- Fltro de conteúdo HTTP
- Filtro de conteúdo SMTP
- Servidor de e-mail
- Anti-spam
- Serviço de tempo
- Anti-virus
- IDS (Detector de intrusão)
- Firewall
- DMZ (Zona desmilitarizada)
- Anti-spam
- Servidor de proxy
- Gerenciador de banco de dados
- Sistema de service-desk
- Servidor de base de conhecimento
- Servidor de http internet
- Servidor de http intranet
- Ponto de distribuição de sistemas
- Sistema de acesso remoto para equipe de suporte
- VPN (Virtual Private Network)
- Serviço de diretórios
- Servidor DNS
- Servidor DHCP
- Servidor de sistema de inventário
- Aplicações corporativas
- Controle de acesso à banda de comunicação
sábado, 15 de dezembro de 2007
Serviços mínimos
Você já pensou nas arquiteturas e serviços mínimos que sua rede precisa ter para trabalhar com eficiência e segurança ?
sexta-feira, 30 de novembro de 2007
Dia Internacional de Segurança em Informática
A Rede Nacional de Pesquisa, através do Centro de Atendimento a Incidentes de Segurança (CAIS), promove o Dia Internacional de Segurança em Informática - hoje, 30 de Novembro.
sexta-feira, 26 de outubro de 2007
Chuvas causam prejuízo de R$ 15 milhões no comércio
Publicada em 24/10/2007 às 15h42mO Globo
RIO - Com a chuva ininterrupta que cai no Rio desde o começo da manhã de hoje, o comércio vive um dos seus piores momentos. Calcula-se que houve uma queda de até 50% de seu faturamento.
De acordo com o presidente do Conselho Empresarial de Varejo da Associação Comercial do Rio, Daniel Plá, mais da metade das lojas abriram fora do horário e cerca de 30 mil lojistas de rua foram prejudicados. Segundo o empresário, as perdas no faturamento são irrecuperáveis, alcançam um total de R$ 15 milhões.
Daniel Plá acredita que os bares e restaurantes do centro foram os que mais perderam:
- Se o tempo permanecer ruim até mesmo os lojistas de shopping centeres que, normalmente são os mais beneficiados com o mau tempo, terão 30% de prejuízo - afirmou.
Cisco na cadeia
Fonte: http://oglobo.globo.com/economia/mat/2007/10/16/298168494.asp
Ver também: http://www1.folha.uol.com.br/folha/dinheiro/ult91u337219.shtml
Área afetada: TI – Tecnologia da Informação
Sub-Área: Redes de computadores
Impactos possíveis:
● Aumento do custo das licitações de equipamentos de rede futuras e em andamento;
● Aumento do tempo de licitações públicas, em virtude do maior cuidado dos controles internos;
● Interpelação dos órgãos públicos de controle, gestão e polícia.
Recomendações:
● Revisão das licitações e contratos na área;
● Contato informal com fornecedores para avaliação da situação;
● Aviso aos diretores da área de TI.
SONEGAÇÃO
Operação Persona: PF prende 40 por fraude em importações envolvendo a Cisco
Publicada em 17/10/2007 às 11h11m
Jailton de Carvalho e Henrique Gomes Batista - O Globo
Com Reuters
BRASÍLIA - A operação Persona, realizada conjuntamente por Polícia Federal, Receita Federal e Ministério Público Federal, prendeu, nesta terça-feira, 40 pessoas acusadas de participar de um esquema fraudulento de importação, criado por empresários brasileiros para beneficiar a multinacional americana Cisco Systems e sua subsidiária no país. A companhia é líder no segmento de serviços e equipamentos de alta tecnologia para redes corporativas, internet e telecomunicações.
Entre os presos, está o presidente da Cisco do Brasil, Pedro Ripper, e mais 39 funcionários públicos, empresários e funcionários de 30 empresas acusadas de envolvimento com o esquema de fraudes, em três estados do Brasil (São Paulo, Rio e Bahia) e nos Estados Unidos. A Receita Federal e a Polícia Federal, no entanto, não confirmam os nomes das empresas envolvidas, pois toda a operação corre em segredo de Justiça.
Empresas foram citadas na Operação Dilúvio.
As prisões aconteceram em São Paulo, Santos, Salvador, Campinas, Ilhéus e no Rio. Todos eles vão ser transferidos para São Paulo, sede da operação. Segundo os investigadores, os envolvidos subfaturavam o preço do hardware e superfaturavam o do software, cuja alíquota de imposto é menor. Com isso, mantinham o preço final, mas pagavam menos imposto.
Cisco diz cooperar com a investigação
Nesta quarta-feira, a Cisco emitiu comunicado no Brasil no qual confirma que as autoridades brasileiras visitaram e fecharam temporariamente os escritórios da Cisco em São Paulo e no Rio de Janeiro
. A companhia afirma que a ação foi consequência da investigação de um suposto esquema de sonegação de impostos que envolveria empresas brasileiras, entre as quais pelo menos uma delas é um revendedor da Cisco no Brasil.
