como obter o apoio necessário para conduzir este processo de maneira favorável à segurança. Por fim, mesmo a aprovação dos controles pelo comitê executivo de SI não encerra seus problemas. A última, e talvez a mais importante, de todas as fases será conscientizar os usuários a respeito da importância dessas medidas e conseguir colocar os estímulos necessários para obter os resultados esperados. Esse último assunto será tratado na última parte desta série. Por hora, você pode ler este artigo que eu escrevi há alguns anos, sobre conscientização de usuários.
Read More
Artigos, BlogAnderson RamosCarreira, Gestão Comments
Governo prioriza proteção da infra-estrutura crítica

brasao_brasil.gif

Uma matéria publicada na Folha de São Paulo, sobre o impacto dos movimentos sociais no Brasil, especificamente o MST e similares, informa que o GSI (Gabinete de Segurança Institucional) fará um mapeamento da infra-estrutura crítica do país de forma a minimizar possíveis impactos a essas instalações. Internacionalmente, essas ações costumam receber o nome de proteção à infra-estrutura crítica. Normalmente, estão incluídas nessas atividades o mapeamento de instalações, serviços ou processos tidos como críticos, cujo impacto em seu funcionamento pode trazer sérios problemas econômicos, sociais, políticos, diplomáticos ou de segurança nacional. No próximo mês de maio será o aniversário de dez anos do início deste tipo de iniciativa nos EUA, onde o programa se encontra em um estágio bem mais maduro que o brasileiro. O programa norte-americano foi posteriormente expandido por um decreto do presidente George W. Bush, em uma das muitas respostas aos atentados sofridos pelas torres gêmeas. Maiores informações estão disponíveis no Wikipedia. O GSI está vinculado diretamente à Presidência da República, e possui status de ministério. O ministro-chefe é o Gen. Jorge Armando Felix, cujo compromisso e apoio às iniciativas de Segurança da Informação no Brasil são notórias. Sob o comando do GSI encontram-se a ABIN (responsável pelo PNPC - Programa Nacional de Proteção ao Conhecimento) e a Secretaria-Executiva da Câmara de Relações Exteriores e Defesa Nacional, que trabalha em parceria com o CGSI (Comitê Gestor de Segurança da Informação). O CGSI é um comitê multidisciplinar que assessora a Secretaria-Executiva, sendo que sua iniciativa mais conhecida é a publicação da Política de Segurança da Informação para a Administração Pública Federal, feita em 2000, através do Decreto 3.505 Acabei por fazer um resumo das principais iniciativas de SI na esfera do Governo Federal. Todas elas estão alinhadas com a visão, que para mim é cada vez mais marcante, que o Brasil precisa se profissionalizar em vários aspectos, uma vez que estamos saindo da posição de "capital mundial da simpatia" (nome de uma matéria da Exame desta semana) para um país que tem cada vez mais destaque no cenário internacional (e incomoda cada vez mais).
Read More
BlogAnderson RamosContinuidade, Crime, Gestão, Segurança Física Comment
Guia de Implementação para um Sistema de Gestão de Continuidade

enisa.jpg

A ENISA (European Network and Information Security Agency) publicou mais um guia de excelente qualidade, e totalmente gratuito, sobre a implementação de um Sistema de Gestão de Continuidade de Negócios (BCMS - Business Contintuity Management System). Intitulado Business and IT Continuity: Overview and Implementation Principles, o guia contém 175 páginas de muita informação e está organizado em conformidade com a norma inglesa BS25999 e com a brasileira NBR 15999 (que foi inspirada na norma inglesa). Além disso, a elaboração do guia considerou ainda mais de uma dezena de outras normas, recomendações ou padrões no seu processo de elaboração, incluindo o ITIL v3 e o CobiT. Se você está em um projeto sobre continuidade, ou estará em um futuro próximo, essa é certamente uma literatura indispensável. Business and IT Continuity: Overview and Implementation Principles.
Read More
BlogAnderson RamosContinuidade, Gestão, Segurança Física Comment
Certificações Profissionais em Segurança da Informação - Parte 2A

certificates.jpg

Este é o primeiro post da segunda parte do Guia de Certificações em Segurança da Informação (SI). Os artigos estão sendo escritos para leitura seqüencial. Se você não encontrar a informação que procura aqui, leia antes a Parte 1, onde eu falei sobre o valor das certificações e sobre os institutos por trás dos principais títulos disponíveis no mercado. A Parte 2 do guia é destinada a detalhar as certificações. Nesse primeiro post (2A) eu falarei sobre o Security+ e o SSCP, que são os principais títulos para profissionais técnicos cuja experiência ainda é pequena ou intermediária.

