Gbitten

segunda-feira, fevereiro 26, 2007

 

ROI e BCP

Neste artigo do Fernando Marinho, me deparei com um erro comum sobre o ROI. Em certo momento o autor afirma:

Um cálculo de ROI auxilia a avaliação de perdas financeiras para a empresa, em caso de ocorrência de Eventos.

O ROI é uma medida de rentabilidade de um investimento, e não se adequa com ferramenta avaliação de perdas financeiras. Seu objetivo mais comum é ferramentar uma desição de investimento. Já um outro uso possível, é avaliar o sucesso de um investimento comparando o ROI estimado previamente com o retorno real aferido após o investimento realizado.

Os que me conhecem, sabem a minha opinião sobre ROI para segurança da informação. A meu ver, estes ROIs não passam, na grande maioria das vezes, de peças de ficção devido a enorme dificuldade em conseguir variáveis minimamente confiáveis para calculá-los.

Além disso, a utilização do ROI como ferramenta de decisão para um BCP me parece inadequada, pois o BCP deve se basear no Risco ao Negócio que a empresa se dispoem a aceitar, e não no retorno de investimento que um projeto deste tipo pode obter.

Marcadores: ,


quarta-feira, fevereiro 14, 2007

 

Ele poderá ter um vida normal?

Hilário.

Marcadores: ,


 

Há correção para os usuários?

Este artigo é sobre quanto dinheiro e esforço tem sido gasto no treinamento de usuários porem os resultados não têm sido nada bons. Isto não é nenhuma novidade. Enquanto a segurança de computadores permanecer complexa e obscura, será desperdício de dinheiro investir largas somas em treinamento de segurança. Para ser efetivo, a segurança de computador precisa ser simples e óbvia para o usuário normal, assim como a segurança no trânsito é para os motoristas.

Marcadores:


 

Blogs sobre Direito Digital

Marcadores:


terça-feira, fevereiro 13, 2007

 

Blog em inglês

Resolvi me aventurar a escrever um blog com o meu parco inglês (que Deus tenha piedade de mim).

Marcadores:


 

Webificação

Richard Bejtlich sobre a "webificação" dos serviços:
We've got 65535 TCP ports to use and the whole world is collapsing onto one. Argh.

Marcadores: ,


segunda-feira, fevereiro 12, 2007

 

Sintesista

Existem Analistas para quase tudo:

Um analista evidentemente realiza análises. Mas que é uma análise? Análise, normalmente, é o procedimento de dividir um problema ou uma situação em várias partes para poder compreendê-la. Bons analistas fazem isso todos os dias. Na análise de risco, por exemplo, "quebra-se" uma organização em: áreas de negócios, sistemas, ativos, vulnerabilidades, ameaças, etc.

O final de um análise frequentemente resulta em um relatório com centenas (até milhares) de páginas. Mesmo assim, a sensação comum neste momento é de que falta alguma coisa. E realmente falta, pois tão importante quanto a análise, é a síntese.

A Síntese é o processo de combinar as diversas parte para formar um todo coerente. A Análise e a Síntese são os dois lados da mesma moeda. Nenhum dos métodos deve ser menosprezado em relação ao outro. A síntese depende dos resutados obtidos na análise. A análise depende da síntese para ordenar e verificar seus resultados.

Continuem a fazer boas análises, mas também realizem excelentes sínteses. Não deixe de ser Analistas e sejam cada vez mais "Sintesistas".

Marcadores:


quinta-feira, fevereiro 08, 2007

 

SF PLS 00076 2000

A saga do PLS 76/2000 continua:
30/01/2007 CCJ - Comissão de Constituição, Justiça e Cidadania Situação: PRONTO PARA A PAUTA NA COMISSÃO Retorna à CCJ. Matéria aguardando instalação da Comissão.
http://www.senado.gov.br/sf/atividade/Materia/Detalhes.asp?p_cod_mate=43555

Marcadores:


 

Car Security

Vendedor: Bom dia Sr. João, gostaria de parabenizá-lo pela compra do carro novo, mas antes de entregar as chaves você precisa assinar o Termo de Responsabilidade.

João: Como assim?

Vendedor: Você precisa assinar este termo declarando de que você está ciente do conteúdo da PSUA.

João: PSUA?

Vendedor: Sim, nossa Política de Segurança para o Uso de Automóveis.

João: Tá certo, onde assino?

Vendedor: Aqui na última página, e não esqueça rubricar todas as outras 17 páginas do termo.

