Recentemente foi publicado pelo Governo Britânico, a lista atualizada das 15 principais ameaças consideradas para os próximos meses.

Interessante comparar o tipo de visão que um país como a Inglaterra tem em relação ao nosso ambiente…

Veja aqui o documento original: http://download.cabinetoffice.gov.uk/nss/nss-factsheet2.pdf

São Paulo I 29 de setembro de 2010 – Um novo algoritmo capaz de desenvolver padrões para detectar ataques à rede e projetar o bloqueio com até 50% mais velocidade do que os já existentes foi desenvolvido pelo cientista brasileiro Breno Silva, consultor de segurança da IBM Brasil. Trata-se de um algoritimo pattern-matching para busca de padrões em superalfabetos, especialmente para padrões pequenos, capaz de identificar com mais eficiência invasões na web.

O objetivo é melhorar o controle de acesso aos dados de grande valor para uma organização, preservando sua confidencialidade, disponibilidade e integridade. Para atingir esse nível de segurança da rede, o especialista utiliza alguns recursos, como, por exemplo, os algoritmos.

A ferramenta é usada para identificar padrões numa grande quantidade de dados, detectando e prevenindo possíveis ataques na rede, por meio da comparação dos sistemas em busca de similaridades e respostas.

Breno Silva faz parte de um grupo que conta com o apoio do Departamento de Defesa do governo americano para estudo e desenvolvimento de maneiras mais inteligentes de detectar ataques em sistemas privados. Essa criação alcançou um patamar mais confiável e eficaz, representando uma grande evolução na tecnologia e na segurança da informação.

Isto porque identifica ataques à rede que antes poderiam passar pelo sistema sem serem notados. “Este algoritmo pode ser aplicado também na biologia e na física computacionais, no processamento de imagens, no processamento de fala e, futuramente, até mesmo em redes smart-grid”, explica o cientista.

A seguir são descreitas reações comuns em crianças após um desastre ou evento traumático.

Do nascimento até dois anos: crianças em idade pré-verbal que experimentam um trauma não consegue descrever o evento ou seus sentimentos. Entretanto, podem reter frações de memórias, sons ou cheiros. Os bebês podem reagir ao trauma, ficando irritados, chorando mais do que o habitual ou querendo ser segurado e acariciado. A maior influência sobre as crianças desta idade é a forma como os pais vão lidar com a situação. Como as crianças envelhecem, as reações poderão envolver elementos fora do contexto traumático ocorrido há vários anos no passado e que parece ter sido esquecido.

Idade Pré-escolar: de 3 a 6 anos. Crianças nesta fase muitas vezes se sentem indefesas e impotentes diante de um acontecimento impressionante. Devido à sua idade e tamanho, eles sentem-se incapazes de se proteger a si mesmas ou pessoas próximas. Como resultado, eles sentem intenso medo e insegurança sobre a separação dos responsáveis. As crianças nesta fase não concebem o conceito de perda permanente. Eles podem ver as consequências como sendo reversíveis ou constantes. Nas semanas seguintes a um evento traumático, algumas atividades  podem reviver o incidente ou a catástrofe sofrida.

Fase Escolar: de 7 a 10 anos. A criança nesta idade consegue compreender a permanência de perda. Algumas crianças tornam-se intensamente preocupados com os detalhes de um evento traumático e deseja falar sobre isso continuamente. Essa preocupação pode interferir com a concentração da criança na escola, refletindo-se na degradação do seu desempenho escolar. Na escola, as crianças podem ouvir informações incorretas dos seus amigos. Elas também podem exibir uma ampla gama de emoções, variando de tristeza, medo generalizado, ou medos específicos de que o desastre se repita, a culpa sobre a ação ou omissão durante o desastre, a raiva sobre não evitar o evento ou fantasias de se tornar um salvador.

