Gbitten

Neste artigo do Fernando Marinho, me deparei com um erro comum sobre o ROI. Em certo momento o autor afirma:

Um cálculo de ROI auxilia a avaliação de perdas financeiras para a empresa, em caso de ocorrência de Eventos.

O ROI é uma medida de rentabilidade de um investimento, e não se adequa com ferramenta avaliação de perdas financeiras. Seu objetivo mais comum é ferramentar uma desição de investimento. Já um outro uso possível, é avaliar o sucesso de um investimento comparando o ROI estimado previamente com o retorno real aferido após o investimento realizado.

Os que me conhecem, sabem a minha opinião sobre ROI para segurança da informação. A meu ver, estes ROIs não passam, na grande maioria das vezes, de peças de ficção devido a enorme dificuldade em conseguir variáveis minimamente confiáveis para calculá-los.

Além disso, a utilização do ROI como ferramenta de decisão para um BCP me parece inadequada, pois o BCP deve se basear no Risco ao Negócio que a empresa se dispoem a aceitar, e não no retorno de investimento que um projeto deste tipo pode obter.

Marcadores: BCP, ROI

Hilário.

• http://www2.latech.edu/~marion/detritus/TheKnack.mpg

Marcadores: Cartoon, Fun

Este artigo é sobre quanto dinheiro e esforço tem sido gasto no treinamento de usuários porem os resultados não têm sido nada bons. Isto não é nenhuma novidade. Enquanto a segurança de computadores permanecer complexa e obscura, será desperdício de dinheiro investir largas somas em treinamento de segurança. Para ser efetivo, a segurança de computador precisa ser simples e óbvia para o usuário normal, assim como a segurança no trânsito é para os motoristas.

Marcadores: Artigo

• Direito da Tecnologia da Informação
• DNT - O Direito e as novas tecnologias

Marcadores: Direito

Resolvi me aventurar a escrever um blog com o meu parco inglês (que Deus tenha piedade de mim).

• Infosec Migrant

Marcadores: Aviso

Richard Bejtlich sobre a "webificação" dos serviços:

We've got 65535 TCP ports to use and the whole world is collapsing onto one. Argh.

Marcadores: BombaDeFumaça, Quote

Existem Analistas para quase tudo:

• Analista de Sistema
• Analista de Suporte
• Analista de Segurança
• Analista de Crédito
• Analista de Recursos Humanos

Um analista evidentemente realiza análises. Mas que é uma análise? Análise, normalmente, é o procedimento de dividir um problema ou uma situação em várias partes para poder compreendê-la. Bons analistas fazem isso todos os dias. Na análise de risco, por exemplo, "quebra-se" uma organização em: áreas de negócios, sistemas, ativos, vulnerabilidades, ameaças, etc.

O final de um análise frequentemente resulta em um relatório com centenas (até milhares) de páginas. Mesmo assim, a sensação comum neste momento é de que falta alguma coisa. E realmente falta, pois tão importante quanto a análise, é a síntese.

A Síntese é o processo de combinar as diversas parte para formar um todo coerente. A Análise e a Síntese são os dois lados da mesma moeda. Nenhum dos métodos deve ser menosprezado em relação ao outro. A síntese depende dos resutados obtidos na análise. A análise depende da síntese para ordenar e verificar seus resultados.

Continuem a fazer boas análises, mas também realizem excelentes sínteses. Não deixe de ser Analistas e sejam cada vez mais "Sintesistas".

Marcadores: Viagem

A saga do PLS 76/2000 continua:

30/01/2007 CCJ - Comissão de Constituição, Justiça e Cidadania Situação: PRONTO PARA A PAUTA NA COMISSÃO Retorna à CCJ. Matéria aguardando instalação da Comissão.

http://www.senado.gov.br/sf/atividade/Materia/Detalhes.asp?p_cod_mate=43555

Marcadores: Direito

Vendedor: Bom dia Sr. João, gostaria de parabenizá-lo pela compra do carro novo, mas antes de entregar as chaves você precisa assinar o Termo de Responsabilidade.

João: Como assim?

Vendedor: Você precisa assinar este termo declarando de que você está ciente do conteúdo da PSUA.

João: PSUA?

Vendedor: Sim, nossa Política de Segurança para o Uso de Automóveis.

João: Tá certo, onde assino?

Vendedor: Aqui na última página, e não esqueça rubricar todas as outras 17 páginas do termo.

5 minutos depois...

