Gbitten

terça-feira, setembro 30, 2008

 

Segurança vs. Inovação

Quando segurança é visto como um obstáculo para inovação, algo está errado.
THE study, done by research firm IDC on behalf of RSA Security, shows that the majority of senior managers believe IT security risk is the largest single obstacle to innovation in their businesses right now. Much of this stems from the belief that security personnel are inclined to simply say no to whatever request they receive from a line of business executive and that even if they do agree to help with a given initiative, the turnaround time will be too long to be of any use, the research shows.
IT security not valued at many firms, study finds by Dennis Fisher

Marcadores: ,


 

Apresentação sobre gerenciamento de log

Marcadores: , ,


segunda-feira, setembro 29, 2008

 

Métricas econômicas e financeiras de segurança

Este paper de Rainer Böhme e Thomas Nowey é realmente bom. A sua primeira parte resume muito habilidosamente os principais métodos de decisão financeira para investimentos em segurança da informação, tais como ALE (Annual Loss Expectancy), algumas variações de ROSI (Return on Security Investment) e NVP (Net Present Value). Além disso, ele analisa algumas da deficiências destes métodos.

A segunda parte descreve algumas métricas de segurança baseadas em mecanismos de mercado. É um assunto muito interessante que merece mais da minha atenção no futuro. A propósito, este paper é originalmente um capítulo do livro “LNCS 4909 Dependability Metrics”.

Marcadores: , , ,


segunda-feira, setembro 22, 2008

 

Segurança por corretude, isolamento ou obscuridade

Como frequentemente ocorre, Joanna Rutkowska postou algumas idéias interessantes:

IF we looked at the computer systems and how they try to provide security, I think we could categorize those attempts into three broad categories:

  1. Security by Correctness
  2. Security by Isolation
  3. Security by Obscurity
Mais aqui.

Marcadores:


quarta-feira, setembro 17, 2008

 

Teste de software e risco quantitativo

Blogs sobre teste de software

Artigo sobre risco quantitativo (o título já diz tudo)

Marcadores:


segunda-feira, setembro 15, 2008

 

Novos caminhos para gestão de segurança

Segurança da informação tem duas grandes vertentes: uma tecnológica e outra de gestão. A primeira vertente avança com grande velocidade a ponto de ser difícil de acompanhar. Já a segunda, não apresenta nada de verdadeiramente novo a um bom tempo.

Basicamente o que vemos hoje é gestão baseada em conformidade, em risco ou em ambos. Modelos de gestão por conformidade são fundamentados em ditas melhores práticas do mercado, porem sofrem por não conseguirem apresentar o valor real que estas práticas trazem a organização.

Modelos de gestão por risco também têm suas limitações. Os que trabalham com riscos qualitativos, trazem a dificuldade de associação do risco identificado com a realidade percebida pela organização, pois o risco identificado depende fundamentalmente do ponto de vista de quem o identificou. Por sua vez, realizar o cálculo de risco quantitativo em segurança da informação uma tarefa extremamente árdua e muitas vezes inviável quando se busca um resultado útil e honesto para a gestão.

Será que estamos fadados a estas opções? Acredito que não. Existem alguns estudos relacionados à teoria econômica (macro e micro) aplicada à segurança da informação. As forças de mercado estão cada vez mais fáceis de serem identificadas nas questões envolvendo segurança da informação. O próximo passo me parece óbvio, por que não utilizar os modelos de gestão econômica para gestão de segurança da informação?

Marcadores: ,


terça-feira, setembro 09, 2008

 

YSTS 2.0

Em novembro vai haver a segunda edição do You Sh0t The Sheriff. A primeira edição deste evento foi excelente. Para quem quiser submeter um paper, segue o enlace.

Marcadores:


segunda-feira, setembro 08, 2008

 

ROI em segurança é ...

... como o modelo OSI, só existe na teoria.

Marcadores:


quarta-feira, setembro 03, 2008

 

Best Practices

Dilbert.com

Marcadores:


Arquivos

Janeiro 2000   Fevereiro 2000   Março 2000   Julho 2005   Agosto 2005   Setembro 2005   Outubro 2005   Novembro 2005   Dezembro 2005   Janeiro 2006   Março 2006   Abril 2006   Maio 2006   Junho 2006   Julho 2006   Agosto 2006   Setembro 2006   Outubro 2006   Novembro 2006   Dezembro 2006   Janeiro 2007   Fevereiro 2007   Abril 2007   Maio 2007   Junho 2007   Julho 2007   Agosto 2007   Setembro 2007   Outubro 2007   Novembro 2007   Janeiro 2008   Fevereiro 2008   Março 2008   Junho 2008   Setembro 2008   Novembro 2008   Dezembro 2008   Junho 2009   Julho 2009   Agosto 2009   Setembro 2009   Outubro 2009   Dezembro 2009   Fevereiro 2010  

This page is powered by Blogger. Isn't yours?

Assinar Postagens [Atom]