Pré-adolescência para a adolescência: de 11 a 18 anos. Quando as crianças crescem, desenvolvem uma compreensão mais sofisticada de um desastre. Suas respostas são mais parecidas com a reação dos adultos. Os adolescentes podem envolver-se em situações de perigo ou comportamentos de risco, tais como a condução imprudente, álcool ou uso de drogas. Alguns pode desenvolver o medo de sair de casa e evitar os anteriores níveis de atividades. Grande parte da adolescência é focado em sair para o mundo. Após um trauma, a visão do mundo pode parecer mais perigoso e inseguro. Um adolescente pode sentir-se oprimido por emoções intensas e ainda se sente incapaz de discuti-los com os outros.

Fonte: FEMA – www.fema.gov

Tradução: Ricardo Giovenardi

Ao longo dos últimos anos, tenho percebido a redução cada vez maior das atividades de consultoria em serviços de segurança de dados e sistemas, substituídos por aplicativos e “appliances” cada vez mais sofisticados.

Nada mais natural, considerando-se que a evolução da tecnologia permite que sejam criados mecanismos automatizados para avaliação, monitoramento e gestão de ambientes.

Entretanto, esta modernização acarreta um problema recorrente quando falamos em implementação de tecnologia em uma atividade: o que fazer com os profissionais, que estudaram, treinaram e se capacitaram para uma função que passa a ser realizada por um equipamento ?

A tendência óbvia, nesses casos, é das empresas comprarem equipamentos para substituírem mão-de-obra: ganham produtividade, escalabilidade e controle. Os equipamentos acabem ampliando a capacidade de gestão e controle, sem os custos sociais que acompanhariam a contratação de mais funcionários.

Na verdade, caberá ao profissional compreender as mudanças no seu ambiente de trabalho, buscando se atualizar antecipando as demandas corporativas que deverão surgir.

Se antigamente falávamos ao profissional de Segurança de Dados e Sistemas, sobre assuntos como Análise de Vulnerabilidades, Política de Acesso e Classificação de Informação dentre outros, passaremos a falar sobre Análise de Riscos, Política de Segurança e Análise de Impacto nos Negócios.

Os crescentes requisitos da sociedade em termos de transparência e controle de recursos que utilizam ou que gerenciam fundos de terceiros, acabam por se manifestar na implementação de diferentes mecanismos de gestão e controle, não apenas de dados e sistemas, mas dos próprios processos geradores das informações que são seus insumos.

Nisso reside a importância do profissional de Segurança desenvolver sua visão do seu trabalho, permitindo-se evoluir, não apenas profissionalmente, mas pessoalmente, incorporando as exigências de mudanças capazes de manter o controle exigido pelo mercado, na sua própria atitude.

E para obter essa rápida adequação, o Profissional de Seguranção não precisar “reinventar a roda”, uma vez que vai encontrar nos conceitos de Governança e Resiliência os itens necessários para permitir sua evolução dentro do ambiente da empresa, garantindo que sua função como elemento-chave no processo de Segurança seja mantido, ao mesmo tempo que participa do crescimento profissional juntamente com os requisitos de negócios da organização onde atua.

Segurança infinita, significa investimento infinito também. Como isto é uma utopia, nada melhor do que trabalhar na identificação de evidências que garantem estarmos trabalhando na identificação, prevenção e mitigação de fatores de risco, do que provocarmos investimentos maciços em produtos e serviços que não garantem a solução de um falha de segurança que não existe até hoje…mas que poderá surgir amanhã, estando fora do alcance das proteções existentes.

Garantir que o ambiente corporativo atenda à maioria dos requisitos de Governança, é trabalhar de forma proativa na Segurança, sem incorrer no erro de acreditar em soluções universais milagrosas, que no fundo acabam tranquilizando os gestores, mas que na realidade imitam o avestruz que enterra a cabeça no chão para se esconder do perigo, mas que esquece que deixa o traseiro à mostra…

Conforme levantamento da Ernst Young, apenas 6% planejam gastar menos no próximo ano

Mais da metade de grandes companhias, especificamente 55% delas, pretendem aumentar, nos próximos 12 meses, investimentos de forma moderada a significativa em compliance no total de custos de segurança da informação. A informação é de pesquisa da consultoria Ernst Young.

