Firewalls nunca ou raramente são auditados

Aviso: se você é um Chief Security Officer (CSO)  e quer dormir bem esta noite, pare de ler agora. As estatísticas a seguir podem causar pesadelos. Isso porque, a Tufin Technologies, fornecedora de soluções de segurança, aponta em pesquisa que três quartos dos profissionais envolvidos na gestão de firewall e em auditoria acreditam que seus processos de gerenciamento de segurança podem colocar a companhia em risco.

A empresa entrevistou cem profissionais de segurança de rede e concluiu que os dados são preocupantes, já que os firewalls são a primeira linha de defesa na maioria das redes corporativas. Esse cenário leva a uma pergunta. Que processos esses executivos seguem para confiarem tão pouco no que fazem?

Cerca de 40% dos gerentes de firewall usam ferramenta automatizadas para gerenciar as mudanças de configuração. Fazer esse trabalho manualmente pode ser demorado e propenso a erros. Um terço dos entrevistados diz lidar com 50 ou mais alterações no firewall por semana, e metade dos entrevistados diz que levam uma hora ou mais, às vezes até um dia inteiro, para projetar cada mudança nesse sistema.

O estudo identificou ainda que 80% dos gestores dizem que precisam usar mais de um console de gerenciamento para executar suas tarefas. Pode-se facilmente imaginar como um gerente de segurança que supervisiona um par de firewalls gasta todo seu tempo realizando mudanças, e a falta de tempo pode levar a erros ou descuidos, aponta o levantamento.

Tempo, ou melhor a falta dele, é uma questão real. Quando perguntados qual é o elo fraco da segurança da rede quase 60% dos profissionais ouvidos citam a falta de tempo. Múltiplas respostas foram permitidas nessa pergunta e outro desafio citado por 55% dos gestores de segurança foi processos

Redes sociais: proibir ou orientar o uso corporativo correto?

As redes sociais têm tirado o sono das empresas. A Panda Security divulgou em março o 1º Índice Anual de Risco em Redes Sociais de PMEs e identificou que 78% das companhias pesquisadas utilizam ferramentas como Facebook, Twitter e LinkedIn para apoiar a estratégia dos negócios.

No entanto, observou-se que muitas ignoram a necessidade de um plano específico de gestão de crises [provocadas pelas redes sociais], que abrigam três grandes focos de riscos: segurança, privacidade e legitimidade.

Os resultados do levantamento mostram que o Facebook é o maior responsável pelas infecções de malware (71,6%) e violações de privacidade, com 73,2%. O YouTube ocupa a segunda colocação, respondendo por 41,2% e o Twitter, na sequência (51%).

Nas companhias que relataram perda econômica por causa de violações de privacidade por parte dos funcionários, o Facebook foi novamente o  , apontado por 62%.

Os principais riscos das mídias sociais, indica o estudo, incluem roubo de identidade, infecção e vulnerabilidade da própria ferramenta. Uma das ações que podem evitar que esses problemas afetem a companhia é seguir práticas recomendadas de gestão de senhas com alteração regular e combinação de caracteres alfanuméricos.

URLs encurtadas, serviços oferecidos por sites como migre.me e bit.ly e amplamente usados nas mídias, também são prato cheio para inserção de vírus e outros tipos de infecções. A Panda identificou ainda que 77% dos colaboradores utilizam redes sociais durante o horário comercial. Situação que pode gerar o compartilhamento de informações confidenciais.

Esse foi um ponto levantado também por Vendramini, da Symantec. "Um funcionário diz para um amigo no Twitter que está trabalhando até mais tarde, pois haverá o lançamento de um produto na próxima semana. Sem se dar conta, ele acaba de revelar uma informação confidencial", diz.

Como fazer para evitar esse tipo de situação? Conscientização. Ou, então,

Quatro dicas para reforçar a segurança da rede corporativa

Cresce o número de ataques distribuídos por negação de serviços (DDoS – Distributed Denial-of-Service) e as empresas devem ficar atentas para evitar que seus serviços fiquem fora do ar. Segundo os especialistas em segurança da informação, medidas básicas ajudam a manter a rede corporativa protegida.

A McAfee lista passos simples que auxiliam clientes corporativos a serem mais proativos na prevenção contra ataques DDoS em suas redes.

Esses ataques costumam adotar uma combinação de técnicas bem conhecidas, tais como SYN e ICMP flooding, ao uso de ferramentas como LOIC e SlowLoris e algumas variantes de ponta.

A solução adequada para agir contra esses ataques, segundo recomendação da

Novo golpe no Facebook sequestra contas de usuários

Segundo empresa de segurança, criminosos oferecem falsas extensões do navegador de Internet para capturar senhas.

Os criminosos estão de olho no Facebook. Prova disso é uma nova estratégia de ataque apontada pela empresa de segurança online Websense. Segundo a companhia, os piratas da Internet estão utilizando falsas extensões de navegador para capturar senhas e tomar posse de contas da popular rede social.

Para isso, os invasores iludem suas vítimas com a falsa promessa de que é necessário instalar complementos para que seja possível visualizar certos tipos de arquivos ou mesmo receber cupons de desconto.

Esses add-ons, que são anunciados como complementos em formato DivX,

Número de malwares para Android cresce 472% em seis meses

Maior parte das pragas invade o smartphone a partir de aplicativos maliciosos, disponíveis na loja oficial da plataforma, o Android Market.

Pesquisa do instituto Juniper Networks constatou que o número de malwares desenvolvidos para o Android aumentou 472% desde o meio do ano. O principal alvo é justamente a loja de aplicativos da plataforma, o Android Market, que tem lidado com pragas cada vez mais sofisticadas.

Outubro e Novembro foram os piores meses para a plataforma desde seu lançamento, em 2008. A quantidade de vírus encontrados cresceu 110% e 111%, respectivamente, em relação aos meses anteriores. A Juniper já havia observado a tendência em julho deste ano, quando verificou alta de 400%

Ataque de crackers danifica estação de tratamento de água nos EUA

Criminosos da Internet invadiram sistemas e acionaram bombas de drenagem até quebrar o equipamento.

Os ataques de crackers (os hackers que usam seus conhecimento para mal) estão ficando cada vez mais perigosos. Uma estação de tratamento de água em Illinois, nos Estados Unidos, foi danificada pela ação de criminosos da Internet, que invadiram o sistema e fizeram com que uma das bombas de drenagem da estação fosse ligada e desligada até apresentar problemas. O FBI investiga o caso.

Até o momento, a avaliação do ataque indica que ele pode ter partido de criminosos na Rússia, mas vale lembrar que os crackers costumam utilizar computadores espalhados pelo mundo

Ataque em massa injeta código malicioso em mais de 1 milhão de páginas

Ataque usa falha de configuração em servidores e bancos de dados para inserir códigos SQL que tentam baixar vírus na máquina dos usuários.

Um ataque em massa de injeção de código maliciosojá infectou mais de 1 milhão de páginas escritas na linguagem ASP.NET, afirma a empresa de segurança Armorize. De acordo com especialistas em segurança de banco de dados, a técnica de injeção SQL usada neste ataque explora uma configuração incorreta de servidores site e bancos de dados.

