Pastelaria Digital

Archive for the ‘segurança’ Category

Numa época muito distante bem no começo da minha vida tecnológica, eu tinha muitos programas salvos em meu HD, minhas fotos, filmes e muito mais. E tudo em um PC com uma HD de incríveis 80GB, HD de 160GB era o supra sumo rsrs, mas em belo domingo de sol minha HD foi para uma viagem brincar com outros HDs e tudo o que eu tinha não existe mais.

Cheguei fazer um backup algumas vezes em um DVD regravável, mas como eu tinha mais 60GB de porcaria de arquivos e os DVDs são somente de 4.7 e eu tinha somente uns 4 DVD e ficar regravando ou gravando mais DVDs dava um trabalho da bexiga e parei de fazer por preguiça e me arrependo ate hoje. Aquela velha frase não se aplica a ninguém “Nunca vai acontecer comigo”. Comprei outro HD e voltei alguns backups antigos….

========================= ALGUNS ANOS DEPOIS=========================

E para evitar que isso não ocorra NUNCA mais, fui pesquisar para comprar uma HD externa para meu backup. Tinha duas opções:

• Uma HD externa portátil de 160GB
• Uma HD externa com case de 500GB (com fonte de energia)

Pensei comigo vou pegar a 500GB e nunca mais vou ter problema de espaço e bla bla bla. Inicialmente me atendeu perfeitamente fazer os backups ficou super rápido e fácil com muito espaço, mas com o passar do tempo comprei um Notebook e para usar a HD é muito ruim por que normalmente uso o notebook no sofá e a HD é grande e precisa de fonte de energia. Muitos dos meus amigos tem filmes e seriados e volta e meia eu levo essa HD para copiar os filmes etc. É pesada para ficar levando pra lá e para cá e estava começando a faltar espaço. Por que tinha o meu backup mais os filmes que em grande maioria é em 720p e 1080p.

Para resolver essa questão fui pesquisar um HD portátil para comprar, inicialmente tinha visto um de 1 TB e meio por 499,00, tudo estilosa, USB 3.0 e mais umas parada bem bacana, mas não lembro o modelo agora. Pesquisei também por 1TB por 309,00. Gostei bastante do segundo modelo, não é por causa do preço não (mentira é sim). Estou usando a quase 3 semanas e estou gostando, copiei muitos filmes que sempre quis, mas não fazia por falta de espaço, leve, fácil de levar e cabe no bolso

Agora deixo meu HD externo com case somente para backup e essa nova HD para filmes, seriados, jogos e levo para qualquer lugar sem dificuldade.

O modelo é do fabricante Western Digital e o modelo é da seria Elements SE. Mais especificações abaixo:

Site fabricante: http://www.wdc.com/en/products/products.aspx?id=470

Modelo

Marca: Western Digital
Série: Elements SE

Part Number: WDBABV0010BBK-NESN

Performance
Interface: USB 2.0
Capacidade: 1TB / 1000gb

Especificações Físicas
Modelo 2.5″
Dimensões 11,1cm x 7,6cm x 1,9cm
Peso 150 gramas
Peso do produto na caixa 302gramas

Compatibilidade
Formatado em padrão NTFS para Windows XP, Windows Vista, Windows 7
Mac OS X, Tiger, Leopard, Snow Leopard (requer formatação)

Uma unidade simples e portátil de altíssima qualidade, leve e fácil de transportar. Basta ligá-la a uma porta USB e começar a salvar suas fotos, vídeos, músicas e arquivos.

Alimentação USB - Essas unidades não necessitam de adaptadores de alimentação, elas são alimentadas diretamente pelo cabo USB.

Design compacto – Pesando apenas alguns gramas, essas pequenas unidades se encaixam perfeitamente no bolso ou na bolsa.

Qualidade WD dentro e fora – Projetada com o mesmo compromisso e com a qualidade que tornou a marca WD líder mundial no segmento.

Simplicidade “plug-and-play” – Basta conectá-la a uma porta USB e você estará pronto para usá-la.

[Show as slideshow]

[View with PicLens]

Security Leaders – Congresso, Exposição e Premiação de Líderes e Profissionais de Segurança da Informação e Risco

Hoje teve inicio o evento de Segurança da Informação que esta sendo realizado na Fecomercio, onde a INSPIRIT esta participando em dois estandes representando os fabricantes WatchGuard e ESET (NOD32). Mas antes de qualquer coisa o que é a Security Leaders:

“O Congresso Security Leaders é o primeiro evento do segmento de Segurança da Informação e Risco totalmente elaborado a partir de painéis de debates, com o objetivo de fomentar uma ampla discussão em torno dos desafios de negócios e as tendências em soluções e serviços aplicadas aos cenários empresariais.

