Pesquisar neste blog

quinta-feira, 21 de janeiro de 2010

Políticas de Segurança - Como aplicar? - Parte 3

Após a elaboração do escopo, devemos analisar os possíveis impactos que podem surgir no decorrer da implantação, alguns são:

  • Impactos econômicos.
  • Impactos de desempenho.
  • Impactos políticos.

IMPACTOS ECONÔMICOS

Ao verificarmos os possíveis problemas, identificamos que muitos podem comprometer a implantação da política de segurança. Do ponto de vista econômico existe um custo de tal implementação. A real questão que deve ser levantada é: é economicamente viável sua implementação? Podemos argumentar que segurança sempre é essencial em qualquer empresa. Bom, mas essa não é a maneira de pensar de quem tem dinheiro para investir.

Uma maneira fácil de convencer quem detem os recursos, é apresentar uma análise de retorno de investimento. Primeiramente é feita uma análise do tempo em que o investimento terá o retorno e compará-lo com o tempo necessário que este mesmo investimento tivesse retorno caso fosse feita uma aplicação tradicional. Bom, isso é o que justifica o investimento na política de segurança. É desta maneira que verificamos se realmente é viável ou não.  Citamos alguns exemplos de custos como: treinamento de pessoal,  implantação firewall, sistema de detecção  de intrusão,  softwares e hardwares.

IMPACTOS DE DESEMPENHO

 A utilização de mecanismos de segurança, por exemplo, uso de criptografia de chave pública requer um tempo de processamento adicional nos hosts envolvidos. Nesta questão de desempenho faltam ainda muitos estudos para uma boa gerência de segurança possa ser colocada em prática.

IMPACTOS POLÍTICOS


Adicionar regras de segurança a recursos nem sempre é uma tarefa das mais fáceis, isto é apenas o início do que podemos esperar com a implantação das políticas de segurança.

A delegação de direitos, restrições, obrigações e responsabilidades são políticas fundamentais na elaboração de uma boa política, pois o principal risco está nas pessoas. Sejam elas administradores ou funcionários. Este é um ponto que se pode gerenciar de maneira satisfatória, pois desta vez estamos lidando com coisas que se pode verificar um pouco mais facilmente. Neste caso é de suma importância realizar auditorias periódicas para saber se de fato essas políticas estão sendo obedecidas de fato.



Políticas de Segurança - Como aplicar? - Parte 2

O primeiro passo para a implantação das políticas de segurança é elaborar um escopo que englobe todas as ações que serão tomadas referente ao ambiente que está sendo trabalhado.

ELABORAÇÃO DO ESCOPO (Exemplo)


  • Identificar o que se está interessado em proteger.
  • Determinar quais as principais ameaças.
  • Garantir a proteção dos ativos informacionais, mantendo sua confidencialidade, integridade e disponibilidade, permitindo a auditabilidade de recursos.
  • Implementar as medidas que protegerão os recursos com uma boa relação custo-benefício.   
  • Atribuir as responsabilidades, devendo ser aplicável, no que for cabível, a todos que mantém contato com a atividade de tecnologia, inclusive terceiros e parceiros de negócio.
  • Estabelecer controles amplos a serem especificados e detalhados nas políticas e procedimentos relacionados a esta política.
  • Estabelecer diretrizes gerais e um modelo de comportamento para todos os colaboradores.
  • Estabelecer a divisão das entidade em ambientes, definindo sempre que possível controles diferenciados para cada ambiente.
  • As normas de procedimentos complementarão os controles amplos estabelecidos nessa política sem, no entanto, diminuir o grau de proteção ou segurança aqui estabelecidos.
  • Revisão dos processos e aperfeiçoamento contínuo com a eliminação de possíveis falhas.

Políticas de Segurança - Como aplicar? - Parte 1

Olá pessoal,
essa deve ser uma boa pergunta não é?!, nos mais variados ambientes empresariais há uma certa resistência das pessoas quando se trata de restringí-las de fazer algo. Mas isso é um problema que deve ser resolvido com cautela, não podemos simplesmente do dia para a noite impor restrições. As políticas de segurança tem se mostrado muito eficientes no dia-dia de quem já as adotou. Para que essa eficiência seja compartilhada com todos, existem alguns métodos que devem ser seguidos, como ampla divulgação, treinamentos, palestras, etc...


