Pastelaria Digital

Posts Tagged ‘segurança da informação’

Security Leaders – Congresso, Exposição e Premiação de Líderes e Profissionais de Segurança da Informação e Risco

Hoje teve inicio o evento de Segurança da Informação que esta sendo realizado na Fecomercio, onde a INSPIRIT esta participando em dois estandes representando os fabricantes WatchGuard e ESET (NOD32). Mas antes de qualquer coisa o que é a Security Leaders:

“O Congresso Security Leaders é o primeiro evento do segmento de Segurança da Informação e Risco totalmente elaborado a partir de painéis de debates, com o objetivo de fomentar uma ampla discussão em torno dos desafios de negócios e as tendências em soluções e serviços aplicadas aos cenários empresariais.

Ao longo da programação, todos os painéis serão transmitidos ao vivo pela Internet, com espaço para interatividade e mediação da jornalista e diretora da Conteúdo Editorial, Graça Sermoud, além da participação de especialistas convidados.

Os debates ganham uma amplitude jamais vista no setor, ao valorizar a troca de experiências entre os painelistas, a plateia presencial e a plateia virtual.

Lançada pela revista Risk Report, a Premiação Security Leaders tem como objetivo valorizar os profissionais e executivos envolvidos com o tema e as práticas de sucesso que reforçam o uso de soluções e serviços nas grandes e médias empresas brasileiras.

O evento será realizado na Fecomercio em São Paulo, durante os dias 24 e 25 de novembro, e reunirá um público seleto de executivos (usuários, especialistas e fornecedores) interessados em debater a Segurança da Informação aplicada aos desafios de negócios.

O público alvo do Security Leaders é composto de executivos Vips, Presidentes, Vice-Presidentes, Diretores, Gerentes e Especialistas da área de Segurança da Informação e TI.

Oferecemos uma oportunidade única às empresas de produtos e serviços voltadas para o segmento de expor suas soluções, participar de vários painéis de debates e relacionar-se com clientes e prospects, atrelando a sua marca a um evento que valoriza o conteúdo e o amplo debate em torno de temas cada vez mais críticos para as empresas.”

Para mais informações acessar o site do evento: http://www.securityleaders.com.br

Uma palestra muito interessante que acabei não assistido era sobre Hackers, onde tive a participação de pessoas com vasta experiência no assunto e a troca de experiência é a melhor coisa do evento. Participei do painel sobre GRC (Governança, Ricos e Compliance) e gostei bastante do conteúdo. A plateia participou bastante fazendo perguntas e discutindo sobre o assunto, tínhamos também a participação de pessoas online que faziam perguntas também. Assim que terminou tivemos uma pausa para o almoço e também assim aproveitar para conhecer os estandes, novas tecnologias, etc.

No período da tarde aproveitei para passar nos estandes, pegar alguns brindes e participar dos próximos painéis que foram: Case Porto Seguro sobre assinatura digital de apólices, Tendências para 2011, Gestão de Identidades orientada aos processos de negócios, Segurança Web em cloud e controle de  Web 2.0 e para finalizar Segurança Publica na copa de 2014.

CNASI – Congresso Latino Americano de Auditoria de TI, Segurança da Informação e Governança

Hoje foi o primeiro dia do Congresso e tive a oportunidade de participar, e vou participar dos outros dois dias também. Quem precisar de mais informações pode acessar o site www.cnasi.com.br/training.

O evento esta sendo realizado no Centro de convenções Frei Caneca. Como tenho inglês toda terça e quinta, sai cedo hoje para fazer o inglês e logo em seguida ir para congresso, o Helder de Souza ira comigo nesse evento. Mas por causa do transito o Helder atrasou e saímos tarde da INSPIRIT e chegamos um pouco atrasado, mas nada de mais. Obrigado Helder…

Os eventos são os seguintes:

• 03/08/2010 – Sistema de Gestão em Segurança da Informação – Ministrado por Denny Roger – Diretor – EPSEC
• 04/08/2010 – Ferramentas de Segurança de Informações – Ministrado por Duval Costa – Instrutor – IDETI
• 05/08/2010 – Meu niver – Governança e Gestão em Segurança da Informação – Ministrado por Andrea Thome – Executive Director – Ernst & Young

Chegamos la e fomos pegar as credencias e fomos direto pra sala, eu para Segurança e o Helder para Compliance. Logo foi o coffe break (bem fraquinho). Retornamos para a sala e a próxima parada é o almoço, aproveitamos para conhecer o local e às 13h30min voltamos para o congresso.