"Isso é muito semelhante ao ataque LizaMoon", diz Wayne Huang, CEO da Armorize, que, com sua equipe, primeiro descobriu um script (código) injetado em sites ASP.NET. Esse código gera um iFrame (janela oculta) que tenta baixar um malware automaticamente na máquina do internauta, sem que ele perceba.

Os relatórios iniciais da Armorize mostraram que 180 mil páginas haviam sido atingidas pelo ataque, mas Huang disse ao site especializado Dark Reading que uma pesquisa posterior no Google resultou em mais de 1 milhão de páginas contaminadas.

"Este novo ataque é decepcionante porque o LizaMoon atacou

10 Dicas para utilizar o Facebook com Segurança

O Facebook já figura entre as redes sociais mais populares do Brasil e acessá-lo diariamente é como um vício para muitos brasileiros. Assim como em qualquer rede social, é preciso ter cuidado com as informações divulgadas, afinal pessoas mal intencionadas podem estar de olho no seu perfil.
Para evitar problemas com o Facebook, confira algumas dicas de segurança sugeridas por Alexandre Hashimoto, doutor em eletrônica pela USP e coordenador do Curso de Sistemas de Informação das Faculdades Integradas Rio Branco.

1 – Não publique fotos pessoais intimas pois estas vão permanecer na rede por um bom tempo e poderão ser utilizadas para fins indevidos (pedofilia, pornografia e sites adultos), usando partes da fotos.

2 – Evite deixar dados pessoais como telefone e endereço residencial ou de escola (inglês, teatro ou academia assim como o horário que estuda ou trabalha).

3 – Configure ou peça a alguém para ajudar a você configurar as

Vírus mais perigoso do mundo está ficando ainda mais sofisticado

De acordo com analistas de empresa de segurança, o TDL4 está sendo reescrito para ficar praticamente invisível aos programas antivírus.

Especialistas de segurança da empresa ESET disseram que o TDL4, um dos malwares mais sofisticados do mundo, está sendo reescrito e melhorado para ter mais resistência contra programas antivírus.

"Os pesquisadores têm seguido a botnet (rede de micros zumbis) TDL4 há tempos e, agora, temos notado uma nova fase na sua evolução", disse David Harley, diretor da empresa de inteligência de malware.

"Com base na análise de seus componentes, podemos dizer que alguns foram reescritos do zero", observou.

Harley e seus colegas acreditam que isso sugere uma mudança importante dentro da equipe de desenvolvimento do TDL4, ou a transição de seu modelo de negócios para um kit de software malicioso que pode ser licenciado para outros cibercriminosos.

O TDL, também conhecido como TDSS, é uma família de rootkits caracterizada por técnicas de evasão complexas e inovadoras. Em julho, analistas de malware da Kaspersky Lab

Guia de Segurança para Redes Sociais.

Nos últimos anos, as redes sociais têm aumentado sua popularidade e são uma das principais razões para o uso da Internet - especialmente entre os jovens. No entanto, os usuários são expostos a uma série de ameaças cibernéticas que podem prejudicar os seus dados, seu dinheiro ou até mesmo a integridade do próprio usuário. Com o objetivo de informar e conscientizar sobre como utilizar de modo seguro estas plataformas.

"Segundo o último estudo da InSite Consulting, a América Latina é a região com o maior percentual de uso de redes sociais no mundo, atingindo 95%. Com a crescente tendência dos ciber hackers de usarem as redes sociais como um meio para as suas ações maliciosas, torna-se vital para o usuário estar protegido e contar com um ambiente seguro ao utilizar as redes sociais" Entre os principais riscos aos quais os usuários estão expostos no uso de redes sociais podem ser mencionados o malware, o phishing, o roubo de informações, e o assédio de menores de idade.

Além disso, abaixo estão as 10 principais recomendações oferecidas por especialistas para evitar tornar-se uma vítima de ataques cibernéticos:

1 – Não entrar em links suspeitos: evite clicar em hiperlinks ou links a partir

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 5 de 5

5. Complacência com os fornecedores de segurança de TI

É necessário ter sólidas parcerias com os fornecedores de TI e de segurança. Mas o perigo em qualquer relação com fornecedores é esquecer como olhar para produtos e serviços com um olhar crítico, especialmente para confrontar o que eles têm em relação à concorrência ou encontrar novas abordagens para problemas básicos de autenticação e de autorização, avaliação de vulnerabilidades e proteção contra malware. Muitos fabricantes estão tentando adaptar controles de segurança tradicionais para estruturas geradas a partir da virtualização e da computação em nuvem. E isso tem se transformado em um verdadeiro caos, que demonstra claramente o quanto a área de segurança vai ter de se esforçar para conseguir o que acredita que a organização precisa agora ou no futuro.

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 4 de 5

4. Não se preparar para uma violação de dados
É o cenário de pesadelo em que dados sensíveis são roubados ou acidentalmente divulgados. Além da detecção e correção técnica, a lei precisa ser aplicada às violações de dados. Mas que leis? Quase todos os países têm agora as suas próprias legislações sobre a violação de dados e algumas regras com impacto em algumas indústrias mais que em outras, como é o caso da área de saúde. Quando isso acontece, uma violação de dados vai ser um evento – e caro – que exige uma ação coordenada pelo gestor de segurança de TI, envolvendo o departamento de TI, o departamento jurídico, os recursos humanos e o departamento de comunicação, se não mais. As organizações devem-se reunir para planejar os piores cenários, realizando internamente exercícios de violação de dados e formas de combatê-las e mitigá-las.

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 3 de 5

3. Não entender que a virtualização tem puxado o tapete do mundo da segurança

As organizações estão no caminho para alcançar 80% de virtualização da sua infraestrutura de servidores, e os projetos de virtualização de desktops estão aumentando. Mas a segurança está atrasada, com muitos profissionais assumindo erradamente que ela começa e termina com as VLANs. A realidade é que arquiteturas de virtualização mudam tudo a partir da abertura de novos caminhos que podem ser explorados. Como já aconteceu tantas vezes na indústria de TI, tecnologias revolucionárias passaram a ser usadas sem atenção adequada ao impacto da segurança.

Alguns produtos de segurança tradicionais, como software de antivírus, por exemplo, não funcionam muitas vezes bem em máquinas virtuais. Dispositivos físicos podem ter novos “pontos cegos”. Hoje, produtos de segurança especializados para ambientes virtualizados e

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 2 de 5

2. Não construir relações de trabalho entre as equipes de TI e os gestores de nível superior

Grupos de segurança de TI são geralmente pequenos em relação ao resto do departamento. Normalmente os profissionais de segurança precisam do apoio do restante do pessoal de TI para realizar funções básicas.

O profissional de segurança pode ter conhecimento especializado e um bolso cheio de certificações como CISSP, mas isso não significa que seja necessariamente admirado por causa disso – especialmente porque as pessoas da segurança são normalmente as que mais dizem “não” aos projetos de outras pessoas.

Além disso, não pense que a estrutura de poder está sempre apontando para o diretor de informática (CIO) como um decisor de nível superior. Uma mudança fundamental está ocorrendo: o papel tradicional do CIO como comandante dos projetos de TI está em

Série - Cinco Erros Comuns a Evitar na Segurança de TI - 1 de 5

Fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing é um grande desafio.