Security+

O Security+ é uma certificação mantida pelo CompTIA, um dos maiores institutos de certificação profissional em tecnologia. Essa certificação é focada em segurança computacional, o que não faz dela exatamente uma certificação em SI. Seu reconhecimento no mercado brasileiro é limitado e, mesmo internacionalmente, não é dos maiores. Ela é vista como um título introdutório, similar a visão que o mercado possui de outros títulos da CompTIA. Porém, muitos profissionais buscam o Security+ como uma forma de preparação intermediária para exames mais difíceis como o SSCP, o CISSP ou mesmo o GIAC.

Exame

A prova é aplicada em centros VUE e Prometric, o que torna o exame bastante acessível do ponto de vista geográfico, já que existem muitos centros deste tipo espalhados pelo Brasil. Como o exame é aplicado eletronicamente, o candidato já fica sabendo o resultado na hora. O valor do exame é 251 dólares, o que representa metade do preço de outras certificações como o CISSP e o CISM e aproximadamente o mesmo preço do MCSO. A prova possui 100 questões e tem 90 minutos de duração. A nota de aprovação é 764 em uma escala de 100 a 900. O exame está disponível apenas em inglês e, caso o candidato não consiga passar, pode fazer o segundo teste sem nenhum período de espera, mas se repetir novamente, deverá esperar pelo menos 30 dias para as tentativas subseqüentes. O conteúdo dos exames está distribuído conforme a listagem a seguir:
  1. General Security Concepts - 30%
  2. Communication Security - 20%
  3. Infrastructure Security - 20%
  4. Basics of Cryptography - 15%
  5. Operational / Organizational Security - 15%

Requisitos

O exame não possui requisitos de experiência prévia, embora o instituto recomende um mínimo de dois anos de atuação na área. Isso faz com que as barreiras de entrada para o título sejam praticamente inexistentes em comparação ao CISSP ou CISM, que exigem vários anos de experiência comprovada atuando na área, embora tanto o CISSP quanto o SSCP possuam uma opção para obtenção parcial do título para candidatos sem experiência. Falarei dela nas seções correspondentes.

Validade

A princípio, a certificação não possui validade, mas o exame possui versões. Ele ainda está na versão 1.0, mas pode ser que venha ocasionalmente a ser atualizado no futuro.

Preparação

Existe uma infinidade de livros preparatórios disponíveis para a certificação. Eles podem ser adquiridos em livrarias especializadas no Brasil e no exterior. Certamente a melhor forma de adquirir livros técnicos hoje é diretamente com a Amazon. Se você não se sente confortável ou não possui um cartão de crédito internacional, a Tempo Real e a Livraria Cultura são sua melhor opção. Segundo o sítio da CompTIA, porém, não existem provedores de treinamento oficial para esta certificação no Brasil.

Veredicto

Se você não tem experiência e seu conhecimento é eminentemente técnico, o Security+ pode ser um bom título inicial, mas não espere muito reconhecimento. Outras opções mais difíceis (e caras) para quem não tem experiência são o MCSO (que dispensa a comprovação de experiência apenas se você fizer os cursos de formação) e a versão Associate dos títulos SSCP e CISSP, que dispensam a comprovação de experiência, porém não te entregam um título “completo”.