Estarei a seguir informando alguns passos importantes para uma implantação eficiente das políticas de segurança em uma empresa, seja ela qual for.

Autenticação mod_authnz_ldap com Apache 2.2

Olá pessoal,
aqui segue uma informação e uma dica de configuração. Para quem usava o apache 2.0 a autenticação ldap era referenciada da seguinte maneira como mostrado abaixo:

AuthName "Acesso Restrito "
AuthType Basic
AuthLDAPEnabled on
AuthLDAPURL ldap://ldapserver.dominio.net:389/ou=usuarios,dc=ipaimec,dc=net??base?(objectClass=*)
require valid-user

Com a versão 2.2 do apache, algumas alterações foram feitas no módulo mod_authnz_ldap e podemos fazer a autenticação usando os seguintes parâmetros:

AuthName "Acesso Restrito "
AuthType Basic
AuthLDAPURL ldap://ldapserver.dominio.net:389/ou=usuarios,dc=ipaimec,dc=net??base?(objectClass=*)
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
require valid-user

segunda-feira, 4 de janeiro de 2010

15 dicas sobre gestão (e como decidir melhor) - CMMI

  1. Não suponha. Pergunte
  2. Não acredite cegamente… Verifique
  3. Analise os fatos sobre dados de fonte conhecida (e confiável). Conheça o histórico
  4. Utilizar cases como forma de decidir melhor
  5. Lembre-se que não dá para fazer um omelete sem quebrar os ovos
  6. Não prometa além de sua competência
  7. Use de referências. Crie paradigmas
  8. Não jogue com 100%
  9. Tenha sempre um plano B (para usa-lo quando necessário)
  10. Separe o crítico do importante. Inicie rápido pelo crítico
  11. Analise sempre os custos antes de tomar uma decisão
  12. Utilize indicadores históricos e de tendências
  13. Analise os impactos de mudanças
  14. Acredite mais do que os números te dizem do que o que as pessoas te dizem
  15. Faça isto rápido e decida. Acompanhe a decisão e corrija rotas
Veja também:
  1. 20 dicas sobre gestão … no seu dia-a-dia Busque a harmonia e o equilíbrio no ambiente e...
  2. Analisando o custo x benefício em um projeto Uma das principais responsabilidades de um gerente de projetos é...
  3. Top 10 dicas para administração de tempo Pessoal, gostaria de dar algumas dicas para melhoria na administração...
  4. Top 10 dicas para um bom gerenciamento de projetos 1. Monitore diariamente o desempenho do projeto Monitore diariamente elementos...
  5. 101 dicas para implementação do CMMI nível 2 – Parte II Continuando o post anterior (101 dicas para implementação do CMMI...

Comite Gestor da Internet no Brasil (CGI.br) contra os Spams

CGI.br determina bloqueio da porta 25 (smtp) apartir de janeiro

Para evitar a disseminação de spam, o Comite Gestor da Internet no Brasil (CGI.br) determinou o bloqueio do “local” por onde grande parte dos e-mail falsos são enviados, a porta 25 de seu computador. O bloqueio ocorre no dia 5 de janeiro de 2010.

Se você usa programas de gerenciamento de e-mails —como o Outlook, Thunderbird ou Mail— para não ficar impedido de mandar mensagens, a porta de envio deve ser trocada de 25 para 587. Usuários apenas de webmail não serão impactados.

“Com a implementação das recomendações, será mais difícil para que computadores zumbis sejam utilizados para o envio de spam, pois além de necessitar de um usuário e senha para utilizar o serviço de e-mail, ele ainda deverá burlar os possíveis controles antispam existentes no serviço mencionado”, diz Nelson Novaes, gerente de segurança do UOL.

A medida não é nova, órgãos internacionais aconselham o bloqueio da porta 25 desde 1998, mas apenas em 2005, provedores e operadoras de todo o mundo começaram a adotá-la em massa. O UOL oferece o acesso pela porta 587 desde 2004.


Fonte: UOL Tecnologia