GR TIPS

Segundo a Symantec o ataque já circula pela internet. Conforme boletim publicado em 22/01, foi identificado o primeiro caso real de ataque ‘drive-by pharming’.

O Pharming é uma técnica que utiliza o seqüestro ou a “contaminação” do DNS (Domain Name Server) para levar os usuários a um site falso, alterando o DNS do site de destino. O sistema também pode redirecionar os usuários para sites autênticos através de proxies controlados pelos phishers, que podem ser usados para monitorar e interceptar a digitação.

Os sites falsificados coletam números de cartões de crédito, nomes de contas, senhas e números de documentos. Isso é feito através da exibição de um pop-up para roubar a informação antes de levar o usuário ao site real. O programa mal-intencionado usa um certificado auto-assinado para fingir a autenticação e induzir o usuário a acreditar nele o bastante para inserir seus dados pessoais no site falsificado.

Outra forma de enganar o usuário é sobrepor a barra de endereço e status de navegador para induzi-lo a pensar que está no site legítimo e inserir suas informações.

A nova lista de dicas de artigos interessantes, abordando tópicos relacionados à Gestão de Riscos e Segurança, desta vez foi sugerida por meu amigo e colaborador Márcio D’Ávila (que por sinal também tem um excelente blog voltado a desenvolvedores). Comentários, críticas e sugestões de novos artigos são sempre bem vindos.

A seção sobre Governança no portal da Computerworld - IDG Brasil é uma boa leitura para quem se interessa pelo assunto: http://www.computerworld.com.br/governanca/
Indico também o download gratuito do Executive Briefing (Guia executivo para decisões estratégicas), em PDF - Chegou a Hora do ITIL 3.0:
http://computerworld.uol.com.br/governanca/2007/10/10/idglead.2007-10-10.3745400492/

As seções sobre Gestão e Infra-estrutura do portal também são úteis:
http://www.computerworld.com.br/gestao/
http://www.computerworld.com.br/infra_estrutura/

Por fim, outro portal da IDG Brasil com conteúdo relacionado
CIO - Estratégias de negócios e TI para líderes corporativos:
http://www.cio.com.br/

Inúmeros estudos e pesquisas vêm comprovando: a Internet é a principal ferramenta utilizada por cibercriminosos para distribuir malware em escala global. E esta conclusão nos leva a uma pergunta crucial: não seria o momento de se pensar em uma Internet mais segura e regulada?

Recente artigo de Larry Seltzer na revista eWeek abordou este tema e apontou algumas dificuldades em se impor algum tipo de governança à Internet. Não existe atualmente, nenhuma estrutura governamental formal obrigando as organizações a, pelo menos, discutirem sobre o tema.

É imperioso nos tempos atuais, que sejam estabelecidas práticas de gerenciamento de riscos e de segurança para a Internet. As organizações públicas e privadas dependem do estabelecimento de práticas de segurança para garantir que suas infra-estruturas críticas continuem operacionais mesmo sobre ataques. Algumas destas organizações, após a adoção de diversas ações voltadas à avaliação do risco da exploração não autorizada de seus sistemas, chegaram à conclusão que protegê-los é mais caro do que reescrevê-los com a premissa da eliminação dos riscos de segurança.

Analisando esta afirmação pergunta-se: o que seria necessário para desenvolver uma nova e mais segura Internet? Alguns bilhões de dólares, umas poucas décadas e uma grande mudança nos processos de negócio são os requisitos iniciais para se pensar em uma resposta definitiva.

Iniciativas neste sentido já vêm sendo tomadas. A “Internet 2” que vem sendo pesquisada e desenvolvida é o primeiro passo. Alguns de seus focos são a integração da segurança, alta performance de transmissão de dados e o desenvolvimento de aplicações avançadas sobre uma rede pública já disponível. Conselhos consultivos, compostos de representantes acadêmicos, da indústria e da área de pesquisas estão sendo formados, cada um com um foco específico em suas áreas de atuação.

