GR TIPS

Da leitura do segundo livro da nova versão do ITIL – Desenho de Serviço – um tópico me chamou bastante atenção dada sua complexidade e a extrema dificuldade de sua ampla compreensão (por parte do quadro executivo das organizações) e conseqüente implementação em organizações com um acentuado tom político de gestão: a composição de um serviço.

Muitos são os aspectos que precisam ser observados durante todo o ciclo de vida de um serviço:

• As necessidades funcionais associadas à provisão do serviço, ou seja, a dependência e o relacionamento entre o serviço e os demais processos de negócio já consolidados no ambiente organizacional;
• Os contratos de nível de serviço que especificam e, em tese, garantem junto aos usuários o nível, escopo e qualidade do serviço disponibilizado;
• A infra-estrutura e o ambiente necessários à operação do serviço;
• Os dados necessários ao suporte deste serviço e à provisão de informações exigidas pelos demais processos de negócio;
• As demais aplicações que possuem interface com o novo serviço e que se interagem através do intercâmbio de dados entre si;
• Os serviços e equipes de suporte necessários para garantir a operação do serviço disponibilizado;
• Os contratos e acordos de nível operacional que visam asseverar a qualidade demandada ao serviço;
• Os fornecedores de insumos e/ou componentes indispensáveis à provisão do serviço.

Mas como traduzir toda a inter-relação entre o serviço e os componentes relacionados acima? Como demonstrar as relações entre cada componente, suas interações e dependências junto a outros componentes e serviços em um ambiente decisório extremamente politizado? Como justificar, ou não, o desenvolvimento de um novo serviço após a efetiva análise de todos os componentes afetados pelo mesmo?

Neste tipo de organização com acentuada segmentação decisória, onde são constantes as alterações de prioridades e onde restrições orçamentárias são impostas por exigências legais para a realização de investimentos e aquisições, é facilmente percebível, mas não igualmente justificável, onde residem os fracassos nas implementações de serviços.

A falta de ferramentas, automatizadas ou não, voltadas à consolidação e demonstração de toda esta intricada rede de relacionamentos entre serviços e seus componentes e a já conhecida e habitual forma de atuação no estilo “apaga incêndio” (acentuando a falta de planejamento que deve preceder a fase de desenho de um novo serviço) restringem e limitam a aplicação das melhores práticas relacionadas à gestão da Tecnologia da Informação para o cenário apresentado.

E você? Já viveu ou vive estes mesmos problemas durante a execução de suas atividades? Como conseguiu contorná-los e desenvolver um novo serviço considerando todos os seus aspectos relevantes e minimizando as chances de fracasso de sua implementação?

Contribua com sua experiência e colabore com o blog no sentido de disseminar como as melhores práticas de gestão podem REALMENTE agregar valor ao negócio.

O prazo de retorno de uma aplicação é um importante indicador de risco. Quanto menor este prazo, menor também é a chance da solução desenvolvida tornar-se obsoleta e mais flexível se torna a organização na adoção de novas tecnologias. Além disto, prazos de retornos menores possibilitam o desenvolvimento de soluções intermediárias que vão substituindo ao longo do tempo as soluções deficientes evitando o longo prazo de espera de uma substituição integral.

Decisões relativas ao desenvolvimento de software são permanentes? Conhecidos os prazos e esforços associados a decisões deste tipo gostaríamos de acreditar que sim. O problema é que tecnologias evoluem e novas soluções rapidamente tornam ultrapassadas as soluções existentes. Como exemplo, posso citar decisões recentes vividas ao longo de minha carreira: organizações que decidiram por soluções centralizadas baseadas em mainframes e terminais burros a menos de 12 anos atrás se viram obrigadas a rever suas opções e direcionar suas estratégias para o desenvolvimento de sistemas baseados na web. Infelizmente, se a organização não conseguiu obter retorno suficiente do sistema antigo para cobrir seus custos de desenvolvimento, todos os seus esforços resultaram em um ROI negativo. Para estes casos, o prazo de retorno de uma solução - o ponto no tempo após o seu desenvolvimento onde seus benefícios equivalem-se aos seus custos - é uma medida crítica de seus riscos e deveria ser encarada também como uma importante medida a respeito da flexibilidade da organização.

