Gbitten
terça-feira, outubro 30, 2007
Mapeamento de Processos
- Definição de uma Sessão de Mapeamento de Processos - Parte 1
- Definição de uma Sessão de Mapeamento de Processos - Parte 2
Marcadores: Processo
sábado, outubro 27, 2007
A organização da Família ISO 27000
standard
document, established by consensus and approved by a recognized body,
that provides, for common and repeated use, rules, guidelines or
characteristics for activities or their results, aimed at the
achievement of the optimum degree of order in a given context
- Fundamentos e vocabulário (Vocabulary Standards) - Estabelece a termologia básica para outros padrões (ex: 27000, 9000).
- Requisitos (Requirements Standards) - São os padrões que efetivamente são auditados em um processo de certificação (ex: 27001, 27006, 9001, 14001).
- Diretrizes (Guidelines Standards) - Os guidelines são recomendações de implementação para o Sistema de Gestão (ex: 27002, 27003).
- Padrões Relacionados (Related Standards) - São padrões externos aos padrões 2700x, porem que também podem apoiar a implementação de controles específicos do Sistema de Gestão (ex: 13335-x)
Marcadores: 27000
sábado, outubro 20, 2007
ROI e IPS
Desconfio que se um dia conseguirem fazer um ROI imparcial de um IPS, o resultado será negativo, ou seja o investimento em um IPS não se justificaria. Por isso, me espantei quando li este paper com o seguinte resultado:
Annual Return on Investment
Cost of Investment $200,000
Savings $3,876,084
ROI 19.38:1Uma economia anual de quase 4 milhões de dólares, retornando mais de 19 dolares por dolar investido! Com um resultado tão bom é preciso analisar o cálculo deste ROI. O paper utiliza o incidente de proliferação do worm Slammer para calcular o ROI.
IT Cost Avoidance — The average cost of the Slammer virus in IT time alone amounted to $240,000. In 2003 there were four similar outbreaks Annual cost = $1 million
240 mil dolares em pessoal de TI para resolver o incidente do Virus Slammer? Com essa quantia é possivel contratar um Security Analyst (U$ 74.874,00), um Database Administrator (U$ 81.301,00) e um Systems Administrator (U$ 63.698,00) por UM ANO.
Protected Revenue Stream — E-Commerce is relatively small with an average of 16,000 orders per hour. The downtime amounted to $60,000 an hour. Some companies were down for up to sixty hours, with an average of ten hours per major outbreak in 2003, where there were four similar outbreaks Annual cost = $2.4 million
Eu me lembro muito bem do Slammer. Na época eu era responsável por um site de e-gov com características muito próxima do exemplo descrito no paper, mas com uma pequena diferença, ao invés de 10 horas de indisponibilidade, o sistema permaneceu o tempo todo funcionando. E sem nenhum IPS para protege-lo.
Cost of Ownership — Prior to using McAfee IntruShield,® there were six dedicated IDS analysts. By installing IntruShield Appliances this resource was reduced to two and four were redeployed to proactive roles Annual cost = $400,000
400 mil dolares de custo anual para o IPS e dois Analistas full time para resolver o problema do Slammer. Não seria mais barato aplicar os patches de segurança no site em questão, já que a correção da vulnerabilidades utilizada pelo worm foi publicada seis meses antes do ataque? Foi o que fizemos na época, e com certeza não nos custou U$ 400.000,00 manter o ambiente de produção atualizado.
A maioria dos cálculos de ROI que eu observo são peças de marketing que não resistem a uma análise profunda. Ao menos, tenho que reconher uma vantagem do ROI, com um pouco de esforço é fácil identificar se um cálculo que foi realizado de forma imparcial.
sexta-feira, outubro 19, 2007
Tech-Ed 2007 - Desenvolvimento Seguro
INSCRIÇÕES abertas para o Tech-ED 2007 em São Paulo. Para quem nunca ouviu falar o Tech-Ed é a maior conferência da Microsoft realizada no Brasil. ... Estarei palestrando nesse evento. Minha palestra será Desenvolvimento Código Seguro para o Windows Vista. Após a palestra, estarei no Community Lounge e no Ask the Experts a disposição de todos para perguntas, dúvidas, suporte e um bom bate papo.
Marcadores: Evento
quarta-feira, outubro 17, 2007
Dois add-ons do Firefox
Marcadores: Firefox
Browser Rootkits
Marcadores: Rootkit
terça-feira, outubro 16, 2007
Top 10 Tangible Measures for Effective Security Risk Management
Artigos
- Augusto Paes de Barros alerta para o artigo em português do Michael Howard sobre lições aprendidas sobre desenvolvimento de software seguro.
- Wagner Elias chama a atenção sobre para um trabalho realizado pelo Departament of Homeland Security estruturando as competências dos diversos perfis de profissionais de Segurança de TI.
Marcadores: Artigo, Desenvolvimento
Linus, métricas e segurança
Linus Torvalds escreveu recentemente sobre schedulers e segurança na lista linux-kernel:
SCHEDULERS can be objectively tested. There's this thing called "performance", that can generally be quantified on a load basis. Yes, you can have crazy ideas in both schedulers and security. Yes, you can simplify both for a particular load. Yes, you can make mistakes in both. But the *discussion* on security seems to never get down to real numbers. So the difference between them is simple: one is "hard science". The other one is "people wanking around with their opinions".
Em seguida ele completa:
ANOTHER difference is that when it comes to schedulers, I feel like I actually can make an informed decision. Which means that I'm perfectly happy to just make that decision, and take the flak that I get for it. And I do (both decide, and get flak). That's my job. In contrast, when it comes to security, I see people making IDIOTIC arguments, and I absolutely *know* that those arguments are pure and utter crap, and at the same time, I see that those people are supposed to be "experts".