A nota prossegue com a garantia de que a Cisco está cooperando com as autoridades e apurando o que aconteceu no país. Frisa que as vendas no Brasil representam apenas 1% dos negócios da companhia e que as operações são realizadas apenas por meio de parceiros diretos, pois não há estrutura de vendas diretas aqui.
Os papéis da Cisco fecharam, ontem, a US$ 32,29, o que significa uma queda de 1,52%. No mês, as ações acumulam uma perda de 2,54%, mas no ano registram valorização de 18,15%. A companhia negocia ações na Nasdaq, a bolsa eletrônica americana.
A Mude, distribuidora dos produtos da Cisco em São Paulo, seria outro alvo da operação Persona. Procurada pelo Valor, a empresa disse que seus executivos não falariam sobre o assunto.
Solicitada prisão de cinco brasileiros nos EUA
Além dos 44 pedidos de prisão no Brasil - 40 deles cumpridos - a Polícia Federal e a Receita Federal solicitaram às autoridades americanas a prisão de cinco brasileiros nos Estados Unidos acusados de envolvimento no esquema de fraude em importações de hardware e software. Dos 40 pedidos de prisão cumpridos, 27 foram em São Paulo, oito em Salvador, quatro em Campinas (SP), dois no Rio, dois em Ilhéus (BA) e um em Santos (SP). Entre os presos, além de Ripper, estão o presidente da Cisco para América do Sul, Carlos Alberto Carnevali, e pelo menos um diretor da multinacional. Também foram presos o presidente da Mude, Moacir Álvaro Sampaio, e mais 16 diretores e funcionários da importadora. Seis auditores fiscais - quatro da ativa e dois aposentados - estão entre os detidos na operação. Eles facilitariam o desembaraço de mercadorias, caso elas sofressem problemas ao chegar no Brasil.
Assessoria nega prisão de ex-presidente da Cisco
Ao contrário do que foi divulgado, a assessoria de imprensa do ex-presidente da Cisco Systems no Brasil, Rafael Steinhauser, negou que o executivo tenha sido preso na operação Persona.Steinhauser, que comandou a empresa até outubro do ano passado, estaria em Buenos Aires, numa viagem de negócios.
Segundo a assessoria, o executivo não teria poder estatutário sobre a empresa durante sua gestão. As decisões e assinaturas estariam concentradas no vice-presidente para a América Latina e Caribe, Carlos Carnevalli. Steinhauser tem 19 anos de experiência no setor de telecomunicações e já trabalhou para operadoras e fabricantes na Europa e América do Sul.
A PF e a Receita também pediram às autoridades americanas que investiguem a sede da multinacional americana e alguns de seus funcionários nos Estados Unidos, sobretudo executivos da sede da Cisco.
O coordenador-geral de pesquisas e investigação da Receita, Gerson Schaan, disse que este é o primeiro caso de investigação no Brasil que envolve a sede de uma grande empresa multinacional. Ele afirmou ainda que agora é preciso investigar se os clientes da empresa no Brasil sabiam da fraude. Segundo Schaan, a fraude reduzia pela metade o preço dos produtos.
Acreditamos que os produtos eram vendidos no Brasil a um preço 50% inferior ao que seria normal se os impostos fossem pagos - afirmou.
A delegada Érika Tatiana Nogueira, da PF, disse que a investigação teve início na denúncia de um ex-funcionário de uma das empresas envolvidas que se juntou a uma apuração em curso na Receita contra uma empresa de software de Ilhéus, pólo de desenvolvimento de software.
Na operação, foram apreendidos US$ 10 milhões em mercadorias, 18 veículos, US$ 290 mil e R$ 250 mil em espécie. Um jatinho comercial que estava sendo comprado por um envolvido no esquema não chegou a ser apreendido.
Grupo teria importado até US$ 500 milhões declarados
Nos últimos cinco anos, o grupo criminoso teria importado, de maneira fraudulenta, aproximadamente US$ 500 milhões em valores declarados de produtos para a multinacional americana e um volume mensal de 50 toneladas de mercadorias. Os produtos teriam na verdade um valor muito maior, que renderia R$ 1, 5 bilhão em impostos.
O grupo, descoberto após dois anos de investigação, é acusado de fraudes em importações, ocultação de patrimônio, descaminho, sonegação fiscal, falsidade ideológica, uso de documento falso, evasão de divisas e corrupção ativa e passiva.
O esquema fraudulento utilizava empresas off-shore sediadas em paraísos fiscais ( Panamá, Bahamas e Ilhas Virgens Britânicas), com a ajuda de um notório escritório de advocacia da região, especializado em comércio exterior e direito internacional.