Ao longo da programação, todos os painéis serão transmitidos ao vivo pela Internet, com espaço para interatividade e mediação da jornalista e diretora da Conteúdo Editorial, Graça Sermoud, além da participação de especialistas convidados.

Os debates ganham uma amplitude jamais vista no setor, ao valorizar a troca de experiências entre os painelistas, a plateia presencial e a plateia virtual.

Lançada pela revista Risk Report, a Premiação Security Leaders tem como objetivo valorizar os profissionais e executivos envolvidos com o tema e as práticas de sucesso que reforçam o uso de soluções e serviços nas grandes e médias empresas brasileiras.

O evento será realizado na Fecomercio em São Paulo, durante os dias 24 e 25 de novembro, e reunirá um público seleto de executivos (usuários, especialistas e fornecedores) interessados em debater a Segurança da Informação aplicada aos desafios de negócios.

O público alvo do Security Leaders é composto de executivos Vips, Presidentes, Vice-Presidentes, Diretores, Gerentes e Especialistas da área de Segurança da Informação e TI.

Oferecemos uma oportunidade única às empresas de produtos e serviços voltadas para o segmento de expor suas soluções, participar de vários painéis de debates e relacionar-se com clientes e prospects, atrelando a sua marca a um evento que valoriza o conteúdo e o amplo debate em torno de temas cada vez mais críticos para as empresas.”

Para mais informações acessar o site do evento: http://www.securityleaders.com.br

Uma palestra muito interessante que acabei não assistido era sobre Hackers, onde tive a participação de pessoas com vasta experiência no assunto e a troca de experiência é a melhor coisa do evento. Participei do painel sobre GRC (Governança, Ricos e Compliance) e gostei bastante do conteúdo. A plateia participou bastante fazendo perguntas e discutindo sobre o assunto, tínhamos também a participação de pessoas online que faziam perguntas também. Assim que terminou tivemos uma pausa para o almoço e também assim aproveitar para conhecer os estandes, novas tecnologias, etc.

No período da tarde aproveitei para passar nos estandes, pegar alguns brindes e participar dos próximos painéis que foram: Case Porto Seguro sobre assinatura digital de apólices, Tendências para 2011, Gestão de Identidades orientada aos processos de negócios, Segurança Web em cloud e controle de  Web 2.0 e para finalizar Segurança Publica na copa de 2014.

Hoje em dia temos dezenas em algumas empresas temos centenas de senhas para armazenar como, por exemplo:

• Servidores
• Banco de dados
• Switches
• Roteadores
• Firewalls
• Hardware em geral
• Softwares em geral

E todas essas senhas são armazenadas de forma insegura como em planilhas, arquivos de texto e ate mesmo sendo impressas (envelopes) e são compartilhadas por um grupo de administradores. E essa pratica tradicional traz consigo uma serie de questões:

• Armazenamento inseguro de senhas trazendo risco à segurança.
• Difícil controle das senhas Administrativas.
• Sem regras de controle de acesso e os controles internos se tornam frágeis.
• Não existe pratica de senha padrão; Politica de senhas.
• E não tem controle centralizado.

E a pergunta chave é: Como gerenciar todas essas senhas de forma segura e centralizada?

A primeira coisa a se fazer é definir a politica de senhas, é comum hoje em dia encontrar senha como, 123mudar, o nome da empresa, 123456, etc. Com a politica de senhas definida vamos ter uma senha “forte” com no mínimo oito caracteres onde eles deverão ter dois caracteres especiais no mínimo, números e letras maiúsculas e minúsculas. E a troca da senha devera ser feita a cada quatro meses por exemplo.

O armazenamento das senhas deve ser centralizado e por isso devemos tomar algumas medidas de segurança para garantir a disponibilidade e a segurança dessas informações.  Vamos começar pela disponibilidade, é necessário uma arquitetura de Alta Disponibilidade e backup agendado, cada um desses backups deve ser salvo em outro local e toda a informação deve ser criptografada com pelo menos 128 bits.