O curso é muito bom, o Denny demonstrou domínio e muita experiência nos assuntos abordados. O pessoal trocou experiência e discutimos vários assuntos. Amanhã é sobre Ferramentas de Segurança…

A palestra de Ferramentas de Segurança foi super tecnica, mostrando detalhes como os cabeçalhos dos pacotes e como os ataques são feitos. Relembrei muita coisa rsrs Falou das Ferramentas de Segurança mais usada nas empresas e como elas funcionam.

Na parte da manha escovamos bits e na parte da tarde falamos mais das tecnologias: AV, FW, IDS/IPS, Proxy, Antispam, Criptografia, Filtro de conteúdo. E o Duval comenta de sua experiência e nos tambem, muito boa a palestra. Estouramos ate o tempo da palestra por que tinha muito assunto ainda rsrs Amanha é Governança e Gestão em Segurança da Informação.

Conteudo do curos:

Sistema de Gestão em Segurança da Informação
Horário(s):
03/08/2010 -  09:00 às 12:00 – SALA 02
03/08/2010 -  13:30 às 17:30 – SALA 02

Visão geral da NBR ISO/IEC 27001
• Requisitos para o Sistema de Gestão da Segurança da Informação
• Modelo Plan-Do-Check-Act aplicado ao Sistema de Gestão da Segurança da Informação
• Estabelecendo o Sistema de Gestão da Segurança da Informação
• Política de Segurança da Informação
• Diretrizes da política de segurança da informação
• Objetivos da política de segurança da informação
• Definição de funções dos colaboradores da organização
• Classificação da informação
• Definição de responsabilidades
• Medidas disciplinares
• Termo de responsabilidade
• Termo de sigilo
• Gestão de Risco
• Planejamento para a implementação da ISO/IEC 27001
• Avaliação do nível de maturidade do Sistema de Gestão da Segurança da Informação
• Benchmarking (comparação com a situação das melhores empresas)
• Implementando a NBR ISO/IEC 27001 e a NBR ISO/IEC 20000-1 juntas

Ferramentas de Seguranca de Informações
Horário(s):
04/08/2010 -  09:00 às 12:00 – SALA 03
04/08/2010 -  13:30 às 17:30 – SALA 03

Sistemas IDS / IPS
Segurança de Sistemas de Mensageria
Outros Processos e Sistemas de Segurança de Informações

Tópicos a serem abordados:

• Introdução à Segurança de Informações
• Protocolos de Comunicação de Dados
• Sistemas Criptográficos
• Sistemas Antivírus
• Sistemas de Network Firewalls e VPNs
• Sistemas de Application Firewalls
• Sistemas IDS / IPS

Instrutor(es)/Palestrante(s):
Duval A. Costa,  consultor , IDETI – Treinamento    Duval A. Costa
- Instrutor – IDETI Treinamentos
- Consultor técnico na área de Segurança de Informações
- Professor universitário, palestrante e instrutor na área de Tecnologia e Segurança de Informações
- Mestre em Engenharia de Computação – IPT/USP (concentração em Redes de Computadores)
- dac@ideti.com.br

Governança e Gestão em Segurança da Informação
Horário(s):
05/08/2010 -  09:00 às 12:00 – SALA 04
05/08/2010 -  13:30 às 17:30 – SALA 04

A palestra visa demonstrar a aplicação dos conceitos de Governança ao tema Segurança da Informação alinhados aos padrões de mercado como o ISO 27002 e CobIT e Information Security Governance – Guidance for Boards of Directors and Executive Management
do ITGI.
Adicionalmente os Elementos Essenciais da Governança de Segurança da Informação como a Gestão de Riscos, Gestão de Desempenho, Alinhamento Estratégico, Gestão de Recursos e Entrega de Valor serão explorados.

Tópicos a serem abordados:

• Conceitos de Governança em Segurança da Informação
• Governança X Gestão de Segurança da Informação
• Direcionadores da Governança em Segurança da Informação
• Estrutura Organizacional de Governança em Segurança da Informação
• O papel das métricas e indicadores de desempneho em Governança em Segurança da Informação
• Desafios da Governança em Segurança da Informação

Instrutor(es)/Palestrante(s):
Andrea Thome,  EXECUTIVE DIRECTOR , Ernst & Young    Executive Director de Risk Advisory Services da Ernst & Young, tem mais de 13 anos de experiência em gestão de segurança da informação e de TI. É especialista em padrões de segurança diversos como ISO/IEC 27002, ISO/IEC 27001, CobIT e Information Security Governance, dentre outros. É certificada pelo BSI como Auditor Líder BS 7799 e pelo ISACA como CISM e CobIT Foundations. É professora no ITA e IBTA.