Esquema utilizava laranjas
Com base em empresas com um quadro societário composto por pessoas de baixo poder aquisitivo, as importações eram solicitadas pelo cliente final à multinacional, com redução de tributos, quebra de cadeia de IPI e dos controles exercidos pela aduana brasileira, entre outros mecanismos ilegais.
O esquema tornava possível ocultar a participação do real importador, do solicitante e dos beneficiários. Eram realizadas, ainda, operações comerciais simuladas, lastreadas em notas fiscais falsas ou inexistentes, de subfaturamento das importações que levavam a situações de importações a custo zero e concessão de descontos que atingiam até 100% do valor das mercadorias.
- A indústria brasileira de informática sofre uma concorrência bastante acentuada em relação ao descaminho, ao contrabando. Dessa feita, desmantelamos um esquema de importação formal que causava imenso prejuízo à indústria brasileira e aos empregos no setor - disse o ministro da Justiça interino, Luiz Paulo Barreto.
Ver também: http://www1.folha.uol.com.br/folha/dinheiro/ult91u337219.shtml
Área afetada: TI – Tecnologia da Informação
Sub-Área: Redes de computadores
Impactos possíveis:
● Aumento do custo das licitações de equipamentos de rede futuras e em andamento;
● Aumento do tempo de licitações públicas, em virtude do maior cuidado dos controles internos;
● Interpelação dos órgãos públicos de controle, gestão e polícia.
Recomendações:
● Revisão das licitações e contratos na área;
● Contato informal com fornecedores para avaliação da situação;
● Aviso aos diretores da área de TI.
SONEGAÇÃO
Operação Persona: PF prende 40 por fraude em importações envolvendo a Cisco
Publicada em 17/10/2007 às 11h11m
Jailton de Carvalho e Henrique Gomes Batista - O Globo
Com Reuters
BRASÍLIA - A operação Persona, realizada conjuntamente por Polícia Federal, Receita Federal e Ministério Público Federal, prendeu, nesta terça-feira, 40 pessoas acusadas de participar de um esquema fraudulento de importação, criado por empresários brasileiros para beneficiar a multinacional americana Cisco Systems e sua subsidiária no país. A companhia é líder no segmento de serviços e equipamentos de alta tecnologia para redes corporativas, internet e telecomunicações.
Entre os presos, está o presidente da Cisco do Brasil, Pedro Ripper, e mais 39 funcionários públicos, empresários e funcionários de 30 empresas acusadas de envolvimento com o esquema de fraudes, em três estados do Brasil (São Paulo, Rio e Bahia) e nos Estados Unidos. A Receita Federal e a Polícia Federal, no entanto, não confirmam os nomes das empresas envolvidas, pois toda a operação corre em segredo de Justiça.
Empresas foram citadas na Operação Dilúvio.
As prisões aconteceram em São Paulo, Santos, Salvador, Campinas, Ilhéus e no Rio. Todos eles vão ser transferidos para São Paulo, sede da operação. Segundo os investigadores, os envolvidos subfaturavam o preço do hardware e superfaturavam o do software, cuja alíquota de imposto é menor. Com isso, mantinham o preço final, mas pagavam menos imposto.
Cisco diz cooperar com a investigação
Nesta quarta-feira, a Cisco emitiu comunicado no Brasil no qual confirma que as autoridades brasileiras visitaram e fecharam temporariamente os escritórios da Cisco em São Paulo e no Rio de Janeiro
. A companhia afirma que a ação foi consequência da investigação de um suposto esquema de sonegação de impostos que envolveria empresas brasileiras, entre as quais pelo menos uma delas é um revendedor da Cisco no Brasil.
A nota prossegue com a garantia de que a Cisco está cooperando com as autoridades e apurando o que aconteceu no país. Frisa que as vendas no Brasil representam apenas 1% dos negócios da companhia e que as operações são realizadas apenas por meio de parceiros diretos, pois não há estrutura de vendas diretas aqui.
Os papéis da Cisco fecharam, ontem, a US$ 32,29, o que significa uma queda de 1,52%. No mês, as ações acumulam uma perda de 2,54%, mas no ano registram valorização de 18,15%. A companhia negocia ações na Nasdaq, a bolsa eletrônica americana.
A Mude, distribuidora dos produtos da Cisco em São Paulo, seria outro alvo da operação Persona. Procurada pelo Valor, a empresa disse que seus executivos não falariam sobre o assunto.