Maiores informações

CompTIA Security+ Certification

SSCP

O SSCP é mantido pelo (ISC)², mas não desfruta da mesma popularidade do CISSP, o título mais conhecido do instituto e um dos mais cobiçados pelo mercado. Seu foco é técnico, sendo que o público-alvo são os profissionais de SI cujo trabalho está mais voltado para a administração e a implementação de tecnologias. O SSCP não é muito reconhecido internacionalmente, apesar da ampla presença do (ISC)². Há cerca de dois anos, entretanto, o instituto tem feito um trabalho massivo de comunicar ao mercado suas opções em termos de carreira, deixando claro que muitos profissionais que sonham em ter o CISSP, que é uma certificação de foco gerencial/consultivo, deveriam na realidade buscar o SSCP. Isso tem feito com que a quantidade de profissionais certificados cresça em um ritmo grande. Pode ser obtido como um título intermediário para outros mais difíceis, como o próprio CISSP. Esse seria um caminho natural quando a pessoa quer se reposicionar na carreira para assumir uma posição gerencial/consultiva mas o seu perfil hoje é eminentemente técnico. O SSCP, porém, não é o principal título na sua área. As certificações GIAC, mantidas pelo SANS, desfrutam de mais reconhecimento, pois são muito mais difíceis de se obter.

Exame

O (ISC)² aplica exames para todas as suas certificações de maneira unificada. Basta olhar no sítio do instituto para ver as datas e os locais disponíveis. No Brasil, os exames ocorrem na cidade de São Paulo, cerca de quatro vezes por ano. Há também exames no Rio de Janeiro e em Brasília, cerca de uma vez por ano. O valor da prova, caso o candidato faça a inscrição com pelo menos dezesseis dias de antecedência, é de 369 dólares. Após esse período, o candidato paga 100 dólares adicionais. As provas são aplicadas em papel, uma alternativa escolhida pelo (ISC)² e alguns outros institutos, como o ISACA, para diminuir o cansaço visual dos candidatos e aumentar os controles contra vazamento de questões. O lado negativo é que o candidato não fica sabendo do resultado ao final do exame, e deve esperar de 4 a 6 semanas pelo resultado. O exame possui 125 perguntas que devem ser respondidas em 3 horas. A escala de nota vai de 0 a 1000, sendo que são aprovados os candidatos que obtém 700 ou mais. As perguntas são de múltipla escolha e possuem pesos diferentes (quanto mais difícil a pergunta, mais pontos ela dá) embora os candidatos não sejam informados sobre o peso individual das questões. Não existe período de carência caso o candidato não passe no exame, podendo este fazê-lo novamente já na semana seguinte, embora o (ISC)² mantenha provas no Brasil apenas a cada 3 meses. Os assuntos que caem na prova são chamados pelo (ISC)² de CBK (Common Body of Knowledge). Para o SSCP ele é chamado SSCP CBK e inclui os seguintes domínios:
  • Access Controls
  • Analysis and Monitoring
  • Cryptography
  • Malicious Code
  • Networks and Telecommunications
  • Risk, Response, and Recovery
  • Security Operations and Administration
O (ISC)² não informa o percentual de questões por domínio que você encontrará na prova, pois essa distribuição é baseada em um estudo feito aproximadamente a cada dois anos, onde os profissionais atuantes na área pontuam a relevância de cada um dos assuntos para a profissão, além da profundidade na qual o candidato deve dominar cada um deles.

Requisitos

O SSCP, como muitas outras certificações em SI, demanda requisitos prévios de experiência profissional. Para o SSCP, entretanto, este requisito é baixo, devendo o candidato comprovar pelo menos um ano de experiência atuando em tempo integral em atividades de segurança em pelo menos um dos sete domínios que compõe o SSCP CBK. Caso o candidato não possua a experiência necessária, existe uma opção chamada Associate of (ISC)², onde o candidato presta o exame sem possuir toda a experiência, recendo um diploma de Associate ao invés do SSCP. Desta forma, comprova que possui conhecimentos, mas que ainda não atende aos requisitos de experiência. Tão logo tenha pelo menos um ano de experiência trabalhando na área, poderá converter seu diploma de Associate em um SSCP. Todos os profissionais certificados pelo (ISC)² devem também se comprometer com o código de ética do instituto, o que abre o precedente para que as certificações sejam cassadas em caso de comportamento inadequado. Finalmente, todos os profissionais certificados pelo (ISC)² devem ter o seu formulário de registro endossado por outro profissional certificado pelo instituto. O objetivo desta medida é evitar que os candidatos mintam em relação a sua experiência profissional. Ninguém mais interessado em garantir que as informações de novos candidatos sejam verdadeiras do que as pessoas já certificadas. Desta forma, o endosse serve como uma espécie de trabalho voluntário feito por quem já é certificado. Caso o candidato minta em sua experiência profissional e isso seja descoberto, tanto o candidato como quem endossa perdem seu título. Se você não conhecer pessoalmente ninguém que possua um título do (ISC)², pode ficar tranqüilo. O instituto ajuda você a entrar em contato com alguém para que o endosso possa ser feito. Ao final, existe ainda um processo de auditoria por amostragem. Se você cair na malha fina, deverá prover documentação vinda do seu empregador, comprovando sua experiência profissional.