Conforme o levantamento, apenas 6% planejam gastar menos no próximo ano. O motivo: das empresas entrevistadas, 41% notaram um aumento nos ataques externos em seus sistemas, e 25% observaram aumento nos ataques internos – aqueles provocados por seus próprios funcionários, como abuso de privilégios e roubo e venda de informação.

No Brasil, a tendência é similar à observada no restante do mundo: os respondentes brasileiros destacaram aumento das ameaças, sejam elas de origem externa (ataques aos sites, phishing) e também o aumento de ataques internos (roubo de dados, abuso de privilégios, etc).

A pesquisa revelou que as compliances regulatórias também são prioridade para os líderes de segurança da informação e continuam a ser fator determinante para desenvolvimento do setor.

Implementar e aprimorar

Devido ao aumento da ocorrência de vazamento de dados, a proteção de informações está na vanguarda das prioridades. Implementar ou aprimorar tecnologias de prevenção a vazamento de dados é a segunda maior prioridade nos próximos 12 meses, destacada por 40% dos respondentes como um dos três temas centrais.

Uma das descobertas mais surpreendentes em nível global é de como poucas companhias estão criptografando dados dos laptops: apenas 41%. Isso impressiona pelo número de brechas que a perda ou roubo de laptops abre na segurança, pela facilidade e acessibilidade às tecnologias necessárias e pelo pequeno impacto ao usuário.

A pesquisa foi realizada com 1.900 empresários e diretores da área de comunicação de mais de 60 países.

por FinancialWeb
18/02/2010
Para se proteger de represálias, companhias admitem gastar mais com segurança da rede

Quando o assunto é segurança da informação, os maiores riscos para as empresas são represálias de ex-funcionários e a ausência de recursos adequados para uma preparação adequada. Esta é a conclusão do 12º estudo anual da Ernst & Young sobre Segurança da Informação, realizado em âmbito global. A represália de ex-funcionários contra seus empregadores é o motivo de maior preocupação para 75% dos gerentes de TI.

A pesquisa, realizada com 1.900 empresários e diretores da área de comunicação de mais de 60 países, inclusive o Brasil, mostra que, dos 75% citados, 42% estão trabalhando para entender melhor os potenciais riscos que esta situação traz e 26% já estão tomando atitudes que possam minimizar a ameaça.

Apenas 7% disseram que o risco existia, mas medidas já foram tomadas e o risco foi mitigado. Um terço dos entrevistados afirmou estar “muito preocupado” com essa questão, o maior nível possível na escala apresentada.

“A vingança contra um ex-empregador pode atrapalhar a operação em uma organização. Além disso, os sistemas também costumam ser alvo de roubo de dados. É vital que as companhias façam esse exercício de análise de riscos para identificar suas vulnerabilidades e preparar respostas adequadas”, explica o sócio de Segurança da Informação e TI da Ernst & Young, Alberto Fávero.

Uma abordagem estruturada e reproduzível da gestão de riscos é o elemento central de um Sistema de Gestão de Segurança da Informação (SGSI). Quarenta e quatro por cento dos entrevistados têm um SGSI ou estão implementando, enquanto 32% estão avaliando a possibilidade de adotar uma solução dessa natureza.

Gastos

O estudo mostrou que a preocupação com a segurança da informação vem aumentando consideravelmente. Quando perguntados como a gestão de riscos no assunto vem sendo tratada pelas empresas, 50% responderam gastar mais, enquanto 39% disseram desembolsar o mesmo, ou de forma constante. Apenas 5% despenderam menos verba no setor (e 6% não responderam a esta pergunta).

Para manutenção do equilíbrio financeiro, cortes serão necessários, e as áreas mais afetadas serão a de pessoal interno (16%) e serviços terceirizados (18%).

Essa realidade também é válida para o Brasil. Quando perguntados se a organização tem planos de gastar mais, menos ou relativamente o mesmo montante para o próximo ano, os respondentes brasileiros apontaram que o principal foco de investimentos é na melhora da gestão da segurança de informação.
“Hoje, essa área demanda muito mais investimento do que no passado. As organizações estão correndo para fazer frente às ameaças, mas a área não é imune aos movimentos da economia. Os profissionais de TI terão de aprimorar a eficiência e, ao mesmo tempo, manter os gastos em patamares mínimos”, avaliou Fávero.

por Stefanie Hoffman | ChannelWeb
03/02/2010
Segundo estudo da Sophos, Facebook é o principal alvo dos ataques, seguido por MySpace, Twitter e LinkedIn

Responsáveis por uma explosão de spams, perda de dados e roubos de identidade, redes sociais como Facebook e Twitter têm se tornado um desafio importante de segurança para os negócios.