A segurança pode ser uma tarefa ingrata, porque só se percebe quando não é feita. E para fazer este trabalho bem feito na era da virtualização, smartphones e cloud computing, é preciso evitar erros técnicos e políticos. Em particular, cinco muito comuns:

1. Pensar que o seu papel na organização não mudou nos últimos cinco anos

O seu poder e influência estão sendo atacados enquanto a organização para a qual trabalha escancara as portas para permitir que os funcionários usem dispositivos móveis pessoais no trabalho, e empurra os recursos de computação tradicional e aplicações para a nuvem – às vezes sem o seu conhecimento.

Cada vez mais é preciso ser pró-ativo na introdução de práticas de segurança razoáveis para escolhas “fast-moving” de tecnologia que às vezes são feitas por quem está totalmente fora do departamento de TI. É uma “missão impossível” de atribuição, mas é a sua. Pode envolver o desenvolvimento de uma nova política de segurança para explicitar claramente os fatores de risco e para que não haja espaço para falsas premissas.

Software malicioso agora imita como usuários normais navegam em sites de instituições financeiras; método antigo era mais fácil de detectar

Os bancos estão enfrentando mais problemas com o SpyEye, um software malicioso que rouba dinheiros das contas online das pessoas, de acordo uma nova pesquisa da empresa de segurança Trusteer.

O SpyEye é um malware particularmente ruim: ele pode armazenar credenciais de contas online e também iniciar transações como se fosse uma pessoa logada em sua conta, o que literalmente torna possível ver seu saldo bancário zerar em um segundo.

Em versões mais recentes, o SpyEye foi modificado com um novo código desenvolvido para livrar-se de sistemas avançados que os bancos instalam para tentar bloquear transações fraudulentas, disse o CEO da Trusteer, Mickey Boodai.

Os bancos agora estão analisando como uma pessoa usa seu site, buscando por parâmetros como quantas páginas a pessoa olha no site, o tempo gasto na página e quanto a pessoa demora para realizar uma transação. Outros indicadores incluem endereço de IP, como no caso de uma pessoa que normalmente faz login em Miami e que, de repente, acessa o site a partir da Rússia.

Rapidez suspeita
O SpyEye trabalha rápido e pode automaticamente iniciar uma transação de modo muito mais rápido do que uma pessoa faria manualmente no site. Esse é um indicador-chave para os bancos bloquearem uma transação. Por isso, os criadores do SpyEye agora estão tentando imitar – ainda que de uma maneira automatizada – como uma pessoa real iria navegar em um site.

“Eles costumavam prestar menos atenção na maneira como executam transações no site do banco e agora eles estão realmente tentando mostrar padrões de um usuário normal”, disse Boodai.

O executivo ainda disse não saber o quão bem-sucedido é o novo código de fuga do SpyEye, apesar de a Trusteer coletar inteligência dos bancos que distribuíram sua ferramenta de segurança para browser, Rapport, para seus clientes.

A Trusteer também percebeu que, nos últimos meses, o SpyEye expandiu o número de instituições financeiras que pode mirar em um número crescente de países.

Os novos países-alvo incluem Rússia, Arábia Saudita, Venezuela, Belarus, Ucrânia, Estônia, Finlândia, Japão, Hong Kong e Peru. Isso significa que mais grupos criminosos ao redor do mundo estão comprando o toolkit do SpyEye, explica Boodai.

As instituições financeiras continuam a aumentar a segurança para proteger transações online, disse a analista da Gartner, Avivah Litan, que regularmente presta consultorias a banco sobre questões de segurança.

Até mesmo para ela, as instituições financeiras são reservadas sobre revelar a intensidades dos ataques que sofreram, mas “todos se referem ao Zeus ou ao SpyEye”, afirma Litan.

Sob fiança
A polícia alcançou sucesso limitado contra esses malwares. Em abril, um lituano de 26 anos e um letão de 45 anos foram indiciados por conspiração para causar modificações não autorizadas em computadores, conspiração para fraude e ocultas procedimentos criminosos por supostamente ter usado o SpyEye.

Um terceiro suspeito de 26 anos e cuja nacionalidade não foi revelada, foi solto sob fiança após interrogatório.

O SpyEye é na verdade uma botnet com uma rede de servidores command-and-control (C&C) hospedados ao redor do mundo. Até a terça-feira (26/7), 46 servidores desse tipo estavam online, de acordo com o SpyEye Tracker, um site dedicado a reunir estatísticas sobre o software malicioso.

É um número alto. Em maio, por exemplo, havia apenas 20

Especialistas em segurança afirmam ter desvendado protocolos de aplicativos que permitem destrancar e até ligar automóveis à distância.

Softwares que deixam os motoristas destrancar as portas de seus carros e até mesmo ligar os veículos usando um celular podem permitir que criminosos façam essas mesmas coisas, disseram especialistas na conferência iSec Partners.

Os pesquisadores Don Bailey e Mathew Solnik dizem ter desvendado os protocolos que alguns desses fabricantes de software usam para controlar remotamente os carros, e produziram um vídeo mostrando como podem destrancar e ligar um carro usando um notebook. De acordo com Bailey, eles demoraram cerca de duas horas para descobrir como interceptar mensagens wireless entre o carro e a rede e então recriá-las a partir do computador.

Bailey vai discutir sua pesquisa na próxima semana durante a conferência hacker Black Hat, em Las Vegas, mas não irá nomear os produtos que conseguiu hackear – eles analisaram dois até o momento – ou fornecer detalhes técnicos completos de seu trabalho até que os fabricantes possam solucionar os problemas.

Provavelmente o mais conhecido produto desse tipo é o app OnStar

Sete dicas para lidar com funcionários brilhantes

Todo executivo quer uma equipe inteligente. Em TI, a boa (e má) notícia é que você provavelmente terá esta equipe e precisará saber gerenciá-la.

Uma premissa básica da gerência em relação aos funcionários é: quanto mais inteligentes eles são, maior a dificuldade de gerenciá-los.

Funcionários com alto grau de inteligência do lado esquerdo do cérebro, fato comum entre os profissionais de TI, às vezes são exigentes e avessos a opiniões alheias. Ficam entediados com facilidade e empenham em ser “corretos”, de acordo com quem os gerencia.

Pessoas extremamente inteligentes, extremamente técnicas, habitam uma subcultura onde conhecimento significa status social e poder. E correção é fundamental. Isso pode gerar descontentamento quando discordâncias inevitáveis ocorrem, principalmente entre o funcionário e o chefe.

Talvez você sonhe em supervisionar uma equipe brilhante, mas tome cuidado com o que você deseja – ou, pelo menos, aprenda a melhor maneira de gerenciar pessoas ultra-inteligentes.

Veja sete dicas de quem está por dentro do assunto.

1 - Gerencie resultados, não o processo
É perfeitamente cabível o chefe dizer ao funcionário o que fazer, mas, quando se trata de como fazer, um ambiente controlador pode ser frustrante.
Você não pode pegar pessoas que têm paixão por alguma coisa e começar a criar muros ao redor delas.
Uma equipe composta destes tipos de pessoas precisa de estrutura, mas esta estrutura deve ser voltada mais para resultados do que para processo.
Segundo os especialistas, o melhor a fazer é formatar as coisas em termos dos resultados que você está buscando, em vez de condenar o modo como elas precisam ser feitas para se alcançar estes resultados.