Validade

O SSCP é válido por três anos, renováveis infinitamente, desde que o candidato participe de um programa de educação continuada. Neste programa, os candidatos submetem anualmente evidências de que participaram de atividades de atualização profissional, e o título vai sendo renovado a cada período de 3 anos. Verifique no sítio do (ISC)² as regras de funcionamento do programa. Como muitos outros institutos de certificação, o (ISC)² cobra uma anualidade dos profissionais certificados, que volta para os mesmos na forma de benefícios, e serve também para financiar as pessoas que cuidam da verificação do programa de educação continuada, evitando assim que você tenha que fazer provas novamente de tempos em tempos. Para o SSCP, o valor desta anualidade é de 65 dólares.

Preparação

Existem muitos livros disponíveis para que o candidato possa se preparar para o exame, mas a melhor referência é sempre a oficial, embora ela nem sempre seja a mais didática. O Official (ISC)² Guide to the SSCP CBK é a literatura mais recomendada. Além disso, o (ISC)² mantém uma lista de livros recomendados caso o candidato necessite de mais informação do que o livro oficial provê para complementar seus estudos. Além dos materiais, o (ISC)² também provê seminários oficiais preparatórios para a certificação, que no Brasil são representados pela Módulo e pela Etek. O seminário tem duração de três dias e, caso você tenha condições de fazê-lo, é certamente a melhor ferramenta preparatória para obter a certificação.

Veredicto

O SSCP é uma certificação para profissionais de nível técnico e serve tanto para aqueles que querem se manter nessa área de atuação, como para os que queiram usar o SSCP como uma ferramenta intermediária para chegar ao CISSP (ou outras de dificuldade similar) e se reposicionar na carreira. A opção Associate, permite que mesmo candidatos com conhecimento, mas sem experiência, possam obter um título intermediário. Embora o título em si não seja tão reconhecido como o CISSP, o (ISC)² tem feito esforços pesados para comunicar ao mercado o seu foco. A prova está disponível apenas em inglês. Se isso representa um empecilho para você, a única opção que sobra é o MCSO, pois esta é a única certificação cujo exame está em português, embora o foco deste título não seja técnico e sim gerencial. Se você é um profissional com larga experiência técnica e gostaria de um título com mais prestígio, dificuldade e reconhecimento, deve avaliar o GIAC do SANS.

Maiores informações

SSCP - International Respect for Tacticians

Próximos passos

Nos próximos posts eu continuarei cobrindo outros títulos e falarei sobre o CISSP, CISM, CISA e o GIAC, entre outros. Na terceira e última parte, eu estou preparando um grande artigo sobre técnicas de estudo. Se não quiser perder nada, assine o blog utilizando seu leitor preferido ou a opção ao lado (Newsletter) para receber atualizações por e-mail.
Read More
Artigos, BlogAnderson RamosCarreira Comments
A cada quatrocentos telefones, um foi legalmente grampeado

This phone is tapped - por Sparky

O número te assustou? A mim também. O mais alarmante é que ele se refere apenas a telefones que foram legalmente interceptados através de ordens expedidas pela justiça apenas no ano de 2007. Se for colocado no bolo as interceptações clandestinas, não é difícil acreditar que existam mais de meio milhão de telefones grampeados no país enquanto você está lendo esta entrada. A notícia completa saiu na Folha de São Paulo.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Perícia, Segurança FísicaComment
Relatório sobre aspectos econômicos da Segurança da Informação