Para garantir a segurança no acesso a informação, podemos utilizar o próprio LDAP para importar as informações dos usuários e disponibilizar o acesso, exemplo, integramos a solução com LDAP e as senhas são enviadas diretamente pelo e-mail do usuário e caso ele esqueça ele pode informar o seu nome login e e-mail para que a solução faça a troca automático de senha já utilizando a politica de senha definida.  Para garantir mais um nível de segurança podemos usar dois fatores de autenticação:

• Uma senha única gerada automaticamente pela solução e enviada por e-mail
• Utilização de token

O próximo passo é definir o perfil de acesso à solução, vamos criar as regras de acesso e o workflow. È necessário criar alguns perfil de acesso como: Administrador da solução, administrador das senhas, um perfil para auditoria e o perfil de usuário que tem acesso somente às senhas compartilhadas. Quando um usuário precisa acessar um servidor, ele vai acessar a solução e solicitar a senha para o administrador e o mesmo tem que aprovar, em alguns casos é necessário a aprovação de dois administradores para liberação da senha. E o usuário tem um tempo para utilizar a senha, após vencer esse prazo a senha é trocada automaticamente. O administrador pode intervir e cancelar o uso da senha a qualquer hora, por exemplo, um outro usuário solicita a senha, mas como a senha esta em uso ele tem que esperar, so que o administrador da solução pode intervir e passar a senha para o outro.

Todas as informações e atividades executadas podem ser auditadas a qualquer momento, através do perfil de auditoria criado anteriormente. E para finalizar temos os relatórios, onde conseguimos visualizar toda a informação de forma resumida e com os gráficos para melhor analise. Para ajudar na segurança podemos usar os relatórios em compliance PCI DSS (http://pt.pcisecuritystandards.org/minisite/en/index.html) que são as melhores praticas na segurança dos dados.

[Show as slideshow]

[View with PicLens]

Hoje em dia as informações são 100% digitais e em qualquer lugar usamos o computador para armazenar informações, o objetivo disso é tornar a busca de informações mais prática, mais ágil, com menos custos de impressões desnecessárias, etc. E em meio a tantas vantagens no uso da informação digital, é preciso garantir a Segurança da Informação, já que hoje em dia trabalhamos em um mundo globalizado, onde conseguimos acessar qualquer coisa através da internet, baixar arquivos, música, vídeos… Temos que proteger as informações para que não haja acessos ou cópias indevidas, espionagem industrial, acidentes por falha humana, acidentes naturais, entre outros.

Para garantir a Segurança da Informação temos que tratar as ameaças e as vulnerabilidades.

Os três pilares básicos da Segurança da Informação são:

1. Confidencialidade
2.  Integridade
3.  Disponibilidade.

Para garantir que a informação não seja acessada ou alterada e esteja acessível sempre que solicitada, precisamos trabalhar nesses pilares para garantir que não haja rachaduras.

Para garantir esses três pilares precisamos de algumas ferramentas como firewall, AntiSpam, antivírus, filtro de conteúdo, controle de acesso físico e remoto, gerencia de senhas, garantir a disponibilidade dos equipamentos e aplicações.

A primeira coisa a fazer é proteger o perímetro onde a informação está armazenada, fisicamente e logicamente. As soluções da Actividentity podem ser usadas no controle do acesso físico e lógico com um único equipamento:

• O acesso lógico é protegido através do token – pode ser adicionado nos sistemas operacionais para se ter mais um nível de segurança.
• O acesso físico é controlado através de crachás – que podem ser usados no controle do acesso físico ao prédio, à empresa, ao departamento e no controle de ponto.

Ainda no perímetro, temos o firewall que vai proteger logicamente as informações contra roubo, acesso não autorizado, disponibilidade e com a VPN garantimos o acesso externo às informações. Para qualquer acesso às informações é preciso criar regras e todos os acessos são documentados e monitorados. E um bom firewall para essa missão é o WatchGuard.

Um dos meios de comunicação mais utilizado atualmente é o e-mail, e o AntiSpam é uma ferramenta essencial de apoio a este tipo de comunicação. Além do bloqueio de e-mails indesejados, o AntiSpam é usado para impedir que informações confidencias saiam da empresa, são criadas palavras chaves e cada palavra tem um peso. Caso sejam identificados e-mails com informações confidencias, o e-mail é bloqueado e o administrador é alertado.