2 - Adote uma abordagem socrática
Raramente pessoas muito inteligentes gostam de se sentir comandadas. Isso não significa, contudo, que elas não precisem ser controladas.
Para conseguir este truque, faça perguntas que levem estes funcionários a perceberem seu ponto de vista, de maneira próxima ao método filosófico proposto por Sócrates. Se eles não querem que as coisas lhes sejam ditadas, você tem que gerenciá-los de uma forma mais socrática.
Isso demanda tempo e paciência, principalmente quando você acha que já sabe a decisão que, no fim das contas, precisa ser tomada.
Você tem que examinar as ideias deles e deixar que eles saiam com a recomendação de que você as rejeita ou concorda com elas. Mesmo que você só queira tomar a decisão, tem que lhes dar uma oportunidade de tomar parte nela.

3 - Seja aberto a aprender coisas novas
Seria um desperdício não permitir que algumas das ideias de uma equipe extremamente inteligente se concretizassem. Esteja aberto a explorar aonde a experimentação pode levar.
Se você for aberto às ideias que emanam de profissionais brilhantes, pode e deve aprender muito com eles.
Para isso, você tem que estar disposto a ser testado. Mas precisa fazer seus profissionais brilhantes justificarem as respectivas posições de modo equilibrado e convincente. Isso não significa que você possa  abdicar de suas responsabilidades gerenciais.

4- Não finja saber mais do que sabe
A pior reação é se sentir inseguro e ameaçado ao reconhecer que um subordinado direto é mais brilhante do que você. Alguns chefes se vêm compelidos a tomar decisões sobre assuntos sobre os quais eles são totalmente incompetentes para decidir, o que acaba por afligir todo mundo.
É melhor aceitar que seu papel não é ter as melhores ideias, mas ser capaz de determinar quais são as melhores ideias.
Na realidade, você ganha o respeito das pessoas extremamente inteligentes quando permite a concretização das ideias. Mesmo que as pessoas não estejam felizes, vão respeitar que você esteja sustentando sua decisão. As pessoas realmente inteligentes querem ver ação e resultados, não importa como.
“É muito importante que cada gerente técnico se conscientize de que é um guia, não um chefe. Pode conduzir a expedição e sabe onde quer chegar, mas tem que confiar em seu caçador para caçar e no seu cocheiro para tomar conta dos cavalos.

5 - Encontre maneiras de extrair mais deles
Sofisticação intelectual é a perdição dos profissionais extremamente inteligentes, que gostam de ser desafiados – às vezes até demais.
A tendência é ir atrás da coisa mais nova e atrativa e priorizá-la em relação ao trabalho passível de cobrança.  Para contrabalançar isso, os funcionários podem se oferecer para participar de uma equipe de ideias especiais, que se reúne a cada dois meses para explorar preocupações ou oportunidades importantes. Isso ajuda a manter o pique durante períodos mais lentos. Ajuda muito o moral.
E cuidado para não subutilizar pessoas brilhantes, alertam os especialistas.

6 - Não se deixe cegar pelo brilho
Só porque alguém é brilhante não significa que deva dirigir o espetáculo. Ficar fora do caminho dos indivíduos brilhantes não é abdicar da autoridade gerencial. Em vez disso, equilibre quando deve lhes dar espaço para conduzir suas próprias ideias, quando monitorá-los e quando intervir. Afinal, existem muitos tipos de inteligência. Um codificador brilhante, por exemplo, nem sempre é capaz de ver a estratégia geral.
Outro erro comum é delegar todas as decisões à pessoa ultrabrilhante do grupo. Presumir que a pessoa é brilhante em todos os aspectos da vida é condená-la ao fracasso.

7 - Mantenha a humildade
Na função de CIO, inevitavelmente você trabalhará com pessoas mais brilhantes do que você. Se não for assim, é porque você está contratando muito mal.
Dito isso, experimente começar cada novo dia com humildade. Você tem a sorte de contar com sua equipe e ela o levará ao seu destino.
Procure não se sentir ameaçado por não ser o mais brilhante da sala.

Dicas: O que importa na hora de comprar um eletrônico?

Pode ser um computador, impressora, câmera digital, smartphone ou HD: na hora de comprar um eletrônico, sempre há características que você pode ignorar.

Uma das perguntas mais comuns que ouvimos é: “Quero comprar um novo. Qual é a melhor escolha?”. Não há uma resposta fácil, já que cada pessoa tem necessidades diferentes, e a cada semana surge um novo “gadget do momento” que torna o modelo anterior obsoleto, e mais barato.

Entretanto, em todas as categorias de produtos há características amplamente anunciadas que não significam nada para a maioria das pessoas. Também há aquelas que são importantes só em alguns contextos, e outras que são importantíssimas, mas não recebem muita atenção.

Então, antes de abrir a carteira e gastar seu suado dinheirinho em um processador com um quaquilhão de gigahertz ou uma câmera com zoom digital de 30x, leve em consideração meus conselhos a seguir. Você pode acabar gastando menos, e ficando muito mais satisfeito

Sites de e-commerce baseados em código aberto estão sob ataque

Endereços de comércio online que utilizam software Online Merchant podem estar infectadas com malware, afirma empresa de segurança

Cerca de 100 mil páginas de sites de e-commerce baseadas no software open source OS Commerce podem estar comprometidas com um malware inserido por meio de um ataque em massa de injeção de iFrame, de acordo com a Armorize, empresa de segurança.

Os ataques recentes de injeção de massa parecem ter origem na Ucrânia e têm como alvo sites de comércio virtual. Os endereços que foram atingidos com sucesso estão infectados com o malware, utilizado para tentar atingir os visitantes, afirmou Wayne Huang, diretor de tecnologia da Armorize.

Embora esse tipo de ataque não seja incomum na internet, Huang sublinha que este é notável por tratar-se de um tipo de  injeção de massa comum há três anos, mas que havia saído de moda.

Os crackers "podem aproveitar de uma vulnerabilidade conhecida" no software open-source, explicou Huang, completando que eles tendem a acompanhar e

Descoberta pela Kaspersky, "super malware" já infectou 4,5 milhões de PCs em 2011 e é "apontado como ameaça mais sofisticada da atualidade".

Uma nova e melhorada botnet (rede de micros zumbis) gigante que infectou mais de 4,5 milhões de computadores é “praticamente indestrutível”, de acordo com pesquisadores de segurança.

O “TDL-4”, nome do bot Trojan que infecta as máquinas e do conjunto resultante de computadores comprometidos, é “a ameaça mais sofisticada da atualidade”, diz o pesquisador da empresa de segurança Kaspersky Labs, Sergey Golovanov, em uma análise detalhada publicada no início da semana.

E ele não é o único a pensar dessa forma.

“Eu não diria que ela é perfeitamente indestrutível, mas é praticamente indestrutível”, afirma o especialista e diretor de pesquisas da Dell SecureWorks, Joe Stewart. “Ela faz um ótimo trabalho em manter-se de pé.”

Golovanov e Stewart basearam seus julgamentos em uma variedade de características do TDL-4, as quais o tornam um caractere extremamente difícil de ser

Mais de 213 mil vagas em TI ficarão em aberto até 2013

Número é resultado de grades curriculares desatualizadas

Mais de 213 mil vagas em TI podem ficar abertas até 2013, afirmou o executivo de parcerias educacionais da IBM Brasil, Edson Pereira, durante a palestra “Como deixar de ser um profissional de TI e ser um profissional de serviços de TI” dada na Conferência & Expo Internacional HDI Brasil 2011 nesta quinta-feira (26/05). Em 2010, foram 72 mil. Para ele, isso é reflexo de faculdades com grades curriculares desatualizadas.