enisa.jpg

A ENISA (European Network and Information Security Agency) publicou recentemente um excelente relatório preliminar, chamado Analysing Barriers and Incentives for Network and Information Security in the Internal Market for e-Communication, cujo objetivo foi estudar os incentivos e as barreiras econômicas que ajudam ou atrapalham o desenvolvimento da Segurança da Informação. O documento está disponível para consulta pública e a agência está aceitando sugestões de melhoria para a publicação da versão final. Ross Anderson, talvez um dos percursores da pesquisa econômica relacionada à Segurança da Informação (junto com o Bruce Schneier) participou da elaboração deste documento. Quem tiver interesse pelo tema e quiser ver um texto mais introdutório, eu sugiro o Information Security Economics – and Beyond, do próprio Ross Anderson. Leitura obrigatória para todo Security Officer, permite ao gestor visualizar o problema da falta de incentivos para SI de uma perspectiva muito mais ampla e prática.
Read More
BlogAnderson RamosGestãoComment
Como se preparar para o CISM

cism.jpg

Eu sei que você já não deve mais agüentar me ouvir falar sobre algo que feito por um ex-aluno meu, mas lá vou eu de novo (eu treinei um monte de gente, que eu posso fazer? ;-) O Otto Pereira Aulicino foi meu aluno quando ele estava se preparando para a certificação CISSP. Recentemente, recebi a agradável notícia de que ele é o primeiro colocado no ranking brasileiro do exame CISM (Certified Information Security Manager). Infelizmente, não dá pra saber a colocação dele do CISSP, pois o (ISC)², diferente do ISACA, não divulga as notas de aprovação dos candidatos que passam no exame.

Não é a primeira vez que um brasileiro alcança um resultado desses. Alexandre Sieira e Demetrio Carrión já conseguiram o mesmo feito, em época diferentes, com a prova do CISA.

Pois bem, o Otto aproveitou pra organizar algumas dicas sobre como se preparar para o exame e publicou tudo em um artigo que se encontra disponível no sítio da ISACA Brasil, que por sinal este ano se encontra de diretoria nova, contando com o Marcelo Melro, da Siemens, como novo presidente (não vou contar que eu já tive a honra de ser o instrutor dele também, senão vai parecer que eu não falo de mais nada nesse blog ;-)

Aproveitando, gostaria de lembrar que eu devo publicar nesta semana a Parte 2 do artigo Guia de Certificações em Segurança da Informação, que vai falar sobre as diversas certificações disponíveis no mercado, e a Parte 3 deve vir semana que vem, falando justamente sobre técnicas de estudo. Há vários outros artigos que podem ser de seu interesse na seção pertinente.

Read More
BlogAnderson RamosCarreira, GestãoComment
Autenticação baseada em Cubo Mágico

cubo.jpg

A complexidade das senhas é uma das maiores fontes de atrito entre os profissionais de segurança e os usuários. É impossível chegar em um nível que atenda as necessidades de segurança de um lado e as expectativas de simplicidade dos usuários do outro. Mas seus problemas acabaram! Um designer chinês elaborou um protótipo de cubo mágico que pode ser usado para autenticação. Ao invés de memorizar senhas complexas, os usuários precisarão "apenas" memorizar e executar uma combinação de cores em seu cubo (que funcionaria como um token de autenticação) para acessarem os sistemas. Felizmente é apenas um produto conceito e toda a comunidade certamente está torcendo para que ele nunca saia do papel ;-) Via Yanko Design.
Read More
BlogAnderson RamosCriptografia, Gestão, Sistemas Operacionais Comment
Faltam profissionais de TI no mundo todo