Solicitada prisão de cinco brasileiros nos EUA
Além dos 44 pedidos de prisão no Brasil - 40 deles cumpridos - a Polícia Federal e a Receita Federal solicitaram às autoridades americanas a prisão de cinco brasileiros nos Estados Unidos acusados de envolvimento no esquema de fraude em importações de hardware e software. Dos 40 pedidos de prisão cumpridos, 27 foram em São Paulo, oito em Salvador, quatro em Campinas (SP), dois no Rio, dois em Ilhéus (BA) e um em Santos (SP). Entre os presos, além de Ripper, estão o presidente da Cisco para América do Sul, Carlos Alberto Carnevali, e pelo menos um diretor da multinacional. Também foram presos o presidente da Mude, Moacir Álvaro Sampaio, e mais 16 diretores e funcionários da importadora. Seis auditores fiscais - quatro da ativa e dois aposentados - estão entre os detidos na operação. Eles facilitariam o desembaraço de mercadorias, caso elas sofressem problemas ao chegar no Brasil.
Assessoria nega prisão de ex-presidente da Cisco
Ao contrário do que foi divulgado, a assessoria de imprensa do ex-presidente da Cisco Systems no Brasil, Rafael Steinhauser, negou que o executivo tenha sido preso na operação Persona.Steinhauser, que comandou a empresa até outubro do ano passado, estaria em Buenos Aires, numa viagem de negócios.
Segundo a assessoria, o executivo não teria poder estatutário sobre a empresa durante sua gestão. As decisões e assinaturas estariam concentradas no vice-presidente para a América Latina e Caribe, Carlos Carnevalli. Steinhauser tem 19 anos de experiência no setor de telecomunicações e já trabalhou para operadoras e fabricantes na Europa e América do Sul.
A PF e a Receita também pediram às autoridades americanas que investiguem a sede da multinacional americana e alguns de seus funcionários nos Estados Unidos, sobretudo executivos da sede da Cisco.
O coordenador-geral de pesquisas e investigação da Receita, Gerson Schaan, disse que este é o primeiro caso de investigação no Brasil que envolve a sede de uma grande empresa multinacional. Ele afirmou ainda que agora é preciso investigar se os clientes da empresa no Brasil sabiam da fraude. Segundo Schaan, a fraude reduzia pela metade o preço dos produtos.
Acreditamos que os produtos eram vendidos no Brasil a um preço 50% inferior ao que seria normal se os impostos fossem pagos - afirmou.
A delegada Érika Tatiana Nogueira, da PF, disse que a investigação teve início na denúncia de um ex-funcionário de uma das empresas envolvidas que se juntou a uma apuração em curso na Receita contra uma empresa de software de Ilhéus, pólo de desenvolvimento de software.
Na operação, foram apreendidos US$ 10 milhões em mercadorias, 18 veículos, US$ 290 mil e R$ 250 mil em espécie. Um jatinho comercial que estava sendo comprado por um envolvido no esquema não chegou a ser apreendido.
Grupo teria importado até US$ 500 milhões declarados
Nos últimos cinco anos, o grupo criminoso teria importado, de maneira fraudulenta, aproximadamente US$ 500 milhões em valores declarados de produtos para a multinacional americana e um volume mensal de 50 toneladas de mercadorias. Os produtos teriam na verdade um valor muito maior, que renderia R$ 1, 5 bilhão em impostos.
O grupo, descoberto após dois anos de investigação, é acusado de fraudes em importações, ocultação de patrimônio, descaminho, sonegação fiscal, falsidade ideológica, uso de documento falso, evasão de divisas e corrupção ativa e passiva.
O esquema fraudulento utilizava empresas off-shore sediadas em paraísos fiscais ( Panamá, Bahamas e Ilhas Virgens Britânicas), com a ajuda de um notório escritório de advocacia da região, especializado em comércio exterior e direito internacional.
Esquema utilizava laranjas
Com base em empresas com um quadro societário composto por pessoas de baixo poder aquisitivo, as importações eram solicitadas pelo cliente final à multinacional, com redução de tributos, quebra de cadeia de IPI e dos controles exercidos pela aduana brasileira, entre outros mecanismos ilegais.
O esquema tornava possível ocultar a participação do real importador, do solicitante e dos beneficiários. Eram realizadas, ainda, operações comerciais simuladas, lastreadas em notas fiscais falsas ou inexistentes, de subfaturamento das importações que levavam a situações de importações a custo zero e concessão de descontos que atingiam até 100% do valor das mercadorias.
- A indústria brasileira de informática sofre uma concorrência bastante acentuada em relação ao descaminho, ao contrabando. Dessa feita, desmantelamos um esquema de importação formal que causava imenso prejuízo à indústria brasileira e aos empregos no setor - disse o ministro da Justiça interino, Luiz Paulo Barreto.
sábado, 11 de agosto de 2007
Site de notícias da Real Protect
A Real Protect, empresa de segurança da informação sediada no Rio de Janeiro, tem um excelente site de notícias sobre segurança da informação. As notícias estão sempre atualizadas e a quantidade é impressionante. Clique aqui para ver as notícias.
sábado, 21 de julho de 2007
Cinco Dicas
Cinco dicas rápidas para a proteção de seu computador em casa, rodando Windows XP:
Mais dicas na RNP/CAIS.