O número retirado do Índice Brasscom de Convergência Digital 2010 reflete o apagão de mão de obra qualificada identificado pela maioria das empresas no setor de TI

Guia de Extensões: Evite Riscos ao Baixar Arquivos

por  João Eduardo Vieira*

Um assunto que pode confundir muitas pessoas são as extensões dos arquivos. A partir delas podemos identificar se um arquivo é possivelmente um vírus. Mostraremos agora as principais extensões utilizadas por vírus.
Mas o que são extensões?

As extensões são sufixos que designam o formato e principalmente a função que determinado arquivo desempenha no computador.

No Windows, todos os arquivos possuem sua extensão, que o difere dos demais arquivos da máquina. Cada extensão geralmente tem um programa próprio para executá-la. Por exemplo, o Word é responsável por abrir arquivos .doc, enquanto o Excel fica responsável

Hackers buscam outras formas de ataque

Ameaças estão em todos os serviços online que necessitam de registro

Os hackers aprimoraram as suas formas de ataque e atualmente não operam apenas em sites:  estão buscando novas formas de invasão, segundo analista de malware da Kaspersky Lab no Brasil, Fábio Assolini. Para ele, as ameaças estão em todos os serviços online que necessitam de registro de usuários.

Um exemplo desta afirmação foram os ataques a Playstation Network, da Sony, há cerca de um mês, que permitiram o roubo de dados de mais de cem milhões de usuários da rede.

“Os cibercriminosos precisam de informações das vítimas para fazer mais ataques ou até mesmo para ganhar dinheiro de forma ilícita. Então onde há informação pessoal

Quero Comprar um Ataque de Negação de Serviços

No Brasil, muitas pessoas ainda crêem que um ataque a um serviço  web é extremamente difícil e somente crackers especializados podem fazê-lo. Esta não é a realidade. Os ataques de negação de serviço, também chamados de DOS (Denial of Service) vem crescendo no mundo e no país, não somente como uma arma de cyberguerra, mas principalmente, como artifício nas mãos de empresas desonestas e como arma para concorrência desleal.

O ataque, apresenta sua variante “distributed”, onde inúmeros computadores são utilizados para uma abordagem em servidores e sites de empresas e pessoas alvos, que diante das inúmeras requisições e congestionamento dos serviços suportados, passam a negar demais

Os Cargos Mais Valorizados em TI

 Descubra qual o perfil dos profissionais de tecnologia que, hoje, têm mais chances de serem contratados, com altos salários, pelas empresas

Responsável Pelo Domínio de Sites, Registro.br teve Queda

Responsável pelo domínio de sites, Registro.br teve queda de três servidores na tarde do dia, 6/5. Segundo órgão, situação já está normalizada.

Uma falha registrada na tarde do dia (6/5) em servidores do Registro.br tirou do ar por cerca de duas horas muitos sites administrados pelo órgão, que é responsável pelo registro de domínios da Internet no País.
As informações foram divulgadas em comunicado do chefe do Registro.br, Frederico Neves, em novo comunicado, que a situação foi normalizada às 18h10.

O que aconteceu
Segundo o comunicado inicial do Registro.br, houve um

Segurança de Aplicativos: Três Dicas para Facilitar a Gestão

Padrão de qualidade, listar um campeão e elencar prioridades são orientações de especialista

Se ainda não conseguiu, leia agora a coluna de Mathew J. Schwartz: Secure Coding Or Bust (Codificação Segura ou Falência). A coluna fornece pontos de vista interessantes sobre  porque o desenvolvimento de software seguro é importante. Também oferece ótimas sugestões para um bom começo, como o Software Assurance Maturity Model (SAMM), o Building Security In Maturity Model (BSIMM) e o  Security Development Lifecycle, da Microsoft. São todos excelentes, mas não incluem alguns dos obstáculos mais importantes que precisam ser vencidos antes que o programa seja executado a toda velocidade. Vamos pesquisar três desses a fundo. Mas antes gostaria de chamar a atenção para um importante recurso técnico – o Open Web Application Security Project ou OWASP. É uma comunidade de desenvolvimento de aplicativos de segurança que oferece guias, informações sobre vetores de ameaças comuns, técnicas de ataque e providências na maioria dos tipos de vulnerabilidades que afetam os aplicativos de rede. Há muito para ver por lá, sugiro que se informe. Agora vamos aos três aspectos essenciais que você precisa pra vencer: Aposte em um campeão: começar um programa de segurança de aplicativos do zero tem mais a ver com conseguir apoio executivo do que com as técnicas

Intel Lança Processador que Inativa Laptop por SMS

A companhia revelou a novidade na segunda-feira (07/02), afirmando que os produtos serão usados um laptops corporativos , tablets, desktops, e todos os PCs all-in-one que estarão disponíveis por meio das fabricantes de computador. A tecnologia vPro, que já está existe há cinco anos, dá segurança ao PC e capacidade de gestão para departamentos de TI de empresas.

Desta forma, a mais recente versão da plataforma, que está disponível com o novo Core i3, i5 e i7 para negócios, inclui a terceira geração de tecnologia antirroubo da empresa. As versões anteriores possibilitaram que a equipe de TI enviassem uma "pílula de veneno" codificada através da internet para desativar um laptop, como forma de evitar roubo de dados corporativos. A versão mais recente faz com que seja possível enviar uma mensagem de texto criptografado, autenticado via SMS, ou serviço de mensagens curtas, através de uma rede celular 3G para desativar o PC. Se o sistema estiver recuperado, ele pode ser reativado com outra mensagem.

Conforme a empresa, a plataforma vPro também inclui Identity Protection Technology (IPT), o que torna possível, para uma empresa de segurança, incorporar no chipset uma credencial que iria apoiar os sites usados para identificar os usuários do PC. O objetivo é evitar que um hacker entre em um site sem um laptop com o IPT.

Segredo e Espionagem

O FBI investigou no passado os e-mails da Governadora do Alaska que foi a candidata republicana a vice-presidência dos EUA que supostamente teria usado o e-mail do Yahoo para tratar de assuntos oficiais. Nos EUA a discussão ganhou relevo após a descoberta de que o Governo Bush se utilizou

Segurança Móvel: 4 Abordagens Para Redução de Riscos

O gerenciamento básico de dispositivo inclui segurança rudimentar, como políticas de extermínio e travamento de aparelho e autenticação. É possível configurar políticas básicas utilizando o ActiveSync, da Microsoft, o mais onipresente dos controles básicos. Mas se quiser opções avançadas de controle, você precisa de um fornecedor de gerenciamento de dispositivo móvel que suporte todas as plataformas populares. 

Opções avançadas variam muito dependendo do fornecedor de MDM e da plataforma que se pretende controlar, mas todas oferecem configurações de controle melhores do que se consegue com as configurações básicas das plataformas. 