economist.jpg

As pessoas que tiveram a oportunidade assistir alguma palestra minha nos últimos anos já devem estar cansadas de me ver batendo nessa mesma tecla, mas lá vou eu tocar no assunto de novo. O mundo vive um problema generalizado de escassez de mão de obra especializada em TI (Tecnologia da Informação). O documento mais consistente que eu vi sobre o assunto, e que não falava especificamente apenas de TI (falta gente qualificada em muitos setores), foi um relatório especial publicado na revista The Economist, em Outubro de 2006. Dentre as razões apontadas pela revista estavam o ressurgimento do fenômeno .com (Google, Yahoo! e Microsoft andam disputando os melhores cérebros no tapa, através de contratos cada vez mais restritos de não competição), a diminuição substancial da quantidade de alunos nos cursos relacionados à tecnologia (acredite, eles já não são considerados mais cool entre os adolescentes ;-) e o crescimento econômico dos países em desenvolvimento que têm feito com que alguns deles (Cingapura, por exemplo) dêem até isenção de imposto de renda para profissionais altamente capacitados que estejam vivendo fora do país e queiram ser repatriados. Semana passada estive em um encontro mundial do (ISC)² e ouvi a mesma coisa novamente, não importa se o mercado seja o norte-americano, europeu ou asiático. Recentemente, mais uma pesquisa de um instituto importante vem fazer coro com todas essas outras. O ITGI (IT Governance Institute) soltou um relatório sobre o status global da Governança de TI para 2008 onde 58% dos pesquisados afirmaram ter um número insuficiente de pessoal capacitado na área de tecnologia, comparado a 35% no mesmo período do ano anterior. Faltam profissionais até nos níveis mais básicos, mas o problema é sério mesmo quando falamos de profissionais com alto nível de capacitação, e imagino que a maioria dos profissionais de segurança deveria se enquadrar dentro deste nível. Qual a sua opinião? Tá faltando ou sobrando gente na sua área de atuação? Lembre-se também que quando a gente fala “profissional de TI” não estamos necessariamente nos referindo a instaladores de Windows ;-)
Read More
BlogAnderson RamosCarreira, Gestão Comments
Novo livro sobre segurança em Linux

Segurança em Linux

O Gilson Marques da Silva, autor do recém lançado Segurança em Sistemas Linux, é um profissional de sólida formação acadêmica e conhecimento enciclopédico sobre segurança em redes e sistemas operacionais. Tive a oportunidade de tê-lo como aluno na sua preparação para a formação CISSP, e agora tenho o prazer de divulgar seu livro. Já participei da produção de três livros sobre Segurança da Informação, e sei reconhecer o trabalho que dá.

Ainda não tive a oportunidade de ver o material, mas pelo autor, recomendo a publicação de olhos fechados. Segue a tabela de conteúdo:

1. Introdução 1 2. Cuidados na Instalação do Sistema Operacional 5 3. Atualização 11 4. Algumas Melhorias no Processo de boot no /etc/inittab 17 5. Acesso Direto pelo Usuário root 25 6. Aplicativo SUDO 31 7. Restrição para Uso do Comando su 37 8. Proteção para o Gerenciador de Início GRUB 41 9. Confi gurações de Relógio e Zona de Tempo 49 10. Sistema de Logs 57 11. Aplicativo LogWatch 63 12. Serviços 71 13. Mensagens de Advertência 81 14. Proteção para Dispositivos e Arquivos SUID/SGID em Partições Não Autorizadas 87 15. Permissões nos Arquivos passwd, shadow e group 91 16. Aplicativo AIDE 95 17. Arquivos com Permissões SUID/SGID Não Autorizados no Sistema 105 18. Permissões em Arquivos de Log do Sistema 109 19. Arquivos Não Autorizados com Permissão de Gravação para Todos 113 20. Arquivos com Proprietário ou Grupo Inexistentes 117 21. Marcação “.” ou Arquivos com Permissão de Gravação Liberada para o Grupo ou Outros no PATH de root 121 X # SEGURANÇA EM SISTEMAS LINUX 22. Permissões dos Diretórios home 125 23. Serviços r*: rsh, rlogin, rexec, rcp e o Arquivo .netrc 129 24. Umask Padrão para Usuários 135 25. Contas de Sistema 141 26. Privilégio de root e Contas sem Senhas 145 27. Gerência de Senhas e Acessos 149 28. Garantir que Não Existam Entradas “+” 157 29. Acesso ao cron e ao at 161 30. Habilitando o System Accounting 167 31. Confi guração Segura do SSH 171 32. Ajuste em Parâmetros de Rede 175 33. Desabilitando a Geração de Core Dump 181 34. SELinux 185 35. Firewall de host: IPTables/NetFilter 199 36. Checklist de Segurança da Informação para Sistemas Linux 217 Sobre o Autor 223

 