RISCOS

Para a avaliação de riscos, quanto maior o prazo de retorno de uma aplicação, maiores as chances de ocorrência de dois tipos de riscos: tecnológicos ou financeiros.

Riscos tecnológicos são os riscos de uma nova tecnologia tornar as soluções existentes obsoletas. O surgimento da internet apresentou numerosos exemplos de aplicações clientes-servidores bem projetadas e desenvolvidas mas que tornaram-se obsoletas praticamente de um dia para o outro. Diversas organizações que investiram em projetos clientes-servidores de longo prazo se viram forçadas a abandonar estas aplicações e partir para o desenvolvimento de aplicações baseadas na web. Aquelas que optaram por projetos com prazos de retorno menores provavelmente conseguiram recuperar seus custos antes de descartar a aplicação integralmente.

Os riscos financeiros são aqueles onde um fator não-tecnológico influencia a aplicação. Fusões, aquisições, mudanças no quadro gestor e pressões competitivas influenciam a infra-estrutura corporativa tecnológica e pode reduzir a chance de se obter o ROI esperado.

FLEXIBILIDADE

Você pode não desejar mudar para uma nova tecnologia - mas seu competidor pode. No atual ambiente extremamente competitivo do mercado, adotar aplicações com logos prazos de retorno influencia de forma negativa a habilidade corporativa de reação rápida às oportunidades trazidas pela nova tecnologia. Organizações tradicionais estabelecidas apenas no mundo físico apresentaram grandes dificuldades em se estabelecer no mundo virtual. Elas gastaram um tempo considerável integrando seus processos existentes e soluções legadas enquanto organizações “virtuais” estabeleceram-se muito rapidamente. Seus sistemas de groupware alcançaram seus fornecedores e clientes? Organizações com sistemas de mensagens legados vêm reagindo vagarosamente aos benefícios de uma extranet e estão se distanciando de iniciativas mais flexíveis. Estas organizações estão sobrecarregadas com os custos de decisões tomadas anos atrás.

Uma vez alcançado o prazo de retorno é necessária a contínua avaliação dos benefícios de todas as soluções existentes e o rápido descarte  daquelas tornadas obsoletas por qualquer nova tecnologia.

DESENVOLVER E SUBSTITUIR

A flexibilidade alcançada pela adoção de curtos prazos de retorno oferece uma oportunidade para avaliar soluções de software de curto prazo ou descartáveis. Você pode decidir que uma solução perfeita leve três anos para ser desenvolvida, mas uma solução temporária pode prover benefícios reais à corporação neste interim. O cálculo do prazo de retorno permite o desenvolvimento rápido de uma solução, sabendo-se que mesmo incompleta, sua intenção é de ser substituída em um futuro de curto prazo.

Seguir uma estratégia de desenvolvimento e substituição pode ser uma forma mais efetiva de se maximizar o ROI para a corporação. Implementar imediatamente uma boa solução enquanto se planeja uma solução futura melhor ou mais completa, possibilita o aumento do retorno imediato do ROI enquanto oferece a flexibilidade de mudança de direção futura no caso do estabelecimento de uma nova tecnologia.

A McAfee publicou recentemente a segunda edição de um estudo que apresenta um mapeamento dos perigos da web.

Baseado no banco de dados de análise de seu produto McAfee SiteAdvisor, a nova versão apresenta avaliações mais aprofundadas, com maior precisão e considera também aspectos como detecção de spyware e outras ameaças.

O relatório, disponível em português, pode ser consultado através deste link.