A terceira opção pode ser descrita como abordagem Walled-Garden

Artigo: 7 Passos Para Implementar TI da Penn Medicine

Na Penn Medicine [sistema acadêmico de saúde da Universidade da Pensilvânia], a necessidade de persuadir alguns médicos relutantes a respeito dos benefícios do sistema de informação é coisa do passado. Nossos médicos [dos Estados Unidos] contam com sofisticadas tecnologias que ajudam na melhoria do cuidado do paciente, assim como para administrar o exercício de sua profissão e conduzir suas pesquisas mais eficientemente. Eles se tornaram quase defensores universais. Considere o seguinte:

• Foi usado o Eclipsys Sunrise Clinical Manager para atingir 100% de entrada de pedidos informatizados médicos (CPOE), uma taxa que menos de 10% das organizações de saúde atingiram.
  
• A Penn Medicine, junto com um pequeno número de outras instalações pelo país, tem cerca de 1.700 de seus 1.800 médicos usando ativamente seu sistema de registro médico eletrônico Epic.
  
• Médicos fazem cerca de 15 milhões

Especial Firewalls: 3 ferramentas para ultrapassá-las

Em tempos de conflitos países fazendo censuras, vai algumas dicas de como contornar esta mal.

Um antigo provérbio sobre a internet diz que “interprete a censura como um defeito e roteie ao redor dela”. Quanto mais se tenta restringir o acesso a algo, mais as pessoas acham maneiras de chegar a ele. 

Governos como aqueles do Irã ou China colocam restrições com software e as pessoas trabalham uma maneira de circundar essas restrições com mais softwares. O resultado final é uma corrida armamentista: aqui, um país que bloqueia YouTube ou Facebook; em

Private Cloud: passos para uma jornada bem-sucedida

Por Daniel Dystyler*

24/02/2011

Em artigo, Daniel Dystyler fala sobre as estratégias da tecnologia

O volume de informações na mídia sobre o tema cloud computing é denso e provém de uma pluralidade de fontes. Se partimos para um conceito global, a chamada computação em nuvem possui cinco características básicas que devem estar presentes em qualquer modelo de implementação.  Começando pelo usuário, através de ferramentas de auto-serviço, ele pode aumentar ou diminuir a quantidade de uso da nuvem sob demanda. Portanto, o usuário passa a ter controle. Ou ponto diz respeito ao acesso, que deve ser disponibilizado pela rede, ou seja, pela

Empresas precisam evitar que migração para IPv6 paralise suas redes

Por COMPUTERWORLD/EUA

 A tendência é a de que a adoção do novo protocolo, somada à virtualização e à cloud computing, aumente a complexidade das redes, alerta entidade.

Quase metade dos gestores de TI enfrentam problemas nas suas redes todos os meses por erro humano, revela estudo da Enterprise Management Associates (EMA). Segundo Jim Frey, diretor da entidade, 80% das médias empresas nos EUA tiveram pelo menos um erro por mês.

O estudo da EMA ouviu 100 gerentes de TI de médias empresas e constatou que, em média, as empresas têm de corrigir cinco a seis erros por mês e o problema só deve piorar. A mudança

Entenda o que o IPv6 muda para os usuários finais

Coordenador do projeto no Brasil afirma que apenas os modems ou roteadores sem suporte ao padrão precisarão ser trocados.

Stephanie Kohn

Na última quinta-feira (03/02/2011) os endereços IPs do protocolo IPv4 pararam de ser distribuídos em todo o mundo. Com isso, os Registros Regionais de Internet passarão a entregar, a partir de agora, unicamente o protocolo IPv6.

A troca é uma questão de infraestrutura. Na década de 70, quando o IPv4 foi criado, os desenvolvedores da web não tinham ideia do tamanho que a internet teria e, portanto, não se preocuparam em criar um padrão de endereços que suportasse a expansão da rede mundial.

Agora, com o crescimento exponencial da internet, esses números IPv4 estão chegando ao fim. A expectativa é de que já não exista mais disponibilidade de endereços a partir de dezembro de 2011. Então, para que a internet continue crescendo e se desenvolvendo, foi

Certificações são realmente importantes para o profissional de TI?

Certificações de TI

 

A importância das certificações para o profissional de TI 

Começo o post de hoje com uma pergunta recorrente:

Obter a certificação em determinada tecnologia ou framework de gestão atesta a capacidade do profissional na respectiva área?

Começo a resposta apresentando argumentos favoráveis às certificações, alertas e descrevendo dois momentos em que elas podem ajudar o profissional: no início da carreira e na aplicação no dia a dia.

No início da carreira, o profissional precisa buscar rapidamente uma capacitação mínima para obter o primeiro emprego e se desenvolver. Nesta fase a certificação representa um desafio, oportunidade de aprendizado, além de atestar conhecimento teórico e impulsionar a carreira.

Entretanto, o fato de se obter uma certificação não garante ao profissional

Roteando Vlan´s no MikroTik.

Olá pessoal, primeiramente muito obrigado pelos inúmeros acessos ao meu site. Hoje to trazendo uma materia importante que achei no site da under-linux. vale a pena conferir esta mantéria.

" As VLANs permitem a isolação do tráfego entre grupos de equipamentos na rede, criando ilhas. Um roteador como o Mikrotik pode fazer a inter-conexão entre essas VLANs, com a vantagem de que sendo um equipamento L3/L4 ele pode aplicar filtros e QoS nesse processo. Ou seja: ao se usar o Mikrotik para essa interconexão, podemos ter um controle melhor do que é trafegado ou não.

Inclusive podemos isolar completamente as VLANs. Podemos criar regras que permitam com que cada VLAN acesse à Internet, mas impede que

Novo modelo de plug USB pode encaixar dos dois lados

 

 

Em primeiro lugar, um aviso: trata-se de um gadget conceito, aqueles que foram criados por gênios de design e desenhados por talentosos artistas 3D. Em segundo lugar: diferente de vários conceitos de gadgets que já vi internets afora, esse é um daqueles que não deve (ao menos na teoria) demorar para virar realidade. Digo isso por parecer que não há componentes muito complicados para que ele exista, bastando uma fabricante de gadgets USB adotá-lo.

Departamentos de TI podem parar na nuvem

É uma significativa quebra de paradigma. Sequer o item segurança escapa desse futuro. Equivale a aceitar correr determinados riscos.

Por InfoWorld/EUA

A morte definitiva do departamento de TI, da forma como é conhecido até hoje, foi decretada. Na perspectiva da direção, não faz sentido continuar a pagar por uma prestação de serviços que se assemelha a de um encanador. Se o tema TI for mencionado em reuniões no conselho da corporação, certamente serão sugeridos os cortes no orçamento da divisão. Em seu lugar, entrarão a virtualização e as nuvens privadas – quem achar que essas duas tecnologias vêm com o intuito de salvar as atribuições da TI, está redondamente enganado.

Projetos de implementar departamentos de TI locais devem ser postos no gelo, pois as chances de serem terceirizados para organizações na Índia ou

A nova ordem da TI

Em artigo, Maria Paula Menezes fala sobre mudança de comportamento do profissional

TI e seu futuro. Um assunto que tanto desafia gestores e profissionais de uma área que, ao longo dos últimos anos, tem passado por mudanças e optado por direções por vezes questionadas, postergadas, desacreditadas. Hoje sim, passa a ter uma perspectiva antes vista até com conceitos utópicos; uma realidade que depende de visão aliada à flexibilidade. Visão dos profissionais, das empresas, dos usuários. Ou seja, o conjunto de ideias e valores que geram uma ordem inovadora. Flexibilidade em entender, apostar e acreditar que esta mesma ordem realmente pode acontecer – aí sim chegamos ao grande desafio a ser vencido.