O MailMarshal SMTP é uma ótima solução de AntiSpam e mundialmente conhecida. E para ter uma proteção mais eficiente é possível escolher entre três antivírus para filtrar as informações, impedindo assim que e-mails com vírus cheguem aos usuários. Após a instalação é possível notar uma redução de 80 a 90% de SPAM, muitos benefícios são notados:

1. Aumento de produtividade
2. Informações confidenciais são mantidas dentro da empresa
3. Número de infecções reduzidas

O e-mail é apenas a primeira ação para impedir que a informação não saia da empresa, o próximo passo é controlar o acesso na web e nos instant messengers. Para isso o WebMarshal é utilizado impedindo que os usuários acessem webmails, sites de relacionamento, sites de distração, vídeos online, jogos, etc. Cada empresa tem sua política de acesso, mas o principal é controlar o acesso e deixar claro para o usuário que as informações da empresa são da empresa. O MSN, skype, googletalk, yahoo são muito usados profissionalmente nas empresas, mas na maioria acabam sendo utilizados para fins particulares. Por isso é necessário monitorar ou bloquear o acesso desses aplicativos. Podemos também evitar que as informações saiam da empresa bloqueando a gravação de mídias removíveis (CDs, DVDs, USBs), o que também protege a empresa de infecções de vírus.

Precisamos agora garantir a disponibilidade e a gerencia de todas as senhas da corporação. A solução para garantir a disponibilidade dos devices é o OpManager e das aplicações é o ApplicationManager. Além da disponibilidade podemos realizar um capacity plan, configurar alertas para trabalharmos pró ativamente, notificações que podem ser enviadas por mensagens SMS, dashboard personalizados, relatórios gerenciais, etc.

A configuração básica é a monitoramento do CPU, Disco e Memória. Esses três pontos são essenciais, pois conseguimos definir se um servidor precisa de mais espaço em disco para que não tenhamos trava do sistema por falta de espaço. No caso do processador, identificamos se a mesmo esta trabalhando no limite ou por algum motivo o processamento está muito alto, nesse caso, pode-se colocar o alerta, por exemplo, para quando o processador chegar em 90% – no caso do processador, pode acontecer um pico esperado de processamento, então definimos que o alerta deve ser enviado após atingir 3 vezes o valor estipulado

Dependendo da necessidade, é possível monitorar, serviços, falhas de rede, eventos, logs do sistema, processos, etc. Qualquer device que tenha IP pode ser monitorado – com a MIB é possível monitorar absolutamente toda a rede – costumamos brincar que se a cafeteira tivesse na rede, conseguiríamos monitorar quantos cafés, chocolates, chás a máquina fez e caso acabe algum item ele avisaria.

Para as aplicações, algumas coisas mudam, pois cada aplicativo tem informações específicas. Por exemplo, no caso do Oracle existem monitores próprios para esta aplicação. Um monitor interessante é o HTTP Sequence, neste monitor você faz o acesso ao seu site de E-commerce e faz todo acesso de busca, pesquisa de produto, adiciona ao carrinho, faz o login no site, adiciona o pedido e finaliza. Toda a seqüência é gravada e monitorada e com isso você consegue identificar onde esta tendo mais acesso, onde o acesso está mais lento e achar a causa raiz do problema.

E por fim, temos a gerencia das senhas com a solução PasswordManager, que vai nos ajudar com essa difícil tarefa de compartilhar senhas. Além da gerencia da senha, é necessário estabelecer uma política de senha para evitar aquelas famosas senhas de quatro a seis caracteres com somente números (123456) ou somente letras (nomedaempresa). Clique aqui para ver o artigo completo sobre como gerenciar senhas.

A revista especializada Maximum PC realizou vários testes com os AV mais usados atualmente. E o NOD32 se destacou entre os demais e o que eu mais gostei foi tempo de boot, em comparação aos seus maiores concorrentes foi o melhor.

Hoje em dia esse tipo de informação é muito importante por que além da segurança que o AV proporciona, ele não deixa a maquina uma “carroça”. Estou usando o NOD32 faz mais de seis meses e tenho gostado bastante, tem se mostrado muito eficiente.

Entre as principais características do produto a que eu mais gosto é que o NOD32 foi feito para ser rápido e consumir menos recurso possível.

Considerações finais da Maximum PC:

“What became all too obvious during our comparative evaluation of AV suites is that a strict appraisal of feature lists, and even performance numbers, tells just part of the story. Only by using these apps in a real-world way were we able to conclude, for example, that ESET Smart Security remains a favorite, that the free Microsoft Security Essentials is a great solution for cheapskates, that McAfee has redeemed itself, and that Trend Micro Internet Security Pro just plain sucks.”