Gbitten

O trecho abaixo já vale o artigo:

Assim o empregador poderá exercer um controle tecnológico sobre seus trabalhadores, desde que seja analisado caso a caso e atendendo a estritos critérios de idoneidade, necessidade e proporcionalidade, a utilização de medidas de vigilância e controle que sirvam aos fins a que se pretendam causando o menor impacto possível sobre a intimidade e a dignidade do trabalhador.

O monitoramento pelo empregador do correio eletrônico
por Mário Antônio Lobato de Paiva

Marcadores: Artigo, Direito

Discutia extamente sobre este assunto na lista Perícia Forense quando me deparei com este artigo. A propósito, compartilho da mesma opinião do autor.

Limites do monitoramento
Tecnologia é para garantir segurança, e não violar intimidade
por Alexandre Atheniense

Marcadores: Artigo, Direito

Adoro a minha profissão mas exitem coisas mais importantes, Família, Vida. Espero não esquecer esta lição.

Jovens são condenados por traficar drogas pelo Orkut

WOW

Hoje é o lançamento da ABNT NBR ISO IEC 27001. A ABNT, através do comitê 21 e de inúmeros colaboradores, faz um grande trabalho ao traduzir e localizar as normas de gestão de segurança da informação. Ela já lançou duas versões da NBR 17799 (2001 e 2005). Agora, está lançando NBR 27001.

NBR 27001

A NBR 27001 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um processo de certificação de um SGSI. A NBR 27001 junto com a NBR 17799 formam a base para a construção da série de normas ISO 27000.

A origem

A série de normas ISO 27000 tem sua origem na norma britânica BS 7799. A BS 7799 possui 3 partes:

• BS 7799-1 - Code of practice for information security management
• BS 7799-2 - Information Security Management Systems - Specification with guidance for use
• BS 7799-3 - Guidelines for information security risk management

A ISO inicialmente publicou a norma ISO 17799 baseada na BS 7799-1. Depois, acatou a sugestão de criar a série 27000 contendo as normas de Gestão de Segurança da Informação. Com isso, a ISO 17799 será renumerada para ISO 27002 em 2007.

Série 27000

Aos moldes da série 9000 de gestão da qualidade e da série 14000 de gestão ambiental, está sendo desenvolvida a série de normas ISO 27000 para Gestão de Segurança da Informação. A série 27000 tem planejada as seguintes normas:

• ISO 27000 - Information Security Management System Fundamentals and Vocabulary
• ISO 27001 - Information Security Management System Requirements (publicada em 2005)
• ISO 27002 - Code of Practice for Information Security Management (atual ISO 17799)
• ISO 27003 - Information Security Management System Implementation Guidance
• ISO 27004 - Information Security Management Metrics and Measurement
• ISO 27005 - Information Security Management System Risk Management
• ISO 27006 - Requirements for the accreditation of bodies providing certification of information security management systems

Arvore genealógica da série 27000

BS 7799-1 ----> ISO 17799:2000 -----> ISO 17799:2004 -----> IS0 27002:2007
                |                     |                     |
                +--> NBR 17799:2001   +--> NBR 17799:2005   +--> NBR 27002:????

BS 7799-2 ----> ISO 27001:2005
                |
                +--> NBR 27001:2006

BS 7799-3 --+
            |
            +-> ISO 27005:????
            |   |
ISO 13335 --+   +--> NBR 27005:????

UPDATE: ver comentário de José Manuel Fernández.

Marcadores: 27000

Gestão de risco é um enfoque cada vez mais utilizado em diversas áreas como infosec, gestão de projeto, gestão ambiental, na área de saúde, na área financeira, etc. Fico imaginando o que altera fundamentalmente na gestão de risco de cada um destes processos. Eu acredito que o diferencial seja as Dimenções do Impacto consideradas nestes processos. Ou seja, quando analisamos o impacto de uma ameaça, "quebramos" este impacto em várias dimensões, por exemplo:

• Confidencialidade, Integridade e Disponibilidade são as dimensões do impacto consideradas na gestão de risco em segurança da informação;
• Scopo, Tempo, Custo e Qualidade são as dimensões do impacto consideradas na gestão de risco em gerência de projeto;
• Liquidez e Crédito são as dimensões do impacto consideradas na gestão de risco na área financeira;
• Custo é a dimensão do impacto consideradas em uma análise de risco quantitativa;

Ao avaliar o impacto de uma ameaça a um ativo de informação, é intuitivo analisar o impacto desta ameaça sob 3 óticas: o impacto sobre confidencialidade, o impacto sobre a integridade e o impacto sobre o disponibilidade da informação.

A mesma analogia pode ser feita para a área financeira, ao avaliar o risco de um empréstimo, é necessário avaliar o impacto sobre a liquidez e o impacto sobre o crédito.

NOTA: Este autor considera-se um leigo interessado em gestão de risco, portanto este devaneio carece de maior credibilidade.

Marcadores: Viagem

Violação de privacidade
Empresa é condenada por instalar câmera em banheiro
Todo controle de segurança deve respeitar os limites legais e éticos.