Mas, por que essa mudança de comportamento é tão necessária e demanda tanto esforço para acontecer? Posso dar um exemplo simples. Há vinte

Lançamento Riomar Shopping

Grupo JCPM: Lançamento Riomar Shopping Criação: italobianchico

Os 10 maiores pesadelos da década - Parte 2/2

6. ILOVEYOU
Quando: 2000
Previsão: não se aplica
Resultado: mais de 50 milhões de máquinas infectadas e 5.5 bilhões em prejuízos.

O ILOVEYOU foi um vírus que chegava às caixas postais com um arquivo em anexo. No caso era um arquivo escrito em VBS (script de visual basic) e, para enganar os usuários, vinha disfarçado em forma de arquivo de texto LOVE-LETTER-FOR-YOU.TXT.vbs. Assim que era executado, o virus enviava a si mesmo para os primeiros 50 contatos das caixa de email e substituía todos os arquivos de imagem .jpg e texto do Word .doc, por cópias dele mesmo.

Os 10 Maiores Pesadelos da Década - Parte 1/2

Ao longo dos últimos dez anos, vários acontecimentos abalaram o mundo da tecnologia da informação. Causaram danos reais a usuários e profissionais do setor.

 

A chegada do novo milênio anunciava o fim do mundo, catástrofes e desastres de dimensões sem precedentes. Pois é, anunciava. Passados dez anos do Y2K, tudo continua em pé. Não houve os temidos cataclismos digitais. Mas, escondidos sob o manto de uma década de sensação de alívio, pragas virtuais com poder de destruição ímpar deram um verdadeiro baile em PCs do mundo todo.

Separamos uma lista com os dez maiores vilões e fatos que abalaram o mundo nos últimos dez anos:

1. O bug do milênio
Quando: Ano 2000

Cloud Computing: Pública ou Privada?

Em artigo, Nei Fernando Tremarin fala sobre diferença entre as duas tecnologias

Por Sabemos que Cloud Computing é uma das principais tendências tecnológicas para os próximos anos. Tendência que vimos ser acelerada durante a crise econômica em 2009, quando os orçamentos foram reduzidos e as áreas de TI sofreram com os cortes de custos. Podemos dizer que a tecnologia conquistou seu espaço e que a discussão agora gira em torno de outro aspecto. Qual o caminho a Cloud Computing deve seguir? Algumas empresas estão apostando as suas fichas nas Cloud privadas, que nada mais são que redes

Cinco tendências em segurança para 2011

  
* Douglas Rivero é gerente-geral da SonicWALL do Brasil

O ano de 2011 chegará com a evolução de importantes tendências tecnológicas como, por exemplo, o momento de maior adoção da tecnologia sem fio e virtualização no ambiente corporativo. Também identifico na área de segurança mais ataques maliciosos ao sistema operacional Apple. Veja abaixo algumas previsões para 2011: 

Tendência nº1: 2011 Será um Divisor de Águas com Relação à lrgura de Banda no Ambiente Corporativo. O tráfego corporativo roda ininterruptamente em todo o mundo. Cada dia mais as empresas utilizam aplicativos críticos em nuvem como Salesforce.com ou de reprodução remota e sensíveis à latência como as teleconferências e VoIP. Esses aplicativos continuarão competindo com os aplicativos ponto a ponto e os de mídia social, dentro e fora do ambiente

## Série Segurança 10 de 10 ##

Vazamento de dados: quatro formas de prevenção

Conheça as maiores falhas de segurança interna e saiba como se defender quando o assunto são seus preciosos dados.

Pesquisa recente da consultoria Ernst & Young, realizado em 61 países com 1800 participantes, revela que garantir a segurança dos dados é a principal preocupação (45%) das empresas para os próximos 18 meses. No Brasil, a pesquisa consultou 35 empresas e profissionais de segurança dentro das companhias.

Quase 90% das empresas planejam aumentar ou manter investimentos em Gestão de Riscos (SI). As tecnologias que se destacam são a de contenção de vazamento de dados (DLP) e virtualização. O treinamento e conscientização dos funcionários também vão receber aumento de investimentos de 39% das companhias que responderam à pesquisa.

Outro foco de problemas são os ex-funcionários: 75% das empresas demonstraram grande preocupação com eles, mas 42% não entendem todos os potenciais riscos associados - apenas 26% estão tomando medidas em relação à questão. Além disso, Mais de 70% das empresas realizam programas de conscientização em Segurança da Informação, mas menos de 50% usam tendências atuais.

Se você é responsável por gerir a área de segurança, sabe das dificuldades intrínsecas a essa atribuição. Consultamos especialista e profissionais do setor para levantar quais os maiores riscos de segurança, hoje, e como se prevenir deles.

Registrar e monitorar

Levantamento recente realizado pela Verizon informa que 87% dos casos de vazamento de informação estavam registrados nos logs do servidor. Ainda assim, 60% dessas ocorrências foram descobertas externamente.

## Série Segurança 9 de 10 ##

5 formas de evitar problemas com os notebooks corporativos

Com o objetivo de não permitir o vazamento de informações confidenciais ou os riscos à segurança da rede, a equipe de TI precisa tomar alguns cuidados básicos.

 

No mês de Janeiro, muitos executivos tiram férias. Contudo, mesmo em viagem, boa parte deles faz questão de levar o notebook corporativo, com o intuito de se manter de alguma forma conectado à empresa. O problema, no entanto, é que esse tipo de comportamento traz uma série de riscos à segurança da informação.

A área de TI precisa não só estar ciente de todos os riscos que a mobilidade dos funcionários pode trazer como deve antecipar-se aos problemas de vazamento de informações e de segurança. A seguir, seguem

## Série Segurança 8 de 10 ##

Kevin Mitnick: ex-hacker derruba mitos sobre segurança em cloud

Em passagem pelo Brasil, ele afirma que computação em nuvem é tão insegura quanto infraestruturas tradicionais.

Reconhecido no passado como o maior hacker do mundo, Kevin Mitnick buscou derrubar mitos sobre a segurança nos ambientes de cloud computing (computação em nuvem), durante apresentação, realizada no Brasil (30/09/2010). Mitnick, que chegou a ser preso e hoje atua no mercado de consultoria em segurança, afirmou que a nuvem não é mais ou menos confiável do que as infraestruturas de TI tradicionais.

## Série Segurança 7 de 10 ##

Relatório Indica Como Criar Plano de Segurança Eficiente

Estudo elaborado pelo Infosec Council traz dez dicas de como criar um plano eficiente

Foi apresentado em São Paulo o estudo “Planejamento Estratégico da Segurança da Informação”, elaborado pelo Infosec Council, conselho multidisciplinar que reúne 13 especialistas da segurança da informação no Brasil.

Fontes vai falar sobre “Segurança da Informação: Desafios da próxima década” e abordará como o planejamento deve ser tratado na cultura das organizações. Ele observa que aumentam cada vez mais os desafios das empresas para evitar o vazamento e roubo de informações confidenciais dos negócios. Para isso, vão precisar implantar controles eficientes que se estendam para toda a sua cadeia de valor.