Read More
BlogAnderson RamosCarreira, Segurança em Redes, Sistemas Operacionais Comment
Panorama da Segurança da Informação no Brasil

iDefense

Nesta semana tive a oportunidade de jantar com uma equipe da iDefense, divisão de inteligência da VeriSign, que veio ao Brasil fazer um levantamento da situação do nosso mercado de Segurança da Informação (SI), especialmente nos aspectos relacionados à criminalidade digital. Aproveito para agradecer ao colega Anchises de Paula, Latin America Technical Regional Manager da VeriSign, pelo convite. Estavam presentes Eli Jellenc (Manager, Threat Intelligence), a socióloga Kristen Dennesen (Threat Intelligence Analyst) e engenheiro Blake Hartstein (Rapid Response Team). A iDefense se tornou mundialmente reconhecida por ter sido uma das primeiras empresas a pagar prêmios para pesquisadores que lhe enviassem vulnerabilidades que ainda não tivessem sido divulgadas. Embora a iniciativa seja considerada por muitos polêmica, diversas outras empresas e fabricantes têm adotado posturas similares. Em 2005, a empresa foi comprada pela VeriSign por 40 milhões de dólares em dinheiro. O executivo Eli Jellenc e sua equipe estavam no Brasil conversando com os principais especialistas do mercado com o objetivo de produzir um relatório de inteligência para seus clientes, que incluem diversos órgão de governo e empresas de grande porte nos EUA. Ao longo da conversa, algumas idéias amplamente aceitas sobre o cenário do mercado de SI no Brasil foram discutidas. Vou resumir quais são as que eu contesto por não terem mais a mesma validade.

O mercado de SI no Brasil se resume ao segmentos financeiro e telecom

Talvez essa informação fosse verdadeira há dez anos atrás, mas hoje certamente está equivocada. Embora esses sejam, sem sombra de dúvidas, os maiores compradores e empregadores, o mercado hoje está muito fragmentado e a maioria dos alunos que eu recebo hoje vem de outros setores. Um dos principais fatores que estão influenciando esta mudança é o fenômeno da abertura de capital. As empresas brasileiras descobriram que a Bolsa de Valores é uma fonte abundante de crédito, uma vez que com a queda dos juros, os investidores estão procurando diversificar suas aplicações em alternativas mais lucrativas. Esse é um fenômeno que eu previ em um artigo sobre o mercado econômico e a SI escrito em 2004. Porém, para abrir capital, o quantidade de ajustes internos que precisam ser feitas é enorme. Para poder ser vista como uma empresa de gestão responsável e de fundamentos sólidos, a gestão dos principais riscos, entre várias outras coisas, é um fator fundamental, e é aí que os departamentos de SI ganham força e independência, junto com iniciativas relacionadas à Governança de TI e profissionalização do ambiente de tecnologia. Em uma matéria do jornal Valor Econônico do final do ano passado, Oracle e SAP informaram que cerca de 60% das suas vendas hoje são para empresas que pretendem abrir capital nos próximos 12 meses.

A comunidade black hat no Brasil é minúscula e os script kiddies são uma multidão

Isso ainda é verdade. O Brasil no final dos anos 90 obteve uma má fama internacional de ser um celeiro black hat através de uma jogada de marketing. Durante muitos anos, grupos brasileiros lideraram (e ainda hoje lideram) os rankings internacionais sobre pichação de páginas. Isso fez o mundo pensar que tínhamos também uma forte comunidade black hat ligada à pesquisa de vulnerabilidades ou à espionagem industrial e governamental, sendo que isso nunca foi verdade. Entretanto, o que eu tenho percebido é que, provavelmente em virtude do crescimento econômico e da geração de empregos pela qual o país vem passando nos últimos anos, há sim um crescimento significativa na comunidade white hat, usem eles este nome ou não (a maioria dos white hats no Brasil, por uma questão de preconceito, prefere ser chamada apenas de profissional de SI). Todo evento internacional de grande porte tem pelo menos um brasileiro de destaque presente, são nomes como Augusto Paes de Barros, Domingo Montanaro, Luiz Eduardo, Rodrigo Rubira Branco e por aí vai (desculpas antecipadas, pois eu sei que esqueci de uma série de nomes ;-)