- Nunca navegue como administrador. Crie contas limitadas para seus usuários em casa e faça com que eles naveguem sempre usando suas contas. Não se esqueça de criar uma pasta com acesso público para [adicionar] e [ler] arquivos. Essa pasta servirá para guardar os seus arquivos baixados da internet, para posterior instalação.
- Instale o Spyware Terminator .
- Instale o avast! 4 Home Edition FREE Download .
- Faça backup regular do diretório C:\Documents and Settings para uma área temporária e daí para CD ou DVD. Não esqueça que os arquivos NTUSER.DAT e NTUSER.DAT.LOG não devem ser copiados.
- Como administrador, desative alguns serviços de seu computador, usando [iniciar] [painel de controle] [ferramentas administrativas] [serviços]:
- Mensageiro - Desligar esse serviço impedirá que seus usuários recebam mensagens online perniciosas e tentem seguir instruções falsas
- Telnet - Você impedirá que robôs tentem atacar silenciosamente as portas tipo Unix, após a descoberta de senhas
Mais dicas na RNP/CAIS.
quinta-feira, 12 de julho de 2007
ICSA Labs
Testes, definições e novidades relacionadas com anti-spam, anti-spyware, antivirus, criptografia, certificação digital, módulos criptográficos, firewalls, detecção de intrusos, IPsec, prevenção de ataques, SSL, Wireless e outros.
Veja o site em: http://www.icsalabs.com/ .
Veja o site em: http://www.icsalabs.com/ .
sexta-feira, 29 de junho de 2007
Leitura inspiradora I
Plano Diretor do LNCC - 2006-2010.
http://www.mct.gov.br/upd_blob/0015/15142.pdf
http://www.mct.gov.br/upd_blob/0015/15142.pdf
SBSeg - VII Simpósio de Segurança da Informação e Sistemas Computacionais
27/08/2007 a 31/08/2007
SBSeg - VII Simpósio de Segurança da Informação e Sistemas Computacionais
O Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) é um evento anual, sem fins lucrativos promovido pela Sociedade Brasileira de Computação (SBC). O SBSeg tem por principal objetivo atuar como um espaço para a apresentação de pesquisas e atividades relevantes na área de segurança de sistemas de informação. O SBSeg propicia a integração da comunidade brasileira de pesquisadores e profissionais atuantes na área de segurança e permite o intercâmbio de informações com especialistas estrangeiros responsáveis por importantes avanços na consolidação da segurança de sistemas computacionais.
Veja o site.
SBSeg - VII Simpósio de Segurança da Informação e Sistemas Computacionais
O Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSeg) é um evento anual, sem fins lucrativos promovido pela Sociedade Brasileira de Computação (SBC). O SBSeg tem por principal objetivo atuar como um espaço para a apresentação de pesquisas e atividades relevantes na área de segurança de sistemas de informação. O SBSeg propicia a integração da comunidade brasileira de pesquisadores e profissionais atuantes na área de segurança e permite o intercâmbio de informações com especialistas estrangeiros responsáveis por importantes avanços na consolidação da segurança de sistemas computacionais.
Veja o site.
sábado, 16 de junho de 2007
sexta-feira, 15 de junho de 2007
Afinal, o que é e para que serve um Security Office ?
O Security Office é uma unidade organizacional com as seguintes responsabilidades:
- Colaborar com a alta gerência para a criação e manutenção da política de segurança da informação, do plano diretor de segurança e do plano de continuidade de negócios;
- classificar as informações definindo, primeiramente, o que pode ser divulgado e o que não pode. Posteriormente, definir níveis de acesso à informação;
- coordenar a criação e organização do conselho de segurança da informação, promovendo ainda reuniões periódicas;
- garantir que as normas de segurança da informação estejam sendo cumpridas;
- avaliar riscos, ameaças e planejar reações;
- planejar e sugerir investimentos em segurança da informação;
- criar a cultura de segurança da informação;
- dar suporte em segurança da informação às diversas áreas da instituição.
segunda-feira, 7 de maio de 2007
Os 15 erros mais freqüentes na segurança de Internet, segundo a ClearSwift.