De acordo com um levantamento da Sophos, desenvolvido no final do ano passado, as redes corporativas experimentaram uma avalanche de tráfego em redes sociais ao longo de 2009, abrindo portas para ameaças que expuseram as companhias a um risco ainda maior.

A pesquisa mostrou que quase 2% de todos os clicks na internet, no ano passado, foram em redes sociais – 1,35% só no Facebook. “Houve um grande foco nas mídias sociais em 2009. O número de pessoas que utilizam esses sites cresceu também. Quase todo o mundo agora tem uma conta no Facebook”, diz Chester Wisniewski, conselheiro sênior de segurança da Sophos.

Segundo mais de 60% dos respondentes, o Facebook representou o maior risco de segurança no período, entre todas as redes sociais, seguido pelo MySpace (18%), Twitter (17%) e LinkedIn (4%).

Mais de 72% das companhias pesquisadas acreditam que o comportamento dos funcionários nos sites de relacionamento podem prejudicar a segurança de seus negócios, acima dos 66% apurados no estudo de 2008.

Essa crença corrobora o crescimento dramático dos spams nas redes corporativas, que saltaram de 33,4%, em abril, para 57%, em dezembro.

De fato, duas das mais significativas ameaças do Facebook, em 2009, incluem os worms Koobface e Mikeyy Mooney. O Koobface se tornou mais sofisticado e prolífico em 2009, capaz de ativar uma conta a partir da confirmação de um e-mail, favorecendo o acesso de intrusos estranhos ao site. Já o Mikeyy Mooney surgiu em abril, devastando o Twitter com mensagens de spams que redirecionaram usuários a web sites infectados.

“É uma escolha da própria empresa permitir o acesso às redes sociais”, diz Wisniewski. “Tem havido um bom avanço dessas mídias no sentido de começarem a tomar providências contra esses ataques”.

O Twitter, por exemplou, firmou parceria com empresas de segurança, incluindo a Sophos, para escanear URLs em busca de links maliciosos. E o Facebook tem evoluído de forma a proteger os usuários contra o vírus Koobface.

Wisniewski diz que, embora as redes de uso profissional, como o LinkedIn, ainda não tenham notado níveis significativos de malwares, esses sites podem ser alvo de ataques de phishing, permitindo o acesso a informações estratégicas, dados de clientes e propriedade intelectual das empresas.

Mr_ClayDurante a EXPO Emergência, realizada em Agosto ultimo em São Paulo, foi noticiado ao público presente o início das atividades da IAEM (International Association of Emergency Managers), com palestra apresentada pelo representante da entidade no Brasil, Sr. Fernando Marinho (à direita, na foto com o Mr. Clay D. Tyreryar, Chief Staff Int’l Development Officer do IAEM).

Naquela ocasião, os profissionais que conheceram os objetivos do IAEM expressaram forte interesse e aprovação em participar dos Eventos que estão sendo planejados para 2010.

Fernando Marinho é Consultor Empresarial e Auditor Líder CONAMA. Formado em Economia, com Pós Graduação em Segurança de Dados e Sistemas. Realizou cursos de especialização e atualização em Contingência Operacional e Continuidade de Negócios pelo Disaster Recovery Institute International (DRI – USA) e no Business Continuity Institute (BCI – UK). Foi convidado para o “Grupo de Notáveis” da Coordenadoria de Investigações de Crimes Eletrônicos do Ministério Público do Rio de Janeiro, sendo o Professor responsável pela Cadeira de Continência e Continuidade de Negócios, nos Cursos de Pós Graduação em Segurança, da UniRio e UFRJ (Universidade Federal do Rio de Janeiro) pelo MSI, no NCE (Núcleo de Computação Eletrônica). Seu site pessoal é www.fernandomarinho.com.br.auditorio

Entre os dias 31 de Outubro e 5 de Novembro, foi realizada a 57a. Conferência Anual do IAEM e a EMEX 2009 em Orlando, na Flórida.

