quarta-feira, 28 de novembro de 2007

Computer Security Day

Essa eu fui saber hoje, com 19 anos de atraso.....mas nunca é tarde.
O Computer Security Day é um evento anual de abrangência mundial. Ele foi criado em 1988 com a finalidade de ajudar na conscientização da importância das questões relacionadas com segurança. O objetivo é fazer com que as pessoas se lembrem de proteger seus computadores e informações.
A cada ano um tema é selecionado e em 2007 o escolhido foi "Taking action" cuja mensagem é que devemos ser ativos e pró-ativos para que a segurança seja efetiva.

Fonte: http://www.computersecurityday.org/
Dica: Paulo Rivéro

terça-feira, 27 de novembro de 2007

Norma 25999 X Roteiro de Projeto

Recentemente analisei uma solicitação de proposta para estruturação da Gestão da Continuidade de Negócios de uma empresa de médio - grande porte.
De imediato uma palavra me despertou atenção: Gestão. Aquela era uma solicitação para implantação de um processo de Gestão através de um projeto executado por uma consultoria. Ela não queria o desenvolvimento e detalhamento do Plano de Continuidade, ela queria o processo de Gestão...
E minha atenção continuou atiçada à medida que a solicitação era detalhada. A questão era o quanto ela era detalhada sem que isto significasse coerência na sua concepção.
Ao fim de minha análise e após uma rápida pesquisa concluí que a fonte do problema foi a utilização da Norma BS 25999 como base da estrutura do projeto detalhado na solicitação.
A norma BS 25999 é uma excelente referência para um processo de Gestão de Continuidade de Negócios, mas ela não é um roteiro nem apresenta um guia para sua implantação.
Um processo de gestão compreende mecanismos de planejamento, programação, controle, auditoria, treinamento, conscientização, etc. Este conjunto não deve ser objeto de um único projeto pois cada um possui o seu tempo. Um projeto pressupõe atividades com início e fim determinados. Um processo de gestão é contínuo.
Utilizar a norma como referência para a estruturação de um projeto é válido e útil.
Utilizá-la como um roteiro de projeto é um equívoco.

segunda-feira, 26 de novembro de 2007

Muito Seguro

Viajo para o exterior com alguma freqüência e não tenho como hábito levar dinheiro em espécie (meus destinos são grandes cidades). Ao chegar ao local de destino procuro um caixa eletrônico e saco dinheiro utilizando o cartão do meu Banco.
Neste mês de novembro de 2007 fui para Buenos Aires e lá descobri que meu Banco havia criado um novo procedimento, dito de segurança. De acordo com este novo controle eu deveria ter comunicado ao Banco que estava indo para o exterior e que lá iria utilizar meu cartão.
Ledo engano. Este processo é um equívoco disfarçado de processo de segurança.
Resumindo, foi criado um processo de segurança, tão seguro que até eu mesmo, o próprio correntista não consegui sacar dinheiro.
Os especialistas de segurança precisam antes de tudo serem especialistas de negócios.
Os bons profissionais não podem permitir que a incompetência seja acobertada por uma pseudo segurança.

A TRAGÉDIA DA FONTE NOVA

Triste domingo, dia de futebol, dia de desrespeito às boas práticas da segurança do grande público.

Este postagem tem alguns dias de atraso. Era para ter sido escrita na quarta-feira, 22 de novembro de 2007. Neste dia me deparei às 07:00h da manhã com uma grande fila em torno do Clube de Regatas do Flamengo. Alguem teve a idéia de trocar entradas para um jogo de futebol com grande demanda de público por latas de um cereal matinal.

Nenhum problema se tal iniciativa tivesse sido planejada considerando as boas práticas da gestão de multidões. Um evento público de grande escala com venda de ingressos deve inicialmente ter seu processo de venda planejado considerando a segurança e conforto do seu público. Uma venda concentrada em poucos pontos é errado. Ao ver aquela fila, pensei de imediato: isso vai dar problema....E deu.

Eu não escrevi sobre este assunto na quarta-feira. Mas fiquei pensando, temos que evoluir na gestão de eventos de grande porte, em especial no que diz respeito a gestão de multidão.

No domingo este assunto voltou às manchetes, infelizmente com notícias mais tristes. Torcedores morreram no Estádio da Fonte Nova. As notícias ainda não são esclarecedoras, mas é certo que precisamos dedicar mais atenção ao conforto e segurança. Os estádios com assentos foi uma grande evolução, mas deve ser rigidamente coibida a permanência de público nas áreas de escape e circulação. Os tercedores e administradores devem observar que a manutenção destas áreas desimpedidas é cruscial para que em qualquer emergência as medidas mitigadoras possam ser utilizadas a contento. Este é apenas um exemplo, vários outros procedimentos devem ser adotados e divulgados para o público.

Segurança é uma questão cultural, não iremos atingir um patamar razoável se medidas educativas e coercitivas não forem adotadas.

E isto é para o bem de todos.

ENEM 2007

ENEM 2007
UM MAU EXEMPLO DE SEGURANÇA DA INFORMAÇÃO

A segurança da informação é caracterizada por três atributos clássicos, e de longa data conhecidos: confidencialidade, integridade e disponibilidade. A edição do ENEM de 2007, quando da divulgação dos resultados, conseguiu derrubar estes três pilares de uma só vez. Strike!!!!
Confidencialidade
Foi divulgado (G1 no dia 21/11, as 16:58h) que no dia 21 de novembro hackers conseguiram acesso a bases de dados com os resultados de 2007. A assessoria de imprensa do INEP divulgou que o acesso havia sido feito a uma base de testes. Fica uma dúvida e uma certeza. A certeza é que o acesso indevido foi efetivamente feito. A dúvida é se a base de dados era realmente uma base de testes e sendo de testes, quais dados eram reais e quais eram fictícios?
Integridade
Neste acesso indevido houve alguma perda de integridade? Para os candidatos sempre haverá uma ponta de dúvida.
Disponibilidade
No dia 23 de novembro, data da divulgação das notas, o site do ENEM ficou praticamente indisponível o dia inteiro. Não bastasse isto para acesso sua nota o candidato tinha que informar seu CPF. Mas, o CPF não era uma informação obrigatória para a inscrição de um candidato. Ou seja, quem se inscreveu e não tinha, ou não informou, o CPF não tinha como ter acesso à sua nota.
A Central de Atendimente, disponível por um "0800" divulgado no site do ENEM, informava prontamente que funcionava 24 horas, 7 dias por semana, mas na verdade não funcionava, pois a opção "falar com o atendente" só funciona de segunda a sexta. Ou seja o resultado foi divulgado numa sexta-feira, através de um site que ficou fora do ar, que ao ficar disponível exige uma informação que não era obrigatória, tendo como suporte uma central de atendimento que somente viria a funcionar 48 horas mais tarde.

sábado, 17 de novembro de 2007

Bow Tie

O método BowTie é uma poderosa ferramenta para a análise e gestão de riscos complexos. Este método foi adaptado pela Shell nos anos 90 e hoje é largamente utilizado por empresas da área de energia e transporte dentre outras. O esquema acima sintetisa os principais elementos deste método.

Mensagem de Início

Este blog tem como finalidade ser um ponto de encontro e reflexão sobre assuntos relacionados com a segurança de negócios.