Na grande maioria das empresas, existe uma grande demanda em todas as áreas. O departamentos de TI, está lutando com todas as forças para reduzir o número de solicitações e assim aumentar a produtividade de seus analistas. Com isso, conseguimos mostrar indicadores aos nossos diretores, que somos capazes de melhorar todos os processos existentes. Muitos dos gestores e analistas, já perceberam a grande importância da criação de uma base de conhecimento, para que o usuário final seja capaz de ler, entender e aplicar essa resolução nos problemas mais comuns de seu dia-a-dia.

É fácil entender a importância da redução das requisições mais simples da organização. Com menos chamados e sem ficar apagando incêndios, podemos pensar em melhorias e começar a usar nossa propriedade intelectual com atividades mais úteis. Como por exemplo: pesquisando maneiras de evitar falhas e minimizar erros.

Não agrega nada aos analistas e nem a organização, a existência de chamados como: configuração de outlook, proxy, mouse ou teclado. Tudo isso, deve estar disponível ao usuário final na base de conhecimento. Todos perdem com essas atividades de escala menos importante.

Mas a base de conhecimento, não é a única maneira de reduzir o número de atividades inúteis e pouco relevantes. Hoje, podemos fazer isso com as senhas também. A cerca de 4 anos atrás, o grande número de chamados referente a reset de senha eram cerca de 55%. Não seria um problema para a equipe de Helpdesk, se não fosse o volume desse tipo de requisição. Atualmente, podemos contar com ferramentas, que facilitam o reset de senha, mas ainda assim, não é vantagem manter o manejo das senhas e contas dos usuários em nossas mãos.

Para resolver esse problema, contamos hoje com uma ferramenta chamada ADSerlfService. Com instalação fácil e sua interface amigável, podemos liberar ao usuário final o poder de desbloquear e resetar sua própria senha. O usuário, configura perguntas de segurança, como por exemplo: o nome de seu melhor amigo, o nome de solteira de sua mãe, sua cor favorita e assim por diante. Após essas informações cadastradas, o próprio poderá fazer o reset de sua senha e até mesmo debloquear sua conta, no caso de bloqueio por exceder o número de tentativas.

Veja as telas abaixo:

A solução tem uma função chamada GINA. Sua funcionalidade é liberar na tela de login do Windows botões para reset e desbloqueio de conta, caso o usuário não consiga logar no domínio.

Veja abaixo as imagines.

1. No XP.

2. No Vista.

Usando minha experiência, posso afirmar que obter uma solução que permite um relacionamento direto com o usuário, facilita o processo e diminui o número de chamados significativamente. Colocar nas mãos do usuário esse tipo de responsabilidade, não é nenhum absurdo. Empresas como: google, yahoo e submarino já fazem isso. Se usarmos esse modelo para nossos usuários internos, o resultado só poderia ser um: O melhor aprovamento de nossa equipe!!!

Hoje em dia as informações são 100% digitais e em qualquer lugar usamos o computador para armazenar informações, o objetivo disso é tornar a busca de informações mais prática, mais ágil, com menos custos de impressões desnecessárias, etc. E em meio a tantas vantagens no uso da informação digital, é preciso garantir a Segurança da Informação, já que hoje em dia trabalhamos em um mundo globalizado, onde conseguimos acessar qualquer coisa através da internet, baixar arquivos, música, vídeos… Temos que proteger as informações para que não haja acessos ou cópias indevidas, espionagem industrial, acidentes por falha humana, acidentes naturais, entre outros.

Para garantir a Segurança da Informação temos que tratar as ameaças e as vulnerabilidades.

Os três pilares básicos da Segurança da Informação são:

1. Confidencialidade
2.  Integridade
3.  Disponibilidade.

Para garantir que a informação não seja acessada ou alterada e esteja acessível sempre que solicitada, precisamos trabalhar nesses pilares para garantir que não haja rachaduras.

Para garantir esses três pilares precisamos de algumas ferramentas como firewall, AntiSpam, antivírus, filtro de conteúdo, controle de acesso físico e remoto, gerencia de senhas, garantir a disponibilidade dos equipamentos e aplicações.

A primeira coisa a fazer é proteger o perímetro onde a informação está armazenada, fisicamente e logicamente. As soluções da Actividentity podem ser usadas no controle do acesso físico e lógico com um único equipamento:

• O acesso lógico é protegido através do token – pode ser adicionado nos sistemas operacionais para se ter mais um nível de segurança.
• O acesso físico é controlado através de crachás – que podem ser usados no controle do acesso físico ao prédio, à empresa, ao departamento e no controle de ponto.