João: Ufa terminei, onde está a chave?

Vendedor: Antes o senhor precisa passar pelo nosso programa de conscientização de segurança no trânsito, na qual você assitirá uma palestra, receberá um manual de segurança, uma cartilha de boas práticas, um folheto com as diretrizes de segurança, e fará uma rápida avaliação do seu nível conscientização.

João: Quando isso vai demorar?

Vendedor: Nosso programa de conscientização dura apenas 1 dia, e no seu final, você receberá um PIN com o dizer "Sou um motorista consciente".

João: UM DIA!

No dia seguinte ...

João: Pronto, já fiz o maldito programa de conscientização. Cadê a chave do MEU CARRO?

Vendedor: Devo alertá-lo que o senhor deve trocar a chave do carro a cada 30 dias. E caso não use a chave por 60 dias, o carro será automaticamente bloqueado. Também não é permitido compartilhar a chave do carro com sua esposa ou filho, a chave do carro é pessoal e intransferível.

João: Ok, ok, ok, não sou casado, nem tenho filhos. Cadê a chave do meu carro?

Vendedor: Aqui está senhor. A chave azul é da porta do carro, a chave vermelha é do porta-mala e a chave verde é da ignição.

João: Finalmente!

10 minutos depois...

João: Oi, esta chave não funciona, não abre o carro de jeito nenhum.

Vendedor: O senhor está abrindo com a chave errada, a da porta do carro é a chave azul.

João: Ok, obrigado.

Mais 10 minutos ...

João: A chave azul também não abre o carro.

Vendedor: Qual a mensagem que aparace ao tentar abrir?

João: Sei lá que mensagem aparace, eu quero ABRIR O MEU CARRO.

Vendedor: Vamos ver ... Já sei qual é o problema. O carro foi bloqueado pois senhor tentou abri-lo 3 vezes com uma chave errada. Para obter uma nova chave o senhor precisa se dirigir ao Help Desk da concessionária.

No HelpDesk...

Atendente: Estamos providenciando uma chave provisória. O senhor deve gerar uma chave definitiva após abrir o carro pela primeira vez.

João: Como assim?

Atendente: Está tudo explicado na página 347 da PSUA, na seção sobre Procedimento para Utilização Segura de Chave Automobilística.

Já dentro do carro, João é abordado por um funcionário da concessionária ...

CISO: Senhor João. Como Chief of Internal-motor-vehicle Security Officer da concessionária, sou obrigado alertá-lo que o senhor está desrespeitando a norma 6.5.7.2 da PSUA.

João: Que P$%¨@$ de norma é essa.

CISO: Diz respeito a nossa Política de Painel-Limpo. O senhor não deve deixar papéis expostos sobre o painel de seu carro.

João: Mas eu recebi esta papelada inútil no programa de conscientização de vocês. O que devo fazer com esta porcaria?

CISO: Segundo nossa Política de Descarte de Mídia, todo o documento em papel deve ser triturado antes de ser descartado.

João: Porque o senhor não pega isso e enfia no C*

Finalmente, após ser contido enquanto tentava agredir o CISO, João pode dar a partida no seu querido carro novo ...

Computador de bordo: Sr. motorista, de acordo a Política de Segurança para o Uso de Automóveis, todas as suas ações ao volante deste automóvel serão registradas e poderão ser utilizadas pela concessionária.

João: Liga logo.

Computador de bordo: Você está utilizando uma chave temporária, você precisa gerar uma chave nova.

João: Liga, Liga, LIGAAAAAAAAA!!!!

Computador de bordo:

You are not authorized to turn on this car's engine You do not have permission to turn on this car's engine using the credentials that you supplied. Please try the following:

• Contact the Car Shop administrator if you believe you should be able to turn on this car's engine.
• Click the Refresh button to try again with different credentials.

CTTP Error 401.2 - Unauthorized: Access is denied due to server configuration. Internet Car Services (ICS) Technical Information (for support personnel)

• Go to General Motors Product Support Services and perform a title search for the words CTTP and 401.
• Open ICS Help, which is accessible in ICS Manager (inetmgr), and search for topics titled About Security, Authentication, and About Custom Error Messages.

Marcadores: Artigo, Viagem

David Stern expoem sua opinião sobre o lado positivo do esclândalo contábil da Enron, particulamente sobre o efeito que as regulamentações como SOx e PCI trazem as organizações.

• The Silver Lining of Enron

Marcadores: SOx