Gbitten

Dois artigos interessantes sobre o assunto. Augusto Paes de Barros escreveu sobre a ausência da análise de risco no PCI e como isso dificulta um ganho efetivo de segurança. Por sua vez, Eric Ogren tem uma teoria sobre o SOx e a SB1386 serem efetivos em termos de segurança pois impõem a prestação de contas e a responsabilização, enquanto o PCI e o HIPAA estão mais para regulamentações CYA. Resumindo, para que uma regulamentação de segurança seja efetiva precisa:

1. Ter foco no risco;
2. Impor prestação de contas e responsabilização;
3. Ser mais que uma mera regulamentação CYA.

Marcadores: Regulamentação

THE GOOD, THE BAD AND THE UGLY

Encontrei esta dica no Rec6. A partir dela, montei uma lista de blogs que tratam do assunto:

• https://www.google.com/reader/shared/user/16621470691721666389/label/english

In blog land, it seems that printer attacks are now all the rage (here). Personally, I think this is a bunch of security research guys without enough to do.

by Mike Rothman

Marcadores: BombaDeFumaça

Marcadores: Cartoon, Fun

O Perfil do Profissional de Segurança da Informação
by Eduardo Vianna de Camargo Neves

Interessante.

Marcadores: Artigo

O caso Cicarelli-YouTube tomou uma proporção que me desagrada muito mais do que a mal fadada censura determinada pela Justiça. Há um direito fundamental tão importante quanto a tão propagada liberdade de expressão, é o Direito à Prestação Jurisdicional. Gostem ou não, a Cicarelli e seu namorado estão no pleno gozo de seus direitos (desculpe o trocadilho) quando moveram as suas respectivas ações contra o Youtube. Não há mal algum em criticar a iniciativa deles, bem como a decisão do Judiciário. Porem, o que tenho visto e lido são inúmeros ataques a figura da Cicarelli, como por exemplo na foto publicada pelo BrLinux em uma de suas notícias sobre o caso.

Marcadores: Direito

É impressionante como existem artigos de péssima qualidade sobre segurança da informação. Este artigo comete um erro primário ao confundir o conceito de ameaça com vulnerabilidade. Entre os exemplos de ameaça citados erroneamente estão:

• Computer and network passwords
• Physical assets
• Records of physical assets
• Data backups
• Logging of data access
• Long-distance calling
• Emails

Não é à toa que o autor do artigo não é identificado.

This initiative aims to serve as an effort to improve Mac OS X, uncovering and finding security flaws in different Apple software and third-party applications designed for this operating system. A positive side-effect, probably, will be a more concerned (security-wise) user-base and better practices from the management side of Apple. Also, we want to develop and provide tools and documented techniques to aid security research in this platform. If nothing else, we had fun working on it and hope people-with-a-brain out there will enjoy the results.

the Month of Apple Bugs