Alexandro Silva: Inimigos da segurança da informação – Meliante 2

Não conhecer como a organização está protegida em relação a cada uma das dimensões da segurança da informação é o nosso segundo inimigo para se ter um processo efetivo de proteção da informação.

Quem não tem essa posição da efetividade dos controles de segurança realiza um vôo cego sobre o que deve ser implantado prioritariamente ou que riscos a organização possui e está inocente (ou incompetente). Neste caso as ações de segurança são reativas e nunca se tem um planejamento para as ações segurança. O aspecto emocional vai sobrepor ao aspecto profissional. Outra conseqüência prática em não se ter uma posição a partir de um diagnóstico profissional, é que a organização busca resolver o problema que aparece e esquece as causas. Isto é, ataca a febre e se esquece de resolver a doença. Evidentemente algumas vezes temos que atacar a febre, isto é, a situação existente no momento. Mas não podemos esquecer em resolver a causa raiz.

Um exemplo dessa situação febre/doença é o fato da descoberta de um vazamento de uma base de clientes. Identifica-se que foi através de uma cópia em planilha eletrônica. Resolve-se proibir uso de pen driver por que se pode copiar uma planilha eletrônica para este dispositivo. Isto é febre. O problema é que não se tem um regulamento de acesso á informação, não se tem a função e responsabilidade do gestor da informação, não se têm registro de auditoria (log) indicando o que foi feito de acesso/cópia/alteração em cada informação. Enfim, uma grande confusão com muitas pessoas utilizando seu “achômetro” A solução do problema é estruturarmos o controle de acesso á informação. De repente essa mesma organização tem excelência na solução para situações de contingência. Ótimo! Mas a direção executiva precisa saber das duas situações.

A direção executiva da organização precisa saber de uma maneira não técnica como está a efetividade dos controles de segurança da informação. Abaixo indicamos um exemplo prático de como demonstrar aos executivos e aos acionistas como está a segurança da informação.

Neste exemplo, de uma maneira rápida e simples se verifica que a organização está bem em relação às cópias de segurança fora do ambiente principal, tem um bom plano de contingência, possui um controle de pessoas no acesso aos ambientes físicos e não está bem nas demais dimensões de segurança.

Com um diagnóstico deste tipo e considerando as características da organização, seus objetivos e detalhes da operacionalização do negócio, bem como a complexidade da adoção de controles, pode-se definir um plano de ação com prioridades de desenvolvimento e implantação de controles.

Saber como está a efetividade dos controles de segurança é o primeiro passo para que a organização tenha um efetivo processo de segurança da informação. Não saber a situação da organização em segurança da informação é um inimigo fatal para o processo de proteção da informação.

Se sua organização tem esse tipo de avaliação, parabéns, porém mantenha e aprimore a mesma. Se não tem: corra e faça uma avaliação gerencial do processo de segurança da informação.

Autor:
Edison Fontes – CISM, CISA.

Tweet This Post

Antonio Terceiro: Um nerd entediado no banheiro

Pode parar, não é nada disso que você está pensando. :-)

Olha só o que eu encontrei no banheiro do IM agora de manhã:

Pra quem não conseguir ver, eu transcrevo aqui o que o nerd escreveu embaixo da singela solicitação em prol da manutenção da higiene no banheiro:

• Pratos = A
• Talheres = B
• ¬(A∧B) = ¬A ∨ ¬B (pela regra de Moore)
• ou seja, vc pode lavar só pratos ou só talheres
• FAIL!

Eu daria os créditos, mas ele não assinou. ;-)

Monica Paz: Eventos de Sofware Livre pela Bahia

Os eventos de software livre, na Bahia, surgem em outras localidades que não a capital. mais frequentemente Esse crescimento de número de eventos, pode demonstrar que a nossa demanda é grande e que cada vez mais pessoas se mobilizam em prol da difusão da causa e de conhecimentos.

Em agosto, tivemos a realização do II SISOL (Simpósio de Software Livre) pelo pessoal da UESB – Jequié (Grupo Oxe Linux), com palestras, painéis e cursos. Infelizmente, não pude comparecer, mas o amigo Alexandro Silva, que palestrou no SISOL, relatou em seu blog que foi “um evento bem organizado com um excelente suporte aos palestrantes, bom público”.

Entre final de setembro e início de outubro, teremos a realização do I Encontro de Conhecimentos Livres da Chapada Diamantina pelo Ponto de Cultura Circo do Capão em parceria com o Pontão de Cultura juntaDados (UNEB). Ao contrário do inicialmente divulgado, a data de realização será de 29/09 a 3/10. Cenário mais lúdico para a realização desse evento seria difícil de se imaginar: Circo do Capão, Vale do Capão, município de Palmeiras. Além do Capão ser uma atração a parte, um lugar muito querido por todos, o evento conta com uma programação diversificada e voltada para a troca de conhecimentos técnicos, incentivando a produção cultural com o uso de ferramentas livres. Segundo o divulgado, haverá atividades envolvendo: tratamento de imagens, áudio e vídeo; ferramentas para escritório; metareciclagem e instalação de softwares. Desejo um ótimo evento para todos que participarem.

Outro bom sinal para nosso meio, é que não apenas o pessoal vem do interior para prestigiar os evento que ocorrem em Salvador, mas que o contrário também tem ocorrido. Por exemplo, em Jequié foi realizada palestras de pessoas daqui de Salvador como Alex Silva (professor da Unijorge), Cason e Ítalo (estudantes da UFBA). O encontro da Chapada Diamantina conta com o apoio em produção de Yuri Barreto e Goa (figuras conhecidas do mundo software livre de Salvador com experiência em pontos de cultura), dentre outros.

Considero que chamar a atenção para esses eventos fora da capital, além de prestigiar o evento de alguma forma, embora a ausência, serve para despertar o interesse de outros grupos para a realização dos seus próprios eventos, de acordo com suas demandas específicas. O movimento Software Livre na Bahia só tem a ganhar ;-) E não se esqueça de divulgar seu evento na lista e no site do PSL-BA!

Rafael Gomes: Configurando Subversion e autenticando no AD

Para quem não conhece, Subversion é um famoso serviço de controle de versão.

Será descrito aqui os passos para utilizar o subversion como controle de versão, com autenticação por grupos no Active Directory.

Os repositórios podem ser visualizados tanto via console svn ou via navegador,  ou seja, o Apache precisará também ser ...

Rafael Gomes: Mudando visual

Estou testando a mudança de layout do Techfree. Estou experimentando alguns temas, ou seja, não achem estranho se ele mudar dentro dessa semana.

Por favor, opinem!

Lucas Almeida Rocha: Help us to promote GNOME 2.28

Don’t know how? Here are some ideas:

http://live.gnome.org/PromoteTwoPointTwentyEight

I just added this banner in my blog.

Wille Marcel: Apresentação do programa de extensão em Software Livre na UFRB

Na próxima quinta-feira (24/09), vou falar de software livre no evento de apresentação do PLUG! – Programa de Disseminação do Software Livre em Escolas Públicas do Recôncavo da Bahia.

O PLUG! é um programa de extensão voltado para difundir a utilização do software livre nas escolas públicas das cidades de Cachoeira e São Félix. Com o programa, iremos oferecer capacitação na utilização do sistema operacional GNU/Linux e de software livres multimídia para estudantes da UFRB e para professores e alunos da rede pública de ensino.

O evento será realizado no Auditório do Quarteirão Leite Alves (CAHL/UFRB) na cidade de Cachoeira/BA.

Site do PLUG! > http://www.ufrb.edu.br/plug/