O Site Efetividade.net acaba de lançar uma promoção de aniversário, a qual transcrevo abaixo. Trata-se de uma excelente iniciativa que mesmo sem relação direta com o tema do Blog GR TIPS, vale a pena ser apoiada.

Ajude a sustentar a Wikipédia e outros projetos, sem colocar a mão no bolso, e concorra a um Eee PC!

…e também a pen drives, card drives, camisetas geeks, livros e mais! O BR-Linux e o Efetividade lançaram uma campanha para ajudar a Wikimedia Foundation e outros mantenedores de projetos que usamos no dia-a-dia on-line. Se você puder doar diretamente, ou contribuir de outra forma, são sempre melhores opções. Mas se não puder, veja as regras da promoção e participe - quanto mais divulgação, maior será a doação do BR-Linux e do Efetividade, e você ainda concorre a diversos brindes!

Recebi uma nova dica de Bibliografia referente à Gestão de Riscos para compartilhá-la.  Segue o link abaixo.

Desafio aos Deuses: A Fascinante História dos Riscos - Peter L. Bernstein

Tenho recebido diversas mensagens no Blog solicitando informações a respeito de bibliografias relativas às áreas de Gestão de Riscos e Governança. Por isso achei conveniente publicar um post com algumas sugestões de livros que eu considero interessantes e que podem ser encontrados facilmente.

Information Security Management Handbook Autores: Micki Krause, Harold F. Tipton ISBN: 0849399475

Security Officer Autor: Anderson Ramos ISBN: 8588840480

Governança de TI: Tecnologia da Informação Autores: Peter Weill e Jeanne W. Ross ISBN: 8589384780

A Estratégia em Ação: Balanced Scorecard Autores: David Norton e Robert Kaplan ISBN: 8535201491

Para encerrar a série de posts a resepeito das novas formas de ataques dos cibercriminosos, passo a discorrer sobre os três pilares principais necessários a uma solução completa de segurança ao ambiente web:

• Filtragem baseada em reputação
• Filtros de predição de ameaças em tempo real
• Filtragem baseada em conteúdo

Filtragem baseada em reputação

Este é o primeiro componente crítico na luta contra as ameaças baseadas na web. Estes filtros previnem o acesso a sites conhecidos por hospedarem malware ou outros conteúdos indesejáveis, através da filtragem das URL’s baseado em suas reputações (”boa” ou “má”) e são uma ferramenta estabelecida e testada para proteger de maneira satisfatória contra as ameaças já conhecidas e localizadas. Ao proverem esta forma básica de proteção preventiva, eles auxiliam também na otimização da performance da rede e na produtividade de seus usuários, bloqueando o acesso a conteúdos inapropriados, ilegais ou não relacionados ao negócio da organização.

Embora estes filtros geralmente se conectem à grandes e freqüentemente atualizadas bases de dados de sites conhecidos pela hospedagem de malware ou conteúdo suspeito, eles possuem uma falha significativa: eles não oferecem proteção contra malware hospedado em sites previamente classificados como seguros, a sites que se tornaram “sequestrados” ou a recém criados websites. O tráfego destes sites não é bloqueado e o malware, seja recém desenvolvido ou não, infecta a rede da organização.

Filtros de predição de ameaças em tempo real Os filtros de predição de ameaças em tempo real atuam como uma forma de preencher as brechas de segurança deixadas pelos filtros baseados em reputação. Todo o tráfego web passa através de um scanner desenvolvido para identificar ambos malware’s conhecidos ou recém criados. O engine do malware é otimizado para um escaneamento de baixa latência e sempre que qualquer usuário acessa um website, desconsiderando-se sua reputação ou categoria, seu tráfego é escaneado utilizando-se uma combinação de tecnologias baseadas em assinaturas e análise de comportamento. Um valor agregado a este tipo de filtro é que a filtragem é realizada, por definição, bi-direcionalmente - tanto a requisição do usuário quanto a informação retornada pelo servidor web são escaneadas.  Em adição à detecção de malware’s conhecidos à medida que movem-se entre sites legítimos, esta filtragem bi-direcional pode também provê proteção contra novas ameaças independentemente de seus locais de hospedagem.