Novas tecnologias surgem na Internet a uma taxa alarmante. Redes sociais como o Facebook oferecem a capacidade de ampliar ou até mesmo criar novas aplicações sobre as já disponibilizadas e amplamente utilizadas. A extensa e gratuita disponibilidade de softwares e aplicações neste ambiente acaba por gerar novos tipos de serviços, de formas de desenvolvimento e também de indivíduos que intencionam atacar estes serviços.

Enquanto isto, os fornecedores de segurança continuam correndo atrás na tentativa de prover o máximo de proteção possível a estes serviços.

A nova versão da biblioteca de melhores práticas para o gerenciamento de T.I. - ITIL V3 - traz um novo desafio aos responsáveis pela governança de T.I. nas organizações: como apresentar seus novos conceitos à equipe de gestão de T.I., ao CIO e até mesmo ao próprio negócio? O conceito de ‘Ciclo de Vida dos Serviços’ introduzido pela nova versão requer apoio e um patrocínio que ultrapassa os domínios do departamento de T.I. A Estratégia de Serviços deve ser vendida à toda a organização e seu real valor precisa ser demonstrado.

Em um cenário fictício, onde o departamento de T.I. já tenha alcançado um alto nível de maturidade e onde a Governança de T.I. já faça parte de sua cultura diária, três pilares provavelmente a sustentam:

• Gerenciamento dos Serviços de T.I.
• Gerenciamento do Portifólio de Projetos
• Arquitetura Empresarial

Normalmente, diferentes equipes cuidam de cada uma destas iniciativas e infelizmente, não conversam entre si.

A equipe responsável pelo Gerenciamento do Portifólio de Projetos (também conhecido como PPM - Project Portfolio Management) levanta as demandas e requerimentos do negócio, classifica-as, categoriza-as e, anualmente, executa algum tipo de planejamento após alguns exercícios orçamentários. Esta equipe pode colaborar com a equipe responsável pela Arquitetura Empresarial no sentido de compreender melhor os impactos das novas demandas junto à arquitetura da organização. Pode interagir também com a equipe de Gerenciamento dos Serviços de T.I. nas atividades de Gerenciamento da Capacidade e Gerenciamento de Níveis de Serviço para uma melhor avaliação destas demandas.

A equipe responsável pela Arquitetura Empresarial (Enterprise Architecture -EA) tem como atividades principais a documentação de uma arquitetura básica, a definição de uma arquitetura alvo (ou de transição em alguns casos) baseada nos objetivos e na estratégia de negócio e a identificação de novas oportunidades e projetos. Uma vez identificadas estas novas iniciativas, elas poderão posteriormente ser incluídas na lista de projetos da organização e passar a serem geridas pela equipe do Gerenciamento do Portifólio de Projetos.

Com a V3, a situação torna-se um pouco mais complexa e exige uma nova forma para se estabelecer o início de novos projetos. Esta nova visão é baseada na criação de novos serviços que serão incluídos no Portifólio de Serviços. No passado com a V2, as equipes operacionais possuíam uma atuação reativa. Com a versão 3, a Estratégia de Serviços considera a perspectiva dos negócios e propõe atribuir ao Gerenciamento dos Serviços de T.I. a responsabilidade sobre o lançamento de novos projetos.

Não é um pouco confuso? As organizações que já tenham implementado o Gerenciamento do Portifólio de Projetos e eventualmente definido a Arquitetura Empresarial irão mudar sua forma de definição e lançamento de novos projetos? Devemos chegar junto aos nossos CIO’s e dizer: “com a versão 3, devemos iniciar com uma Estratégia de Serviços e considerar o PPM e a EA, em paralelo ou talvez posteriormente”? De formal alguma! Devemos ir aos nossos parceiros de negócio e reivindicar que a V3 se torne a nova forma para a criação de projetos e serviços? Talvez não.

Está bem claro que nenhum destes frameworks deve ser considerado melhor do que o outro. Todos eles incluem algumas referências e até mesmo partes de cada um dos demais. O que pode ser afirmado, é que a V3 torna nossas escolhas mais difíceis e um departamento de T.I. já maduro precisará avaliar onde a Estratégia e o Desenho de Serviços encaixarão nos seus frameworks de governança… ou considerar que V3 realmente seja o mais inovador deles e forçe uma mudança completa na cultura da organização.