Durante este Evento, o Sr. Fernando Marinho apresentou o planejamento para  o IAEM Brasil e foi formalmente apresentado aos representantes dos diversos grupos norte-americanos e aos membros internacionais.

Na cerimônia de abertura, o atual Presidente do IAEM saudou e cumprimentou nossa representação, agradecendo a participação no Evento.


“Inscreva-se como ‘Non-US Individual Membership’ para obter as vantagens do IAEM Brasil”Join IAEM

FAQ

1. O quê é o IAEM (International Association of Emergency Managers) ?
É uma entidade representativa de profissionais atuantes na Gestão, Tratamento e Resposta a Emergências, dos mais variados Setores (Governo, Indústria, Saúde, Tecnologia de Informação, Telecomunicações, Finanças e outros), reunidos com o objetivo comum de compartilhar conhecimento, disponibilizar relacionamentos e oferecer educação continuada.

2. Quais são os Objetivos do IAEM ?
A Associação Internacional de Gestores de Emergências (tradução de IAEM) possui mais de 5.000 membros em cerca de 58 países, atuando como uma organização educacional sem fins lucrativos, dedicada à promover o objetivo de salvar vidas e proteger propriedades durante emergências e desastres.
Visão do IAEM: “Ser reconhecida como a principal organização internacional de profissionais de gestão de emergências”.
Missão do IAEM: “Servir seus membros no fornecimento de informação, relacionamento e oportunidades profissionais, bem como na evolução da profissão do Gestor de Emergências”.

3. Quais os benefícios de ser membro do IAEM ?
O principal objetivo da associação ao IAEM é a obtenção imediata ao repositório de informações pertinentes à resposta e gestão de emergências, resultante dos 57 anos de vida da entidade. Como vantagens acessórias, entendemos que o profissional da Área de Segurança passa a ter reconhecimento internacional da sua experiência, podendo se habilitar à Certificação em Gestão de Emergências (CEM), que deverá ser oferecido pela entidade no Brasil a partir de julho de 2010.

4. Quais são os custos envolvidos na participação do programa oferecido pelo IAEM ?
Para ter acesso imediato às vantagens proporcionadas pelo IAEM, basta o candidato acessar o website www.iaem.com e preencher a ficha de inscrição como membro internacional, pagando a taxa de US$ 50.00 (cinquenta dólares), válida por um ano (opção “Non-U.S. Individual Membership). Para inscrição na prova de certificação profissional, o custo é de aproximadamente US$ 480.00, além da comprovação de pré-requisitos exigidos para realização da prova (tempo de experiência na área, tipo de prática, etc.).

5. Quais vantagens profissionais a filiação ao IAEM pode me proporcionar ?
O IAEM é uma entidade que reúne profissionais de reconhecida capacidade e experiência, por ter se originado com membros do FEMA (Federal Emergency Management Agency) dos EUA. Atualmente, a certificação CEM é reconhecida por entidades como o American College of Contingency Planners, American Society of Emergency Planners e o US Department of Defense. O profissional brasileiro que almeja o reconhecimento da sua experiência e formação por entidades e organizações estrangeiras, pode contar com o respaldo oferecido pelo IAEM.

6. Quem serão os instrutores dos cursos do IAEM Brasil ?
Entendemos que devemos prestigiar o currículo de colegas brasileiros, inicialmente selecionando profissionais de reconhecida capacidade técnica e experiência. A princípio, a seleção será realizada por análise de currículo e comprovação de experiência nos assuntos relacionados. Como estes profissionais poderão replica seus cursos em outras unidades do IAEM ao redor do mundo, sugerimos sua filiação ao IAEM Brasil, para facilitar sua indicação.

Estamos trabalhando no desenvolvimento do website oficial do IAEM BRASIL. Aguarde seu lançamento, com notícias, informações e programação de eventos.