Gbitten

quinta-feira, abril 27, 2006

 

[Direito] O monitoramento pelo empregador do correio eletrônico

O trecho abaixo já vale o artigo:
Assim o empregador poderá exercer um controle tecnológico sobre seus trabalhadores, desde que seja analisado caso a caso e atendendo a estritos critérios de idoneidade, necessidade e proporcionalidade, a utilização de medidas de vigilância e controle que sirvam aos fins a que se pretendam causando o menor impacto possível sobre a intimidade e a dignidade do trabalhador.
O monitoramento pelo empregador do correio eletrônico
por Mário Antônio Lobato de Paiva

Marcadores: ,


 

[Direito] Limites do monitoramento

Discutia extamente sobre este assunto na lista Perícia Forense quando me deparei com este artigo. A propósito, compartilho da mesma opinião do autor.

Limites do monitoramento
Tecnologia é para garantir segurança, e não violar intimidade

por Alexandre Atheniense

Marcadores: ,


domingo, abril 16, 2006

 

Lição

Adoro a minha profissão mas exitem coisas mais importantes, Família, Vida. Espero não esquecer esta lição.

quinta-feira, abril 13, 2006

 

[Direito] Desserviço da tecnologia

Jovens são condenados por traficar drogas pelo Orkut
 

[Google] Google Calendar

WOW

quarta-feira, abril 12, 2006

 

[Segurança] ABNT NBR ISO IEC 27001

Update (01/08/2007): Série 27000
Hoje é o lançamento da ABNT NBR ISO IEC 27001. A ABNT, através do comitê 21 e de inúmeros colaboradores, faz um grande trabalho ao traduzir e localizar as normas de gestão de segurança da informação. Ela já lançou duas versões da NBR 17799 (2001 e 2005). Agora, está lançando NBR 27001.

NBR 27001

A NBR 27001 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um processo de certificação de um SGSI. A NBR 27001 junto com a NBR 17799 formam a base para a construção da série de normas ISO 27000.

A origem

A série de normas ISO 27000 tem sua origem na norma britânica BS 7799. A BS 7799 possui 3 partes: A ISO inicialmente publicou a norma ISO 17799 baseada na BS 7799-1. Depois, acatou a sugestão de criar a série 27000 contendo as normas de Gestão de Segurança da Informação. Com isso, a ISO 17799 será renumerada para ISO 27002 em 2007.

Série 27000

Aos moldes da série 9000 de gestão da qualidade e da série 14000 de gestão ambiental, está sendo desenvolvida a série de normas ISO 27000 para Gestão de Segurança da Informação. A série 27000 tem planejada as seguintes normas:

Arvore genealógica da série 27000

BS 7799-1 ----> ISO 17799:2000 -----> ISO 17799:2004 -----> IS0 27002:2007
                |                     |                     |
                +--> NBR 17799:2001   +--> NBR 17799:2005   +--> NBR 27002:????

BS 7799-2 ----> ISO 27001:2005
                |
                +--> NBR 27001:2006

BS 7799-3 --+
            |
            +-> ISO 27005:????
            |   |
ISO 13335 --+   +--> NBR 27005:????
UPDATE: ver comentário de José Manuel Fernández.

Marcadores:


terça-feira, abril 11, 2006

 

[Segurança] Dimenções do Impacto

Gestão de risco é um enfoque cada vez mais utilizado em diversas áreas como infosec, gestão de projeto, gestão ambiental, na área de saúde, na área financeira, etc. Fico imaginando o que altera fundamentalmente na gestão de risco de cada um destes processos. Eu acredito que o diferencial seja as Dimenções do Impacto consideradas nestes processos. Ou seja, quando analisamos o impacto de uma ameaça, "quebramos" este impacto em várias dimensões, por exemplo:

Ao avaliar o impacto de uma ameaça a um ativo de informação, é intuitivo analisar o impacto desta ameaça sob 3 óticas: o impacto sobre confidencialidade, o impacto sobre a integridade e o impacto sobre o disponibilidade da informação.

A mesma analogia pode ser feita para a área financeira, ao avaliar o risco de um empréstimo, é necessário avaliar o impacto sobre a liquidez e o impacto sobre o crédito.

NOTA: Este autor considera-se um leigo interessado em gestão de risco, portanto este devaneio carece de maior credibilidade.

Marcadores:


segunda-feira, abril 10, 2006

 

[Direito] CFTV e Privacidade

Violação de privacidade
Empresa é condenada por instalar câmera em banheiro
Todo controle de segurança deve respeitar os limites legais e éticos.