Ainda no perímetro, temos o firewall que vai proteger logicamente as informações contra roubo, acesso não autorizado, disponibilidade e com a VPN garantimos o acesso externo às informações. Para qualquer acesso às informações é preciso criar regras e todos os acessos são documentados e monitorados. E um bom firewall para essa missão é o WatchGuard.

Um dos meios de comunicação mais utilizado atualmente é o e-mail, e o AntiSpam é uma ferramenta essencial de apoio a este tipo de comunicação. Além do bloqueio de e-mails indesejados, o AntiSpam é usado para impedir que informações confidencias saiam da empresa, são criadas palavras chaves e cada palavra tem um peso. Caso sejam identificados e-mails com informações confidencias, o e-mail é bloqueado e o administrador é alertado.

O MailMarshal SMTP é uma ótima solução de AntiSpam e mundialmente conhecida. E para ter uma proteção mais eficiente é possível escolher entre três antivírus para filtrar as informações, impedindo assim que e-mails com vírus cheguem aos usuários. Após a instalação é possível notar uma redução de 80 a 90% de SPAM, muitos benefícios são notados:

1. Aumento de produtividade
2. Informações confidenciais são mantidas dentro da empresa
3. Número de infecções reduzidas

O e-mail é apenas a primeira ação para impedir que a informação não saia da empresa, o próximo passo é controlar o acesso na web e nos instant messengers. Para isso o WebMarshal é utilizado impedindo que os usuários acessem webmails, sites de relacionamento, sites de distração, vídeos online, jogos, etc. Cada empresa tem sua política de acesso, mas o principal é controlar o acesso e deixar claro para o usuário que as informações da empresa são da empresa. O MSN, skype, googletalk, yahoo são muito usados profissionalmente nas empresas, mas na maioria acabam sendo utilizados para fins particulares. Por isso é necessário monitorar ou bloquear o acesso desses aplicativos. Podemos também evitar que as informações saiam da empresa bloqueando a gravação de mídias removíveis (CDs, DVDs, USBs), o que também protege a empresa de infecções de vírus.

Precisamos agora garantir a disponibilidade e a gerencia de todas as senhas da corporação. A solução para garantir a disponibilidade dos devices é o OpManager e das aplicações é o ApplicationManager. Além da disponibilidade podemos realizar um capacity plan, configurar alertas para trabalharmos pró ativamente, notificações que podem ser enviadas por mensagens SMS, dashboard personalizados, relatórios gerenciais, etc.

A configuração básica é a monitoramento do CPU, Disco e Memória. Esses três pontos são essenciais, pois conseguimos definir se um servidor precisa de mais espaço em disco para que não tenhamos trava do sistema por falta de espaço. No caso do processador, identificamos se a mesmo esta trabalhando no limite ou por algum motivo o processamento está muito alto, nesse caso, pode-se colocar o alerta, por exemplo, para quando o processador chegar em 90% – no caso do processador, pode acontecer um pico esperado de processamento, então definimos que o alerta deve ser enviado após atingir 3 vezes o valor estipulado

Dependendo da necessidade, é possível monitorar, serviços, falhas de rede, eventos, logs do sistema, processos, etc. Qualquer device que tenha IP pode ser monitorado – com a MIB é possível monitorar absolutamente toda a rede – costumamos brincar que se a cafeteira tivesse na rede, conseguiríamos monitorar quantos cafés, chocolates, chás a máquina fez e caso acabe algum item ele avisaria.

Para as aplicações, algumas coisas mudam, pois cada aplicativo tem informações específicas. Por exemplo, no caso do Oracle existem monitores próprios para esta aplicação. Um monitor interessante é o HTTP Sequence, neste monitor você faz o acesso ao seu site de E-commerce e faz todo acesso de busca, pesquisa de produto, adiciona ao carrinho, faz o login no site, adiciona o pedido e finaliza. Toda a seqüência é gravada e monitorada e com isso você consegue identificar onde esta tendo mais acesso, onde o acesso está mais lento e achar a causa raiz do problema.

E por fim, temos a gerencia das senhas com a solução PasswordManager, que vai nos ajudar com essa difícil tarefa de compartilhar senhas. Além da gerencia da senha, é necessário estabelecer uma política de senha para evitar aquelas famosas senhas de quatro a seis caracteres com somente números (123456) ou somente letras (nomedaempresa). Clique aqui para ver o artigo completo sobre como gerenciar senhas.