01. Ausência de uma política escrita de segurança.
02. Falha na aplicação da política de segurança.
03. Aplicação de uma política padronizada para todos, desprezando as particularidades de cada grupo.
04. Tornar a área de TI a única responsável pela política de segurança.
05. Ausência de monitoramento regular da atividade de Internet.
06. Falha no combate ao código malicioso no gateway.
07. Falha na defesa contra ataques não documentados.
08. Falha no bloqueio de spywares chamando suas bases originais.
09. Permitir que empregados baixem shareware e executáveis.
10. Falha no bloqueio a sites que trazem riscos.
11. Confiança no bloqueio de URLs apenas.
12. Filtragem apenas do tráfego de entrada.
13. Falha no bloqueio de arquivos compactados.
14. Confiança no tipo informado de arquivo.
15. Sobrecarga dos admninistradores.
Veja em : http://www.clearswift.com
02. Falha na aplicação da política de segurança.
03. Aplicação de uma política padronizada para todos, desprezando as particularidades de cada grupo.
04. Tornar a área de TI a única responsável pela política de segurança.
05. Ausência de monitoramento regular da atividade de Internet.
06. Falha no combate ao código malicioso no gateway.
07. Falha na defesa contra ataques não documentados.
08. Falha no bloqueio de spywares chamando suas bases originais.
09. Permitir que empregados baixem shareware e executáveis.
10. Falha no bloqueio a sites que trazem riscos.
11. Confiança no bloqueio de URLs apenas.
12. Filtragem apenas do tráfego de entrada.
13. Falha no bloqueio de arquivos compactados.
14. Confiança no tipo informado de arquivo.
15. Sobrecarga dos admninistradores.
Veja em : http://www.clearswift.com
terça-feira, 1 de maio de 2007
Skype.com e sua visão de mercado...
Hoje eu "tropecei" num texto de Riina Einberg, do Skype, falando de usuários, associados, visão de mercado e métodos para realizar coisas. Se pararmos prá pensar que o Skype é gratuito, que sua instalação leva automaticamente à instalação da barra de ferramenta do Google e que esta barra "luta" para ser a principal do Internet Explorer, dá prá aprender muito com a leitura. Vejam em http://jobs.skype.com/2007/04/softer_side_of_skype_2007.html .
quinta-feira, 19 de abril de 2007
Política de acesso a recursos de TI
Quando eu ainda cursava tecnologia de redes, meu bom professor Gisler ministrava a disciplina de administração de sistemas.
O pulo do gato na elaboração de uma política de uso de recursos, dizia ele, era identificar os usuários, identificar os recursos, separar os usuários em grupos e decidir quem teria que tipo de acesso aos recursos (identificar acessos). Uma vez feita a matriz, era só administrá-la.
Lembro-me de que fiquei fascinado com essas palavras, proferidas às 22:20 ao fundo sonoro de tiros esparsos e contumazes no Rio Comprido (rs rs...). Sim, era óbvio, mas não era tão simples, segundo ele demonstrou.
Identificar usuários implica em saber quem são as pessoas, onde estão. Não é tão fácil, se você considerar que as pessoas se movem tanto fisicamente quanto temporal e administrativamente.
Um técnico judiciário pode tornar-se um juiz através de concurso. O que você fará ? Criará uma sigla e senha nova de rede para ele ? Apagará seus registros antigos ? Seus logs de rede ficariam inconsistentes ! Criará uma nova sigla e senha ? Como a sigla antiga ficará relacionada com a pessoa atual ? São decisões interessantes e variam segundo a instituição. De qualquer modo, a atividade de definir usuários depende de ferramentas de diretório (Open LDAP, AD, Oracle OID) e a dica é: cada identidade deve ser única. Você ainda terá que decidir se os acessos serão validados por senha, biometria, certificação digital etc. Melhor pensar nisso logo...
Identificar recursos tem a ver com sistemas de inventário e listas de controle de acesso (ACLs). Os recursos podem ser hardware (micros, impressoras...), software (licenças de Office...), serviços (acesso a correio eletrônico, logon de rede...), documentos em geral. É uma boa idéia a sua instituição ter um plano de classificação de documentos. Melhor ainda se tiver um plano de classificação de informações.
As políticas externas também influem aqui. Nos Estados Unidos, o HIPAA determina regras para o manuseio e guarda de informações de saúde, bem como políticas e comunicação. Isso quer dizer, por exemplo, que os e-mails devem ser guardados em servidores (e não nos desktops) e devem sofrer backup. Além disso, os usuários não podem removê-los, apenas podem acrescentar mensagens.
Identificar acessos é a parte mais desafiadora. Quem pode fazer o que com quais recursos ? O usuário “A” pode escrever em qualquer impressora, mesmo naquelas às quais ele não tem acesso físico ? Isso quer dizer que qualquer um pode mandar dados para a impressora do diretor ? Isso implica que código pernicioso pode ser guardado ali também, afinal, é uma máquina com 2GB de memória...
E os grupos, estão bem definidos ? Alguns sistemas operacionais aceitam sempre o acesso mais restritivo (e.g. Windows 2003), enquanto outros o menos restritivo (como os velhos Windows NT ainda em uso por aí). O Unix, por exemplo, permite uma gama de ACLs (access control lists).