Marcadores:


 

[Segurança] Nova CNH

O Conselho Nacional de Trânsito aprovou a nova Carteira Nacional de Habilitação (CNH) que possui alguns dispositivos de segurança. Um deles é particularmente interessante:

Ele também terá um código numérico de segurança, gerado por uma fórmula, que permitirá detectar se aquela CNH foi imprensa por meios legais ou não.
Fonte: Agência Brasil

Ao que pude entender, este código numérico de segurança nada mais é que uma assinatura digital dos campos da CNH impressa na carteira. Imagem abaixo, é possível observar um campo numérico destacado pelo quadrado vermelho, pela extenção, este campo deve ser a assinatura digital.

Este é um controle interessante se for bem implementado. Para tanto, é importante:

Um problema que precisa ser tratado são os falsos-negativos na verificação da assinatura digital. Imaginem um policial rodoviário que, ao digitar os campos de um CNH em seu terminal, erre o sobrenome do motorista de "Bittencourt" para "Bittencour". O sistema vai retornar uma assinatura digital diferente da assinatura na carteira e o policial pensará equivocadamente que a carteira é falsa.

Finalmente, outra preocupação é com a segurança por obscurantismo. Todos os bons livros de criptografia recomendam que o segredo que deve ser protegido em uma transação critográfica é a chave, enquanto o algorítmo pode ser público. Por sinal, os algorítimos públicos, pela própria exposição, costumam a ser mais fortes do que os algoritmos de criptografia secretos. Ainda sim, segundo a nota abaixo, Denatran optou por utilizar um algoritmo de assinatura secreto.

As informações, geradas através de uma fórmula, de propriedade exclusiva do Departamento Nacional de Trânsito (Denatran), formarão uma espécie de banco de dados sobre os condutores brasileiros.
Fonte: Infonet

Quem possuir maiores informações sobre a nova CNH, por favor coloque-as nos comentários, já que estas minhas considerações são baseadas em sua maioria em suposições.

Off-topic: Ao utilizar uma assinatura digital impressa em um meio físico deveriamos continuar chamando esse controle de assinatura DIGITAL?

Marcadores:


sexta-feira, abril 07, 2006

 

[Direito] Identidade em jogo

Amazon brasileira não precisa mudar de nome, diz juiz
por Aline Pinheiro

Marcadores: ,


quinta-feira, abril 06, 2006

 

InfoSec Feeds

Criei essa página hoje:
InfoSec Feeds busca reunir as últimas informações e notícias sobre Segurança da Informação em uma única página. Utiliza, para tanto, o recurso de compartilhamento do Google Reader.
http://infosecfeeds.blogspot.com/

terça-feira, abril 04, 2006

 

:-(

Comunicado da Redação: Com grande pesar, informamos aos leitores de InfoGuerra que o jornalista Giordani Rodrigues foi vítima de assassinato no dia 31 de março de 2006. Toda a tristeza e a revolta sentidas pelos amigos, familiares, clientes, parceiros e leitores serão somadas e transformadas em esforços que serão envidados não apenas em prol das investigações e punições, mas também para a continuidade e multiplicação do trabalho sério e de qualidade até então realizado, na tentativa de reduzir a grande lacuna deixada. A última manifestação de reconhecimento público recebida por Giordani Rodrigues, poucos dias antes durante a Security Week Brasil 2006, foi o Prêmio SecMaster 2005 de excelência em gerenciamento de risco e segurança da informação na categoria de melhor contribuição jornalística, um dos mais relevantes prêmios para o setor apurado mediante votação on line, promovido pela ISSA Brasil - representante da Information Systems Security Association no Brasil - e organizado pela empresa de eventos de tecnologia Via Fórum.
http://www.infoguerra.com.br/

segunda-feira, abril 03, 2006

 

[Segurança] Entrevista com Joshua Wright

Joshua Wright dá uma áudio-entrevista bem descontraida no excelente sítio PaulDotCom. Ele fala sobre como começou a trabalhar com segurança em wireless, como ocorreu a descoberta da vulnerabilidade do LEAP e o relacionamento com a CISCO na ocasião, aborda temas como os problemas de segurança do Bluetooth, falhas em drivers wireless, hotspot, problemas com WPA, entre outros assuntos. Para quem não sabe, Joshua Wright é o autor do asleap, programa que demostra a vunerabilidade do LEAP, protocolo da CISCO para autenticação wireless, aos ataques de dicionário.

sábado, abril 01, 2006

 

[Primeiro de Abril] Minha última mensagem neste Blog

Eu desisti de atuar como profissional de segurança da informação. Cansei de tudo, não quero mais saber de ROI, ROSI, análises de risco, 17799, 27001, 15408, Firewalls, ACLs, SHA, 3-DES, ECC, vulnerabilidades, exploits, Honey Pot, IDS, etc. Queimei meu certificado e minha carterinha do CISSP. Caso queiram, podem me encontrar na comunidade alternativa Aritnem, fica em Alto Paraíso (Chapada dos Veadeiros), onde vou fazer bijuteria e procurar gnomos e disco voadores. Gustavo Araujo Bittencourt - ex-CISSP, ex-MCSO

Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]