O novo guia do Infosec Council vem com a proposta de orientar as empresas na elaboração de um plano estratégico de segurança da informação mais eficiente. O estudo é o segundo do grupo. O primeiro foi sobre “Formação de cultura em segurança da informação”,

## Série Segurança 6 de 10 ##

Pesquisadores Burlam Sistema de Cartão de Pagamento com Chip

Professores da Universidade de Cambridge demonstraram, na TV inglesa, como efetuar pagamento via cartões com chip usando qualquer número como senha.

Centenas de milhões de cartões de pagamento europeus têm uma falha que poderia permitir a criminosos usar um cartão roubado digitando qualquer senha aleatória para completar uma transação, afirmam pesquisadores da Universidade de Cambridge.

A descoberta, que será apresentada no Simpósio de Privacidade e Segurança na Califórnia do IEEE em maio, colabora para o aumento da desconfiança em relação aos cartões que utilizam chip e senha. Esses cartões contém um microchip que verifica se a senha é correta antes de completar uma transação.

## Série Segurança 5 de 10 ##

Descoberta falha no protocolo de segurança Wi-Fi WPA2

A vulnerabilidade faz parte dos padrões definidos pela IEEE e permite derrubar uma rede sem fio.

 Especialistas em segurança da AirTight Networks descobriram uma falha de segurança no protocolo de rede Wi-Fi WPA2. O problema foi chamado de "Hole 196", em referência à página 196 do manual de padrões da IEEE – entidade que regulamenta o setor.

Nessa página, o padrão IEEE explica as chaves usadas pelo WPA2: a PTK (Pairwise Transient Key), que é única para cada cliente Wi-Fi e usada para tráfego unidirecional, e a GTK (Group Temporal Key), para broadcast.

## Série Segurança 4 de 10 ##

Como profissionais de segurança veem cloud e virtualização?

A virtualização e a nuvem estão mudando o paradigma de segurança das corporações, mas será que isso facilita as coisas? Veja o que mostra a pesquisa '2010 State of Enterprise Security Survey'.

 

A migração para a virtualização e a computação em nuvem está tornando a segurança de redes mais fácil ou mais difícil? Quando essa pergunta foi feita aos 2.100 principais líderes de TI e administradores de segurança de 27 países, as respostas mostraram uma grande falta de consenso, representando a diversidade das atitudes nas corporações.

O relatório “2010 State of Enterprise Security Survey” indica que apenas um terço das pessoas ouvidas acreditam que virtualização e computação em nuvem dificultam a segurança, enquanto um terço deles afirmam que tudo fica “mais ou menos” igual, e o restante considera mais fácil.

## Série Segurança 3 de 10 ##

Cinco formas de aumentar a proteção da rede corporativa

Funcionários adotam técnicas para burlar os firewalls e acessar conteúdo indevido no ambiente de trabalho. Saiba como reforçar a segurança.

Houve uma época em que bloquear o acesso às redes sociais no ambiente de trabalho era aceitável. Mas, em várias organizações, o que antes era considerado uso inapropriado da infraestrutura da companhia tornou-se essencial. Hoje, redes e mídias sociais como o Facebook e o YouTube estão integradas às estratégias de marketing. Softwares de mensagens instantâneas tais como o AIM, G-Chat e o Gtalk são amplamente usados na comunicação eficiente entre funcionários.

## Série Segurança 2 de 10 ##

7 Pecados Mortais de Segurança em Computação na Nuvem

A cloud computing traz oportunidades, mas especialistas destacam a importância de analisar os riscos de segurança da plataforma.

 

Especialistas de segurança alertam que as organizações que estão aderindo à computação em nuvem podem conhecer termos familiares como multi-tenancy e virtualização, mas isso não significa que eles entendem tudo sobre como colocar aplicações na nuvem.

No mundo da cloud computing, essas tecnologias são integradas para criar uma nova classe de aplicativos com seu próprio pacote de regras de operações, afirma o diretor executivo da organização não-governamental, Cloud Security Alliance (CSA), Jim Reavis. O objetivo da CSA é promover as melhores práticas para uso da computação na nuvem.

“Essa é uma nova era na computação”, diz Reavis. Mesmo se tudo soa familiar, basta procurar um pouco mais para descobrir uma série de novos riscos. As organizações geralmente adotam a computação em nuvem com uma velocidade muito maior do que os profissionais de segurança recomendam, afirma Reavis. Uma abordagem pragmática é necessária. “Com uma abordagem baseada no risco para a compreensão de riscos reais e práticas atenuantes, podemos adotar a nuvem de forma segura”.

A CSA, em colaboração com a HP, fez uma listagem do que chamam de sete pecados mortais da segurança na nuvem. A pesquisa é baseada em informações de especialistas de segurança de 29 empresas, provedores de tecnologia e companhias de consultoria.

1- Perda de dados ou vazamento
Não há um nível de controle de segurança aceitável na nuvem, segundo Reavis. Alguns aplicativos podem deixar dados vazarem como resultado de um controle de API, geração de chaves, armazenamento ou gestão fracos. Além disso, políticas de destruição de dados podem estar ausentes.

2- Vulnerabilidades de tecnologias compartilhadas
Na nuvem, uma única configuração errada pode ser duplicada em um ambiente no qual vários servidores virtuais compartilham essa informação. A organização deve aplicar acordos de nível de serviço (SLAs) para o gerenciamento de atualizações e as melhores práticas para a rede e configuração do servidor.

3- Internos maliciosos
O nível de verificações que os provedores da nuvem realizam em uma equipe pode variar de acordo com o controle de acesso ao datacenter estabelecido pela empresa, segundo Reavis. “Muito deles fazem um bom trabalho, mas é desigual”, completou. A recomendação é realizar uma avaliação de fornecedores e definir um nível de seleção de funcionários.

4- Desvios de tráfego, contas e serviços
Muitos dados, aplicativos e recursos são concentrados na nuvem. Sem autenticação segura, um intruso pode acessar uma conta de usuário e obter tudo o que estiver na máquina virtual daquele cliente, afirma Reavis. Para evitar isso, o ideal é monitorar proativamente ameaças de autenticação.

5- Interfaces inseguras de programação de aplicativos
É importante ver a nuvem como uma nova plataforma e não apenas como terceirização quando se trata de desenvolvimento de aplicativos. Deve existir um processo de investigação relacionado aos ciclos de aplicações, no qual o desenvolvedor entende e aplica certas orientações para controles de autenticação, acesso e criptografia.

6- Abuso da computação em nuvem
Usuários mal intencionados estão cada vez mais preparados, segundo Reavis. Registros indicam que crackers estão aplicando novas ameaças rapidamente, além da habilidade de se adaptar ao tamanho da nuvem. E tudo que é preciso é um cartão de crédito.

7- Perfil de risco desconhecido
A questão da transparência continua preocupando os provedores de nuvem. Usuários de contas interagem apenas com a interface final e não sabem muito sobre as plataformas ou níveis de segurança que os provedores estão empregando, afirma Reavis.

O chefe de tecnologia de segurança na nuvem da HP, Archie Reed, tem o cuidado de observar que a lista dos sete pecados mortais da segurança na nuvem não é abrangente, mas de alto nível. “Deve servir como uma aproximação, mas não definir as questões de segurança”, afirmou Reed.