5 minutos depois...

João: Ufa terminei, onde está a chave?

Vendedor: Antes o senhor precisa passar pelo nosso programa de conscientização de segurança no trânsito, na qual você assitirá uma palestra, receberá um manual de segurança, uma cartilha de boas práticas, um folheto com as diretrizes de segurança, e fará uma rápida avaliação do seu nível conscientização.

João: Quando isso vai demorar?

Vendedor: Nosso programa de conscientização dura apenas 1 dia, e no seu final, você receberá um PIN com o dizer "Sou um motorista consciente".

João: UM DIA!

No dia seguinte ...

João: Pronto, já fiz o maldito programa de conscientização. Cadê a chave do MEU CARRO?

Vendedor: Devo alertá-lo que o senhor deve trocar a chave do carro a cada 30 dias. E caso não use a chave por 60 dias, o carro será automaticamente bloqueado. Também não é permitido compartilhar a chave do carro com sua esposa ou filho, a chave do carro é pessoal e intransferível.

João: Ok, ok, ok, não sou casado, nem tenho filhos. Cadê a chave do meu carro?

Vendedor: Aqui está senhor. A chave azul é da porta do carro, a chave vermelha é do porta-mala e a chave verde é da ignição.

João: Finalmente!

10 minutos depois...

João: Oi, esta chave não funciona, não abre o carro de jeito nenhum.

Vendedor: O senhor está abrindo com a chave errada, a da porta do carro é a chave azul.

João: Ok, obrigado.

Mais 10 minutos ...

João: A chave azul também não abre o carro.

Vendedor: Qual a mensagem que aparace ao tentar abrir?

João: Sei lá que mensagem aparace, eu quero ABRIR O MEU CARRO.

Vendedor: Vamos ver ... Já sei qual é o problema. O carro foi bloqueado pois senhor tentou abri-lo 3 vezes com uma chave errada. Para obter uma nova chave o senhor precisa se dirigir ao Help Desk da concessionária.

No HelpDesk...

Atendente: Estamos providenciando uma chave provisória. O senhor deve gerar uma chave definitiva após abrir o carro pela primeira vez.

João: Como assim?

Atendente: Está tudo explicado na página 347 da PSUA, na seção sobre Procedimento para Utilização Segura de Chave Automobilística.

Já dentro do carro, João é abordado por um funcionário da concessionária ...

CISO: Senhor João. Como Chief of Internal-motor-vehicle Security Officer da concessionária, sou obrigado alertá-lo que o senhor está desrespeitando a norma 6.5.7.2 da PSUA.

João: Que P$%¨@$ de norma é essa.

CISO: Diz respeito a nossa Política de Painel-Limpo. O senhor não deve deixar papéis expostos sobre o painel de seu carro.

João: Mas eu recebi esta papelada inútil no programa de conscientização de vocês. O que devo fazer com esta porcaria?

CISO: Segundo nossa Política de Descarte de Mídia, todo o documento em papel deve ser triturado antes de ser descartado.

João: Porque o senhor não pega isso e enfia no C*

Finalmente, após ser contido enquanto tentava agredir o CISO, João pode dar a partida no seu querido carro novo ...

Computador de bordo: Sr. motorista, de acordo a Política de Segurança para o Uso de Automóveis, todas as suas ações ao volante deste automóvel serão registradas e poderão ser utilizadas pela concessionária.

João: Liga logo.

Computador de bordo: Você está utilizando uma chave temporária, você precisa gerar uma chave nova.

João: Liga, Liga, LIGAAAAAAAAA!!!!

Computador de bordo:

You are not authorized to turn on this car's engine You do not have permission to turn on this car's engine using the credentials that you supplied. Please try the following:
  • Contact the Car Shop administrator if you believe you should be able to turn on this car's engine.
  • Click the Refresh button to try again with different credentials.
CTTP Error 401.2 - Unauthorized: Access is denied due to server configuration. Internet Car Services (ICS) Technical Information (for support personnel)
  • Go to General Motors Product Support Services and perform a title search for the words CTTP and 401.
  • Open ICS Help, which is accessible in ICS Manager (inetmgr), and search for topics titled About Security, Authentication, and About Custom Error Messages.

Marcadores: ,


quarta-feira, fevereiro 07, 2007

 

O lado positivo da Enron

David Stern expoem sua opinião sobre o lado positivo do esclândalo contábil da Enron, particulamente sobre o efeito que as regulamentações como SOx e PCI trazem as organizações.

Marcadores:


Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]