Não poderia ser melhor dito. Infelizmente a métrica mais usada em segurança é o "achômetro". Basta ver o que os "especialistas em segurança" recomendam para políticas de senha: validade máxima para a senha, regras de construção de alta complexidade, validade mínima para a senha, tamanho mínimo de senha, bloqueio após n falhas, não reutilização de senhas, não compartilhamento de senhas, não escrever senhas em papel. Todas esta recomendações são colocadas de forma genérica, sem discriminação de caso, sem verificação de impacto (seja positivo ou negativo) e principalmente sem métricas palpáveis para validar o controle. Como eu disse em um "post" anterior, nossa área vive de lendas, dogmas e disputas quase religiosas. Parabéns ao Linus por apontar nossos defeitos.
Marcadores: BombaDeFumaça, Controle, Métrica
segunda-feira, outubro 15, 2007
Gerador de Políticas Aleatórias
domingo, outubro 14, 2007
SOA e Segurança II
At this point, security is the primary limiting factor inhibiting SOA's growthEsta afirmação de Peter Schooff me parece tão absurda. Em verdade, não me recordo de nenhuma tecnologia que tenha sua disseminação inibida por questões de segurança. Na maioria da vezes temos que correr atrás do prejuízo de uma tecnologia imatura e insegura.
Marcadores: SOA
SOA e Segurança
- Dealing with Security in a SOA World - Expert Webcast
- Service Oriented Security Architecture
- Gunnar Peterson's blog
- SOA Enterprise Patterns--Services, Orchestration, and Beyond
- Service Firewall
- XML Threat Prevention
- Interview with F5's Lori MacVittie Talking about SOA Security
- Implementing SOA Patterns: The Service Firewall
Marcadores: SOA
sábado, outubro 13, 2007
"Packin' The K!"
ISO 3103
Foto de David WilmotTHE method consists in extracting of soluble substances in dried tea leaf, containing in a porcelain or earthenware pot, by means of freshly boiling water, pouring of the liquor into a white porcelain or earthenware bowl, examination of the organoleptic properties of the infused leaf, and of the liquor with or without milk or both.Finalmente um padrão que serve para alguma coisa.
quinta-feira, outubro 11, 2007
Intagibilidade da Segurança da Informação
A segurança não é percepitível pela sua presença, mas sim pela sua falta. A percepção da falta de segurança vêm da percepção de uma ameaça, da sua inevitabilidade e da privação que ela acarreta. Essa percepção é motivada por um dos instintos mais básicos do ser humano, o medo. Como racionalizar sobre algo que se percebe apenas quando está ausente e que é causa_e_ou_motivo para um dos sentimentos mais irracionais do ser humano?
A informação, por sua vez, não pode ser manipulada diretamente. Para manipular é necessário representá-la de alguma forma, seja através da escrita, da fala, da pintura, de bits e bytes, etc. Proteger a informação é como proteger um reflexo, deve-se tomar conta do espelho porque não é possível conter a luz. Da mesma forma, tratamos de proteger nossos dados (bit e bytes), por que a informação propriamente dita depende basicamente de que a possui.
Não é a toa que uma combinação duas palavras tão intangíveis como Segurança e Informação, seja povoada por lendas, dogmas e disputas quase religiosas.
Marcadores: Viagem
quarta-feira, outubro 10, 2007
Projeto de lei, gerentes de fralda & analogia
- Direito Digital - O Site Wireless faz uma bela cobertura do uma vez famoso porem agora esquecido projeto do Senador Eduardo Azeredo. Incluído uma versão recente do substitutivo com uma resenha didática.
- Geração de Gerentes - Zillo volta a ativa na blogesfera com um artigo sobre jovens que mal saem da faculdade e já querem ser gerentes. Você já viu um?
- Good analogy - Augusto, num curto artigo a faz uma observação interessante que a melhor analogia para segurança da informação é a segurança pública (vulgo polícia) e não a segurança nacional (vulgo forças armadas), esta última uma grande fonte de inspiração e embasamento teórico para nossa área.
segunda-feira, outubro 08, 2007
Novo visual
Marcadores: Aviso
domingo, outubro 07, 2007
yStS v.1.0
VOCÊ não pediu... mas mesmo assim nós fizemos! yStS v.1.0 YOU sh0t the sheriff um novo conceito em conferências de segurança dia 24 de outubro de 2007 em algum lugar da cidade de São Paulo fale com os nossos patrocinadores para garantir seu convite (é a única maneira de ir ao evento)Enlace
Marcadores: Evento
quinta-feira, outubro 04, 2007
Definição de Falso positivo
- Alarme falso
Marcadores: Definição
Arquivos
janeiro 2000 fevereiro 2000 março 2000 julho 2005 agosto 2005 setembro 2005 outubro 2005 novembro 2005 dezembro 2005 janeiro 2006 março 2006 abril 2006 maio 2006 junho 2006 julho 2006 agosto 2006 setembro 2006 outubro 2006 novembro 2006 dezembro 2006 janeiro 2007 fevereiro 2007 abril 2007 maio 2007 junho 2007 julho 2007 agosto 2007 setembro 2007 outubro 2007 novembro 2007 janeiro 2008 fevereiro 2008 março 2008 junho 2008 setembro 2008 novembro 2008 dezembro 2008 junho 2009 julho 2009 agosto 2009 setembro 2009 outubro 2009 dezembro 2009 fevereiro 2010
Assinar Postagens [Atom]