Basedo em artigo publicado por Serge Thorn em 20/12/2007.

A decisão sobre a terceirização das atividades de segurança é hoje um tema recorrente aos principais CIO’s e CSO’s de diversas organizações.

Trata-se de uma análise difícil, sem muitos casos (de sucesso ou não) já finalizados que poderiam servir de orientação.

À despeito disto, muito do que se tem dito a respeito do tema pode ser visto como uma visão distorcida ou até mesmo um falso juízo. Posso citar alguns exemplos:

1 - Terceirizar as atividades de segurança é mais barato do que executá-las internamente. Custo é normalmente uma das principais razões pela qual os executivos se interessam por um processo de terceirização. Todavia, diversos institutos e empresas de pesquisa têm constantemente apontado que para os gerentes de segurança, o custo não é a principal razão pela qual se deseje terceirizar esta atividade. Apontam também que o processo de terceirização nem sempre se traduz em redução de custos. De fato, muitas organizações acabam gastando mais no cenário de terceirização. Elas se predispõem a gastar mais recebendo em contrapartida novas competências e capacidades, como um monitoramento 24×7 de suas atividades ou avaliações de conformidade.

2- A terceirização das atividades de segurança significa transferência de riscos. Você pode transferir a responsabilidade da execução da atividade mas não pode transferir a responsabilidade pela execução da atividade em um processo de terceirização. Uma consideração importante deve ser feita ao aspecto relativo ao gerenciamento de riscos do negócio terceirizado. Você nunca será capaz de transferir todos os riscos relativos à proteção de seus dados para um terceirizado mas você pode limitar a quantidade de risco assumida ao desenvolver cláusulas de direito à auditoria, acordos de níveis de serviço e delimitando de maneira clara as responsabilidades de cada um em contrato.

3 - Uma vez que os serviços de segurança vêm se tornando commodity, posso alugar um terceirizado por um custo menor. A complexidade, escopo, duração e os riscos de negócio de um processo de terceirizaçao torna a maioria dos contratos de aquisição de hardware e software quase ínfimos. Transferir uma tecnologia ou processo crítico ao negócio a um terceiro altera o perfil de risco da organização. Você deve procurar conhecer além das capacidades técnicas durante a avaliação de seus possíveis fornecedores. Pense nisto mais como uma parceria onde o alinhamento entre as culturas e filosofias corporativas executa um papel significante no sucesso da relação.

4 - Se minhas atividades de segurança estão em uma desordem, tercerizá-las é a solução. O famoso adágio “lixo dentro - lixo fora” se aplica aqui. Se seus processos e suas operações de segurança estão desordenados, terceirizá-los não solucionará o problema. É importante que você estabilize seus processos de segurança e fortaleça suas operações antes de terceirizar suas atividades de segurança. A terceirização pode auxiliar na ampliação dos controles operacionais, mas as chances de sucesso também são ampliadas se a organização tiver uma compreensão clara de seus processos, expectativas e produtos.

5 - Terceirizar as atividades de segurança é a maneira mais rápida de se ter controles de segurança implementados. Prepare-se para uma maratona, não uma corrida de 100 metros. Terceirizar as atividades de segurança exige força e persistência durante um longo período de tempo, que pode eventualmente ser diminuído, todavia com aumento significativo dos riscos. É apropriado se planejar para algumas conquistas mais rápidas mas leva tempo para o relacionamento junto ao terceirizado se tornar maduro. Organizações que terceirizaram suas operações de segurança com sucesso reportaram que levaram de seis a dezoito meses para normalizar as relações de parceria junto a seus terceirizados.

Terceirizar as atividades de segurança não é para qualquer um e nem para qualquer cenário. Por isto, antes de se aventurar neste processo, avalie os impactos da terceirização em cada situação particular. Tenha também expectativas bem realistas a respeito da futura parceria. É importante estabelecer as diligências obrigatórias e garantir as responsabilidades apropriadas como parte do contrato, mas é mais importante confiar em seu fornecedor e trabalhar no sentido de aprimorar esta parceria.