De qualquer modo, você terá que fazer a sua matriz, com ou sem ajuda de ferramentas. Liste os recursos, os usuários, defina as políticas de acesso físico e lógico e defina os grupos. Você terá de analisar riscos também ! Não se esqueça de que, nas aplicações corporativas, cada módulo deve ter uma política de acesso para cada função. É algo semelhante a definir, na moderna visão da UML, quem pode ter que acesso a quais atributos, métodos ou classes.
Saudades do coronel Gisler. Vida longa, saúde e prosperidade !
O pulo do gato na elaboração de uma política de uso de recursos, dizia ele, era identificar os usuários, identificar os recursos, separar os usuários em grupos e decidir quem teria que tipo de acesso aos recursos (identificar acessos). Uma vez feita a matriz, era só administrá-la.
Lembro-me de que fiquei fascinado com essas palavras, proferidas às 22:20 ao fundo sonoro de tiros esparsos e contumazes no Rio Comprido (rs rs...). Sim, era óbvio, mas não era tão simples, segundo ele demonstrou.
Identificar usuários implica em saber quem são as pessoas, onde estão. Não é tão fácil, se você considerar que as pessoas se movem tanto fisicamente quanto temporal e administrativamente.
Um técnico judiciário pode tornar-se um juiz através de concurso. O que você fará ? Criará uma sigla e senha nova de rede para ele ? Apagará seus registros antigos ? Seus logs de rede ficariam inconsistentes ! Criará uma nova sigla e senha ? Como a sigla antiga ficará relacionada com a pessoa atual ? São decisões interessantes e variam segundo a instituição. De qualquer modo, a atividade de definir usuários depende de ferramentas de diretório (Open LDAP, AD, Oracle OID) e a dica é: cada identidade deve ser única. Você ainda terá que decidir se os acessos serão validados por senha, biometria, certificação digital etc. Melhor pensar nisso logo...
Identificar recursos tem a ver com sistemas de inventário e listas de controle de acesso (ACLs). Os recursos podem ser hardware (micros, impressoras...), software (licenças de Office...), serviços (acesso a correio eletrônico, logon de rede...), documentos em geral. É uma boa idéia a sua instituição ter um plano de classificação de documentos. Melhor ainda se tiver um plano de classificação de informações.
As políticas externas também influem aqui. Nos Estados Unidos, o HIPAA determina regras para o manuseio e guarda de informações de saúde, bem como políticas e comunicação. Isso quer dizer, por exemplo, que os e-mails devem ser guardados em servidores (e não nos desktops) e devem sofrer backup. Além disso, os usuários não podem removê-los, apenas podem acrescentar mensagens.
Identificar acessos é a parte mais desafiadora. Quem pode fazer o que com quais recursos ? O usuário “A” pode escrever em qualquer impressora, mesmo naquelas às quais ele não tem acesso físico ? Isso quer dizer que qualquer um pode mandar dados para a impressora do diretor ? Isso implica que código pernicioso pode ser guardado ali também, afinal, é uma máquina com 2GB de memória...
E os grupos, estão bem definidos ? Alguns sistemas operacionais aceitam sempre o acesso mais restritivo (e.g. Windows 2003), enquanto outros o menos restritivo (como os velhos Windows NT ainda em uso por aí). O Unix, por exemplo, permite uma gama de ACLs (access control lists).
De qualquer modo, você terá que fazer a sua matriz, com ou sem ajuda de ferramentas. Liste os recursos, os usuários, defina as políticas de acesso físico e lógico e defina os grupos. Você terá de analisar riscos também ! Não se esqueça de que, nas aplicações corporativas, cada módulo deve ter uma política de acesso para cada função. É algo semelhante a definir, na moderna visão da UML, quem pode ter que acesso a quais atributos, métodos ou classes.
Saudades do coronel Gisler. Vida longa, saúde e prosperidade !
quinta-feira, 15 de fevereiro de 2007
Versão 3 do ITIL e certificação
Atenção pessoal,
1. ITIL está passando por uma reformulação e, apesar de estar valendo ainda a versão 2, há propostas firmes para a versão 3.
Vejam em: http://itil.technorealism.org/index.php?page=ITIL_v3
2. Já existe lá fora certificação ITIL.
Vejam em: http://en.wikipedia.org/wiki/ITIL#Certification
1. ITIL está passando por uma reformulação e, apesar de estar valendo ainda a versão 2, há propostas firmes para a versão 3.
Vejam em: http://itil.technorealism.org/index.php?page=ITIL_v3
2. Já existe lá fora certificação ITIL.
Vejam em: http://en.wikipedia.org/wiki/ITIL#Certification
sábado, 10 de fevereiro de 2007
Algumas referências de migração para Software Livre.