A utilização de filtros de predição de ameaças em tempo real ainda não é comum entre as soluções de segurança web no mercado hoje. A maioria delas conta somente com filtros baseados em assinatura.

Filtragem baseada em conteúdo

Esta técnica analisa todo o tráfego web na rede para determinar o verdadeiro tipo de arquivo do conteúdo originado de qualquer website e pode permitir ou bloquear este tráfego baseado em políticas corporativas. Os filtros de conteúdo escaneam o conteúdo de um arquivo em vez de simplesmente verificarem suas extensões ou o MIME-Type reportado pelo servidor web e assim podem identificar e bloquear arquivos que tentam mascarar seus conteúdos. Um arquivo pode, por exemplo, apresentar uma extensão TXT mas de fato ser um arquivo executável. Ao definir somente a execução de conteúdo relacionado ao negócio, este pilar de proteção possibilita às organizações criarem políticas a respeito de uma grande variedade de tipos de arquivos que podem ser utilizados para distribuírem malware, reduzindo os riscos de infecção.

Filtros baseados em conteúdo também ampliam a otimização da banda de rede através do bloqueio de conteúdos de tamanho elevado ou consumidores de recursos. como vídeo streaming.

À despeito de toda a tecnologia envolvida em ambos os lados desta batalha, a educação dos usuários ainda é aspecto fundamental, relegado muitas vezes pelos gestores de segurança de nossas organizações. Sem uma conscientização e treinamento constantes e maciços, sempre haverão brechas a serem exploradas. Equilibrar a proteção necessária aos recursos às necessidades e expectativas de nossos usuários sem dúvida é o maior desafio dos responsáveis pela segurança da informação nas mais diversas organizações.

Basedo em tradução do artigo publicado pela empresa Sophos - Safe and productive browsing in a dangerous web world: The chalenge for business

Continuando o post anterior, apresento a seguir novos truques utilizados pelos hackers em seus esforços em um novo campo de ataque: o ambiente web.

Explorar erros de digitação por parte dos usuários

Ao criarem websites utilizando nomes de domínios similares àqueles utilizados por sites confiáveis (por exemplo “Goggle” em vez de “Google” ou utilizando uma extensão de domínio diferente - “.org” em vez de “.com”) os hackers podem se utilizar desses erros comum de usuários para disseminarem seus códigos maliciosos em páginas web. Por causa de suas aparências bastantes similares aos sites visitados pelos usuários, os hackers podem facilmente enganá-los e obrigá-los a baixar conteúdos aparentemente seguros.

Guiar o usuário ao malware através de ataques em “fast-flux spam”

Em vez de encaminhar seus códigos maliciosos através de arquivos anexados aos e-mails, os cibercriminosos passaram a enviar em seus spams apenas os links para páginas infectadas Atrás destes links existe um exército de computadores infectados, conhecidos como “Botnets” atuando como web hosts. O criador do malware percorre todos estes equipamentos com seu código provendo uma mudança constante da página infectada. Este processo de mudança rápida de endereço IP do computador que hospeda o código malicioso é conhecido como “fast flux - fluxo rápido” e aumenta as dificuldades de busca e bloqueio dos ataques spam associados por parte dos filtros de segurança.