Marcadores: Direito

O Conselho Nacional de Trânsito aprovou a nova Carteira Nacional de Habilitação (CNH) que possui alguns dispositivos de segurança. Um deles é particularmente interessante:

Ele também terá um código numérico de segurança, gerado por uma fórmula, que permitirá detectar se aquela CNH foi imprensa por meios legais ou não.

Fonte: Agência Brasil

Ao que pude entender, este código numérico de segurança nada mais é que uma assinatura digital dos campos da CNH impressa na carteira. Imagem abaixo, é possível observar um campo numérico destacado pelo quadrado vermelho, pela extenção, este campo deve ser a assinatura digital.

Este é um controle interessante se for bem implementado. Para tanto, é importante:

• Utilizar um esquema robusto de assinatura digital, incluindo algoritmos de hash e de criptografia assimétrica fortes.
• A segurança no processo de geração de assinaturas.
• A proteção da chave privada (assumindo que o esquema de assinatura faz uso de criptografia assimétrica).

Um problema que precisa ser tratado são os falsos-negativos na verificação da assinatura digital. Imaginem um policial rodoviário que, ao digitar os campos de um CNH em seu terminal, erre o sobrenome do motorista de "Bittencourt" para "Bittencour". O sistema vai retornar uma assinatura digital diferente da assinatura na carteira e o policial pensará equivocadamente que a carteira é falsa.

Finalmente, outra preocupação é com a segurança por obscurantismo. Todos os bons livros de criptografia recomendam que o segredo que deve ser protegido em uma transação critográfica é a chave, enquanto o algorítmo pode ser público. Por sinal, os algorítimos públicos, pela própria exposição, costumam a ser mais fortes do que os algoritmos de criptografia secretos. Ainda sim, segundo a nota abaixo, Denatran optou por utilizar um algoritmo de assinatura secreto.

As informações, geradas através de uma fórmula, de propriedade exclusiva do Departamento Nacional de Trânsito (Denatran), formarão uma espécie de banco de dados sobre os condutores brasileiros.

Fonte: Infonet

Quem possuir maiores informações sobre a nova CNH, por favor coloque-as nos comentários, já que estas minhas considerações são baseadas em sua maioria em suposições.

Off-topic: Ao utilizar uma assinatura digital impressa em um meio físico deveriamos continuar chamando esse controle de assinatura DIGITAL?

Marcadores: Controle

Amazon brasileira não precisa mudar de nome, diz juiz
por Aline Pinheiro

Marcadores: Artigo, Direito

Criei essa página hoje:

InfoSec Feeds busca reunir as últimas informações e notícias sobre Segurança da Informação em uma única página. Utiliza, para tanto, o recurso de compartilhamento do Google Reader.

Comunicado da Redação: Com grande pesar, informamos aos leitores de InfoGuerra que o jornalista Giordani Rodrigues foi vítima de assassinato no dia 31 de março de 2006. Toda a tristeza e a revolta sentidas pelos amigos, familiares, clientes, parceiros e leitores serão somadas e transformadas em esforços que serão envidados não apenas em prol das investigações e punições, mas também para a continuidade e multiplicação do trabalho sério e de qualidade até então realizado, na tentativa de reduzir a grande lacuna deixada. A última manifestação de reconhecimento público recebida por Giordani Rodrigues, poucos dias antes durante a Security Week Brasil 2006, foi o Prêmio SecMaster 2005 de excelência em gerenciamento de risco e segurança da informação na categoria de melhor contribuição jornalística, um dos mais relevantes prêmios para o setor apurado mediante votação on line, promovido pela ISSA Brasil - representante da Information Systems Security Association no Brasil - e organizado pela empresa de eventos de tecnologia Via Fórum.

Joshua Wright dá uma áudio-entrevista bem descontraida no excelente sítio PaulDotCom. Ele fala sobre como começou a trabalhar com segurança em wireless, como ocorreu a descoberta da vulnerabilidade do LEAP e o relacionamento com a CISCO na ocasião, aborda temas como os problemas de segurança do Bluetooth, falhas em drivers wireless, hotspot, problemas com WPA, entre outros assuntos. Para quem não sabe, Joshua Wright é o autor do asleap, programa que demostra a vunerabilidade do LEAP, protocolo da CISCO para autenticação wireless, aos ataques de dicionário.

• 1ª parte da entrevista;
• 2ª parte da entrevista;

Eu desisti de atuar como profissional de segurança da informação. Cansei de tudo, não quero mais saber de ROI, ROSI, análises de risco, 17799, 27001, 15408, Firewalls, ACLs, SHA, 3-DES, ECC, vulnerabilidades, exploits, Honey Pot, IDS, etc. Queimei meu certificado e minha carterinha do CISSP. Caso queiram, podem me encontrar na comunidade alternativa Aritnem, fica em Alto Paraíso (Chapada dos Veadeiros), onde vou fazer bijuteria e procurar gnomos e disco voadores. Gustavo Araujo Bittencourt - ex-CISSP, ex-MCSO