Os profissionais de SI brasileiros estão entre os melhores do mundo

Isso continua sendo verdade. Já tive alunos de mais de 20 nacionalidades diferentes em minhas aulas e sempre fui um defensor desta idéia. Porém, recentemente, eu começo a perceber certa mudança em alguns padrões que eu acho que vale a pena mencionar. Do ponto de vista técnico, os profissionais de SI europeus estão sendo "forçados" a levar a profissão para um outro patamar. Nenhuma outra região do mundo tem sofrido tanto com o crime digital como a Europa. Isso é fruto de uma combinação de fluxo livre de capitais entre os países, sem a correspondente colaboração entre as forças policiais, e uma proximidade com a Rússia, que é o celeiro black hat número um no mundo junto com os EUA. Entretanto, o Brasil continua tendo os melhores gestores de SI do mundo. Pergunte a qualquer pessoa que visita algum evento de caráter mais gerencial nos EUA, como o RSA Conference e o CSI, e você vai ouvir sempre a mesma coisa: "eles estão pelo menos cinco anos atrás de nós". Este fenômeno já não têm fatores tão claros a serem identificados, mas certamente tem a influência do nosso poderoso e avançado segmento financeiro, que têm demandado profissionais de SI há mais de uma década, com a combinação de uma cultura empreendedora, que cobra cada vez mais dos profissionais a tal "visão de negócio".

Comentários

E você, qual a sua opinião?
Read More
Artigos, BlogAnderson RamosCarreira, Crime, Gestão Comments
Adolescente de 16 anos obtém o Certified Ethical Hacker

Little genius

Shane Kelly, um adolescente inglês de 16 anos, é o mais jovem profissional que se têm notícia a obter a certificação Certified Ethical Hacker (CEH). Segundo a notícia dada pelo The Register, o adolescente gastou 10 meses na preparação, além de ter feito um treinamento em formato bootcamp (geralmente com uma semana de duração, onde os alunos estudam 12 horas por dia e fazem a prova de certificação no sábado). Vou passar longe da polêmica sobre a questão do treinamento bootcamp e da própria certificação, pois esses assuntos já foram extensivamente discutidos em listas de discussão de destaque como a cisspBR. Vou me focar na questão idade X certificação. Sempre que um profissional muito jovem obtém uma certificação reconhecida pelo mercado, surge uma discussão em torno da dificuldade em se obter o título. Quando eu passei na prova do CISSP, eu tinha 21 anos e fui o mais jovem profissional a obter o título até então. Alguns meses depois, Namit Merchant, um indiano de 16 anos, passou no mesmo exame, gerando grande polêmica em torno do assunto. O (ISC)², por essas e outras, aumentou os requisitos de experiência profissional da certificação. Tanto na Índia como no Brasil, não é raro que as pessoas comecem a trabalhar muito cedo, dependendo de sua origem social e econômica. Foi o que aconteceu comigo. Sempre lembro da cara de espanto que os meus colegas fizeram na primeira vez que eu cheguei para fazer o treinamento preparatório de instrutores no (ISC)². Até o ano passado, eu tinha o improvável título de instrutor mais jovem do mundo, combinado com o fato que eu fazia parte do grupo de instrutores mais experientes, pois trabalho lá há quase 8 anos. Todas as regras possuem exceções que muitas vezes são válidas. Em resumo, não acho que deva haver nenhum tipo de corte baseado em idade, desde que, obviamente, todos os requisitos para a obtenção do título sejam observados, incluindo experiência profissional. O mesmo tipo de fenômeno acontece no ensino formal, onde existem centenas de casos de adolescentes que obtém diplomas muito antes daqueles que seguem a rota padrão.
Read More
BlogAnderson RamosCarreira, Gestão Comments
OpenID é a bola da vez

 OpenID

Depois do Google e do Yahoo! anunciarem publicamente suporte a arquitetura OpenID, agora é a vez da, quem diria, Microsoft. Dessa forma, finalmente parece que a Internet está prestes a ganhar uma arquitetura única, integrada, independente e descentralizada para autenticação. Dúvidas pairam no ar sobre as iniciativas similares que a gigante do software mantém, como o Passport. O Yahoo! já havia anunciado que a tecnologia estará integrada ao seu portal e ao Flickr até o fim deste mês. Se você é responsável por administrar um site onde autenticação de usuários é um problema, parece que finalmente há uma opção interessante e promissora para o futuro que vale a pena ser analisada. Aguardem para breve um artigo aqui neste blog sobre a segurança da tecnologia.
Read More
BlogAnderson RamosCrime, Criptografia, Gestão, Segurança em Redes Comments