Ultrapassar as defesas de segurança através de alterações rápidas

Contrastando totalmente com o método “atire e esqueça” dos vírus e worms orientados a e-mailI, as ameaças atuais da web estão constantemente sendo adaptadas e modificadas afim de ultrapassar qualquer tipo de defesa. Através do reempacotamento de ameaças diversas vezes, os cibercriminosos podem criar numerosas pequenas variações de seus códigos, muitos dos quais podem passar despercebidos pelas soluções de segurança. Este processo pode até ser automatizados permitindo aos criminosos gerar múltiplas variantes de seu malware em um único dia. Esta modificação constante de código não somente permite aos hackers comprometerem mais computadores, mas também significa que uma vez infectado, estes permanecem infectados por mais tempo do que antes. Ao alterar as características de seus códigos continuamente, os hackers podem enganar as ferramentas de detecção de malware baseadas em assinaturas (ou aquelas com capacidade de escaneamento relativamente pobre) e instalar mais códigos maliciosos como spywares ou adwares ao computador. Alternativamente, estes computadores podem ser utilizados para lançar repetidas campanhas de spams ou proferir ataques de negação de serviços (DOS - Denial-of-service).

Esta evolução constante das ameaças ao ambiente web e a exploração quase instantânea das vulnerabilidades descobertas pelos criadores de códigos maliciosos atribui uma nova dimensão às atividades dos responsáveis pela segurança da informação nas organizações. Não é mais suficiente apenas garantir a proteção a seus servidores de e-mail e sistemas fim. Eles precisam garantir a navegação na web por parte de seus usuários de forma segura, sem riscos à segurança, aos recursos de rede e à sua produtividades. Além de manter práticas preventivas regulares como atualização de patches e conscientização dos usuários a respeito dos riscos envolvidos na navegação pela internet, é vital que as organizações implementem uma solução completa de segurança ao ambiente web compreendendo seus três pilares principais:

• Filtragem baseada em reputação
• Filtros de predição de ameaças em real-time
• Filtragem baseada em conteúdo

No próximo post falarei um pouco mais sobre cada um destes três pilares.

Basedo em tradução do artigo publicado pela empresa Sophos - Safe and productive browsing in a dangerous web world: The chalenge for business
1 - 2007 Annual Study: Cost of a Data Breach – Ponemon Institute, November 2007

Até pouco tempo, o e-mail era o principal vetor de ataque dos cibercriminosos. Entretanto, a percepção dos riscos e as medidas de proteção adotadas pelas organizações foram ampliadas. Dessa forma os hackers voltaram suas atenções para o ainda desprotegido ambiente da web. Passaram a utilizar então malware baseados em páginas web para dar continuidade a seus ataques visando a obtenção de informações confidenciais ou o estabelecimento de botnets - redes de computadores “sequestrados” - através das quais possam distribuir spyware, vírus, spam e outras ameaças.

Constantemente obtendo vantagens das novas vulnerabilidades relacionadas à infra-estrutura ou aos browsers, os hackers são capazes de inserir seus maliciosos códigos em websites legítimos.

O impacto desta atividade é extremamente lucrativo para os criminosos - um único computador comprometido pode dar acesso a milhares de registros. E apresenta também um alto custo para os negócios - estimados em U$197,00 por registro de cliente comprometido 1. Além destes importantes riscos de segurança, as organizações passam a lidar com impactos adversos em sua produtividade trazidos pela popularidade das novas redes sociais e outros sites não relacionados ao seu negócio. Essa navegação não autorizada pode causar sobrecarga à rede, ineficiência de seu pessoal e outros riscos de segurança e até mesmo legais no caso de divulgação de dados pessoais ou corporativos.

Diversos fatores contribuem para determinar o sucesso ou falha de um malware, incluindo-se aqui como e para quem ele foi distribuído, como foi executado, o quanto rapidamente ele se espalha e também o quanto ele escapa de uma possível detecção com sucesso. Devido a estes fatores, os hackers desenvolveram novos truques destinados a maximizar a taxa de infecção de seus malware’s. São eles:

Ampliação do alcance através do sequestro de reputação

83 por cento das páginas web infectadas por malware são encontradas em websites legítimos. A forma mais eficiente (considerando custo e tempo) para que um malware infecte o maior número de computadores na internet é hospedá-lo no maior número de sites que as pessoas possam acessar. E isto é exatamente o que esta sendo feito através do “sequestro” da reputação de websites existentes, infectando usuários inocentes através da popularidade e credibilidade das presumidamente seguras URL’s. Embora os hackers também se utilizam da criação de sites infectados utilizando serviços de hospedagem gratuitos e utilizando como nome de domínio um nome similar ao original esta prática é bem menos comum do que o sequestro de reputação.

