Gbitten

terça-feira, setembro 30, 2008

Segurança vs. Inovação

Quando segurança é visto como um obstáculo para inovação, algo está errado.

THE study, done by research firm IDC on behalf of RSA Security, shows that the majority of senior managers believe IT security risk is the largest single obstacle to innovation in their businesses right now. Much of this stems from the belief that security personnel are inclined to simply say no to whatever request they receive from a line of business executive and that even if they do agree to help with a given initiative, the turnaround time will be too long to be of any use, the research shows.

IT security not valued at many firms, study finds by Dennis Fisher

Marcadores: Artigo, Gestão de segurança

postado por Gustavo Araujo Bittencourt # 10:36 PM

Apresentação sobre gerenciamento de log

Logs = Accountability by Dr Anton Chuvakin

Marcadores: Controle, Gestão de segurança, Log

postado por Gustavo Araujo Bittencourt # 5:46 AM

segunda-feira, setembro 29, 2008

Métricas econômicas e financeiras de segurança

Este paper de Rainer Böhme e Thomas Nowey é realmente bom. A sua primeira parte resume muito habilidosamente os principais métodos de decisão financeira para investimentos em segurança da informação, tais como ALE (Annual Loss Expectancy), algumas variações de ROSI (Return on Security Investment) e NVP (Net Present Value). Além disso, ele analisa algumas da deficiências destes métodos.

A segunda parte descreve algumas métricas de segurança baseadas em mecanismos de mercado. É um assunto muito interessante que merece mais da minha atenção no futuro. A propósito, este paper é originalmente um capítulo do livro “LNCS 4909 Dependability Metrics”.

Marcadores: Economia, Gestão de segurança, Métrica, ROI

postado por Gustavo Araujo Bittencourt # 7:46 AM

segunda-feira, setembro 22, 2008

Segurança por corretude, isolamento ou obscuridade

Como frequentemente ocorre, Joanna Rutkowska postou algumas idéias interessantes:

IF we looked at the computer systems and how they try to provide security, I think we could categorize those attempts into three broad categories:
Security by Correctness
Security by Isolation
Security by Obscurity

Mais aqui.

Marcadores: Artigo

postado por Gustavo Araujo Bittencourt # 8:27 AM

quarta-feira, setembro 17, 2008

Teste de software e risco quantitativo

Blogs sobre teste de software

Artigo sobre risco quantitativo (o título já diz tudo)

The Fallacy of Complete and Accurate Risk Quantification

Marcadores: Links

postado por Gustavo Araujo Bittencourt # 9:59 PM

segunda-feira, setembro 15, 2008

Novos caminhos para gestão de segurança

Segurança da informação tem duas grandes vertentes: uma tecnológica e outra de gestão. A primeira vertente avança com grande velocidade a ponto de ser difícil de acompanhar. Já a segunda, não apresenta nada de verdadeiramente novo a um bom tempo.

Basicamente o que vemos hoje é gestão baseada em conformidade, em risco ou em ambos. Modelos de gestão por conformidade são fundamentados em ditas melhores práticas do mercado, porem sofrem por não conseguirem apresentar o valor real que estas práticas trazem a organização.

Modelos de gestão por risco também têm suas limitações. Os que trabalham com riscos qualitativos, trazem a dificuldade de associação do risco identificado com a realidade percebida pela organização, pois o risco identificado depende fundamentalmente do ponto de vista de quem o identificou. Por sua vez, realizar o cálculo de risco quantitativo em segurança da informação uma tarefa extremamente árdua e muitas vezes inviável quando se busca um resultado útil e honesto para a gestão.

Será que estamos fadados a estas opções? Acredito que não. Existem alguns estudos relacionados à teoria econômica (macro e micro) aplicada à segurança da informação. As forças de mercado estão cada vez mais fáceis de serem identificadas nas questões envolvendo segurança da informação. O próximo passo me parece óbvio, por que não utilizar os modelos de gestão econômica para gestão de segurança da informação?

Marcadores: Economia, Gestão de segurança

postado por Gustavo Araujo Bittencourt # 11:23 PM

terça-feira, setembro 09, 2008

YSTS 2.0

Em novembro vai haver a segunda edição do You Sh0t The Sheriff. A primeira edição deste evento foi excelente. Para quem quiser submeter um paper, segue o enlace.

Marcadores: Evento

postado por Gustavo Araujo Bittencourt # 8:19 PM

segunda-feira, setembro 08, 2008

ROI em segurança é ...

... como o modelo OSI, só existe na teoria.

Marcadores: ROI

postado por Gustavo Araujo Bittencourt # 10:16 PM

quarta-feira, setembro 03, 2008

Best Practices

Marcadores: Fun

postado por Gustavo Araujo Bittencourt # 8:27 PM

Arquivos

janeiro 2000 fevereiro 2000 março 2000 julho 2005 agosto 2005 setembro 2005 outubro 2005 novembro 2005 dezembro 2005 janeiro 2006 março 2006 abril 2006 maio 2006 junho 2006 julho 2006 agosto 2006 setembro 2006 outubro 2006 novembro 2006 dezembro 2006 janeiro 2007 fevereiro 2007 abril 2007 maio 2007 junho 2007 julho 2007 agosto 2007 setembro 2007 outubro 2007 novembro 2007 janeiro 2008 fevereiro 2008 março 2008 junho 2008 setembro 2008 novembro 2008 dezembro 2008 junho 2009 julho 2009 agosto 2009 setembro 2009 outubro 2009 dezembro 2009 fevereiro 2010

Assinar Postagens [Atom]