Plano de migração para software livre no Exército Brasileiro:
http://www.ime.eb.br/index.php?option=com_docman&task=doc_download&gid=4&Itemid
Grupo de Trabalho Migração Para Software Livre:
http://guialivre.governoeletronico.gov.br/gtmsl/
http://www.ime.eb.br/index.php?option=com_docman&task=doc_download&gid=4&Itemid
Grupo de Trabalho Migração Para Software Livre:
http://guialivre.governoeletronico.gov.br/gtmsl/
Referências nacionais para a ISO/IEC 17799:2005
A norma BS 7799 tem tradução. Não deixe de ler a referência e errata (a norma não é gratuita !).
https://www.abntnet.com.br/ecommerce/ssl/norma.aspx?Norma=21529
http://www.abntnet.com.br/fidetail.aspx?FonteID=25338
https://www.abntnet.com.br/ecommerce/ssl/norma.aspx?Norma=21529
http://www.abntnet.com.br/fidetail.aspx?FonteID=25338
quarta-feira, 7 de fevereiro de 2007
O serviço de diretório é realmente necessário ?
Um serviço de diretório é essencial para a área de TI daquelas instituições que planejam estabelecer ou reforçar uma política de segurança da informação. O serviço de diretório (pode ser AD, OpenLDAP etc) responde, entre outras, às perguntas:
Implantar um sistema LDAP pode ser também o primeiro passo para a criação de um sistema de controle de ativos e controle de configurações compatível com ITIL e outras formas de gerência.
A certificação digital é outra característica que necessita de um serviço de diretórios para ser implantada corretamente. As chaves públicas dos usuários ficam guardadas no sistema.
Geralmente, os programas de helpdesk importam ou usam diretamente os dados do serviço LDAP.
Além disso, a estrutura hierárquica da instituição fica clara, tanto para a área de TI quanto para os demais usuários. Com os serviços de diretórios, os programas de correio eletrônico ficam facilmente configuráveis. As listas de contatos estão sempre disponíveis num servidor. As pessoas não precisam sair à cata de informações sobre endereços internos. Os dados dos usuários podem ser replicados em servidores secundário, para aumento da segurança.
Tentar aplicar os conceitos ITIL na empresa sem instalar um sistema de diretórios confiável, é o mesmo que tentar dar uma festa sem uma lista de convidados.
O CIO (Chief Information Officer) da instituição desejará criar os serviços de diretório logo depois do estabelecimento da estrutura de rede e dos servidores de DNS, DHCP e controladores de domínio.
Para pesquisar mais sobre serviços de diretório, tente os links abaixo:
- Quem (é o que / administra o que / manda em quem / tem acesso a) ?
- Onde está a pessoa ou recurso ?
- Como é o recurso, que características tem ?
Implantar um sistema LDAP pode ser também o primeiro passo para a criação de um sistema de controle de ativos e controle de configurações compatível com ITIL e outras formas de gerência.
A certificação digital é outra característica que necessita de um serviço de diretórios para ser implantada corretamente. As chaves públicas dos usuários ficam guardadas no sistema.
Geralmente, os programas de helpdesk importam ou usam diretamente os dados do serviço LDAP.
Além disso, a estrutura hierárquica da instituição fica clara, tanto para a área de TI quanto para os demais usuários. Com os serviços de diretórios, os programas de correio eletrônico ficam facilmente configuráveis. As listas de contatos estão sempre disponíveis num servidor. As pessoas não precisam sair à cata de informações sobre endereços internos. Os dados dos usuários podem ser replicados em servidores secundário, para aumento da segurança.
Tentar aplicar os conceitos ITIL na empresa sem instalar um sistema de diretórios confiável, é o mesmo que tentar dar uma festa sem uma lista de convidados.
O CIO (Chief Information Officer) da instituição desejará criar os serviços de diretório logo depois do estabelecimento da estrutura de rede e dos servidores de DNS, DHCP e controladores de domínio.
Para pesquisar mais sobre serviços de diretório, tente os links abaixo:
- Open LDAP-Brasil - http://www.ldap.org.br/
- Active Directory LDAP Compliance - http://www.microsoft.com/windowsserver2003/techinfo/overview/ldapcomp.mspx
- Na Wikipedia - http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
- Na PUC-RJ - http://gtdir.inf.puc-rio.br/ldap.htm
domingo, 4 de fevereiro de 2007
Afinal, o que é segurança ?
Ao falarmos de segurança, podemos querer dizer:
- Segurança institucional - da imagem da instituição;
- Segurança patrimonial - das coisas que pertencem à instituição;
- Segurança pessoal - obviamente das pessoas relacionadas à instituição;
- Segurança da informação - quem deve ter acesso e qual tipo de acesso à informação da instituição.
- Segurança ambiental - como a atividade influi no ambiente e como o ambiente influi na atividade. Quais são os limites aceitáveis dessas influências e como adaptar-se a elas.
Assinar:
Postagens (Atom)