Uma das formas mais convenientes de executar este tipo de ataque é através da tag HTML <IFRAME>. Ao assumir como alvo um servidor web inseguro ou explorar alguma nova vulnerabilidade antes da aplicação de seu patch, os hackers podem facilmente injetar inúmeras páginas em diversos websites com um malicioso iFrame. Como este código é praticamente invisível (pode ter a dimensão de 1×1 pixel ou até mesmo ser definido como 0), o conteúdo pode ser carregado sem o conhecimento do administrador do site ou de seu visitante.

Encobrir o ataque através do disfarce de uma ferramenta de download

Em vez de inserir seu código malicioso diretamente em uma página web, os cibercriminosos freqüentemente plantam utilitários para download. Estes Trojans são desenvolvidos para escaparem da maioria dos mecanismos de defesa. Eles contém minúsculos códigos e não aparentam possuir uma carga maliciosa direta. Em vez disso, uma vez instalados, eles baixam a efetiva carga maliciosa de um outro website, normalmente através de uma porta não padrão. Em exemplos mais complexos o mecanismo de infecção pode envolver outros componentes que recuperam seus conteúdos de múltiplos domínios ou até mesmo recebem o malware em pedaços para evitar detecção remontando-o ao final. A carga também pode ser adiada para evitar detecção, remontando-o ao final do processo. A carga final pode ser também adiada tornando mais difícil para os usuários - e para as tecnologias de segurança comportamentais - observar qualquer atividade suspeita.

Infecção silenciosa através de download

Infecção silenciosa guiada por download não requer nada mais do que o acesso à uma página infectada utilizando um browser vulnerável - sem a aplicação dos patches devidos. Os usuários não precisam ser levados a clicar em links ou abrirem algum arquivo particular. Seu computador torna-se infectado simplesmente através da visita ao site explorado pelo autor do malware.
O problema para os administradores de site aqui é a manutenção atualizada dos browsers e seus plugins e não somente à de seu sistema operacional. Existem diversos patches lançados mensalmente para browsers e seus plugins - todos de diferentes desenvolvedores. Em apenas um exemplo do problema, no início de 2008 um controle ActiveX para upload de imagens utilizado pelos sites MySpace e Facebook deixou seus usuários vulneráveis ao ataque. Geralmente utilizado em combinação com o sequestro de reputação que provê a melhor maneira para alcançar suas vítimas, a infecção por download é um dos mecanismos mais efetivos das ferramentas hacker.

No próximo post ilustrarei mais alguns dos truques utilizados pelos hackers neste novo foco de ataque adotado.

Basedo em tradução do artigo publicado pela empresa Sophos - Safe and productive browsing in a dangerous web world: The chalenge for business
1 - 2007 Annual Study: Cost of a Data Breach – Ponemon Institute, November 2007

Nas próximas semanas a ABNT - Associação Brasileira de Normas Técnicas - estará lançando uma nova norma que estabelece o processo, os princípios e a terminologia da Gestão de Continuidade de Negócios (GCN). Trata-se da norma ABNT NBR 15999-1.

O evento terá a forma de um seminário que apresentará a atual situação brasileira e os passos para adoção da ISO 31000 como norma brasileira além do lançamento propriamente dito da norma ABNT NBR 15999-1:2007 Parte 1 - Código de Prática.

O seminário será realizado no Rio de Janeiro, em Belo Horizonte e em São Paulo.

Maiores informações podem ser encontradas neste link e para se inscrever diretamente no seminário clique aqui.