Milagres.com

No dia 17 de novembro de 2008, acontece a segunda edição do evento YSTS (You Sh0t the Sheriff), em São Paulo e eu serei um dos palestrantes nesta edição.

Para quem não conhece o YSTS, trata-se de um evento diferente dos convencionais da área técnica e de gestão, que reúne profissionais de diversas linhas de atuação, sejam técnicos ou gestores, com conteúdo selecionado pelos organizadores do podcast I Sh0t the Sheriff, pre & after parties e bom networking também.

O objetivo dessa apresentação será contextualizar o trabalho dos auditores de sistemas no dia a dia dos profissionais de TI e de segurança da informação. Confira o resumo da palestra a seguir e fique ligado no site do evento para a programação detalhada.

“Auditores versus Auditados: Os erros mais comuns (de ambos os lados) em auditorias na área de Tecnologia da Informação”

Se você é um profissional de TI e não é um auditor, você já foi auditado ou em breve será. A legislação e órgãos reguladores nos trazem cada dia novas siglas e números como SOX, CVM, SEC, seção 404, SPED e lei 11638, e exigem que as empresas tenham sempre bons controles, de preferência, automatizados. E é aí que entra o papel do profissional de TI e de segurança da informação, que muitas vezes só pensa em firewalls, regras de anti-spam e backups.

Nesta apresentação você verá exemplos (que não devem ser seguidos, mas evitados) de erros comuns dos auditores e dos auditados, especialmente em trabalhos que não têm como foco a auditoria visando identificar riscos de TI, mas sim riscos financeiros suportados por controles de TI, especificamente para empresas de capital aberto e do segmento financeiro.

Conheça o papel do profissional de TI e de segurança da informação no aspecto de empresas que devem seguir as regras de mercados regulados por legislações brasileiras e estrangeiras e como você deve se preparar para adotar bons controles ou demonstrar que eles funcionam.

No dia 20 de Março, fui um dos palestrantes na Amcham - Câmara Americana de Comércio, em Curitiba. O tema da palestra, apresentada com Luiz Cabral, Diretor da KPMG, foi Sourcing, termo que tem sido usado recentemente para abordar a terceirização de Tecnologia da Informação, processos de negócio e funções específicas em uma empresa, por exemplo.

Vale a pena consultar também uma pesquisa da KPMG que detalha sobre o tema, que inclui estudos de outsourcing e também insourcing e avalia as tendências deste mercado que incluencia diversas empresas, seja a sua uma prestadora ou contratante de serviços de TI.

Se você tem interesse em mais informações sobre o tema ou uma cópia da apresentação, entre em contato comigo.

A notícia não é tão recente assim - faz algumas semanas - mas vale a pena registrar em uma nota, afinal, tenho trabalhado um pouco nesta iniciativa, em conjunto com outros colegas, à frente da coordenação dessa iniciativa.

A ISSA (Information Systems Security Association) é uma associação de profissionais de segurança da informação que possui mais de 13.000 membros no mundo e mais de 100 capítulos em cerca de 25 países. No país, o Capítulo Brasil, sediado em São Paulo, foi fundado faz 3 anos e concentra nesse estado as principais iniciativas.

Com objetivo de aproximar as iniciativas da ISSA à região sul do Brasil, em conjunto com colegas de empresas sediadas na região, sou um dos coordenadores da regional ISSA Brasil Sul.

Fique atento às novidades, pois estamos trabalhando nas parcerias e na organização do nosso primeiro evento em Curitiba.

É comum sempre avaliarmos se realmente tratamos as nossas informações sensíveis com cuidado se um amigo nos conta um caso de assalto que, além da dor de cabeça de ir à  uma delegacia e de ter sua vida em risco, ele perde um pendrive de 1 Gb lotado.

Ouvi faz bastante tempo num podcast (se não me engano, foi no Pauldotcom.com) sobre o TrueCrypt, software de criptografia que é compatí­vel com Windows e Linux. Dentre as principais vantagens do software, as que eu mais gostei foram: a imagem nativa do TrueCrypt é compatível entre todas as versões dos SOs (inclusive Vista) e há um runner para quem leva uma imagem em mídias removíveis como iPod ou pendrive.

Há também um outro recurso que eles denominam Plausible Deniability, que permite que você defina na sua imagem cifrada uma senha adicional para gravar informações em uma sub-partição da sua imagem. A justificativa dos criadores do software é que, em caso de você ser forçado a informar a senha para acessarem seus dados confidenciais, você pode usar essa segunda senha e acessar uma partição que pode conter eventualmente informações não tão crí­ticas assim. Use com responsabilidade.

E uma curiosidade: um dos algoritmos de hash que o TrueCrypt usa - Whirlpool - é de co-autoria do Paulo Barreto, professor da Poli-USP.

Foto do pendrive ultra-resistente da Corsair, que já vem com TrueCrypt instalado.

Nesses tempos de espera em aeroportos (como nesse momento, por exemplo), dá pra perceber que poucos têm cuidados mínimos com a segurança pessoal em ambientes públicos. Há alguns riscos já bem conhecidos nos aeroportos, como assaltos relâmpago nas proximidades, possibilidade de roubo de notebook ou de clonagem de seu cartão de crédito em um ATM com dispositivo de cópia para fraude, por exemplo.

No entanto, há outros riscos que poucos conhecem ou que procuram reduzir:

• Celulares com Bluetooth habilitado (e vulnerável);
• Notebooks com interface wireless habilitada para conexão em modo ad-hoc (geralmente com Windows sem as configurações mínimas de segurança);
• Um bate papo em alto e bom som ao celular, bem ao lado de uma fila do café na sala de embarque;
• Pessoas trabalhando com seus notebooks em meio ao saguão do aeroporto, geralmente em um documento confidencial ou uma proposta comercial;
• Um passageiro que viaja a seu lado e depois de um bate papo simples, pode adiantar até informações pessoais e familiares, que nem para colegas de trabalho ele deveria ter contado;
• … e por aí vai.

Vale a pena tomar um pouco mais de cuidado, mesmo com o cansaço da espera de mais de 4 horas.

O termo security theater foi cunhado por Bruce Schneier no livro Beyond Fear e já é muito usado, principalmente quando se trata de segurança em aeroportos. O teatro da segurança é uma classificação para medidas de proteção que geralmente não reduzem os riscos, mas apenas têm como objetivo aumentar a sensação de segurança. Uma das medidas mais recentes da TSA (Transport Security Administration) foi a normatização do transporte de líquido, gel e aerosol em aeronaves, juntamente com a lista de outros itens proibidos no transporte aéreo.

E é bom nos prepararmos para mais um pouco de teatro em nossos aeroportos, depois das exigências de retirarmos os notebooks das bolsas para verificação em aparelhos de raio-x que está na moda: dia 1. de Abril (não é mentira), entra em vigor a resolução 007 da ANAC sobre o transporte de líquidos em vôos internacionais e trechos destes, no Brasil.

E pra finalizar, dois links. Um útimo site com exemplos de casos reais de teatro da segurança e com nome bem sugestivo: stupidsecurity.com - eu até já mandei um post pra lá, faz pouco mais de 2 anos - e um post no blog de Tom Kyte, citado por Bruce Schneier, com uma pérola de security theater na fronteira EUA-Canadá. Hilário.

Esse é o título da tradução do artigo sobre roubo de identidade que foi publicado (em inglês) no The New York Times de 11 de março, pelos autores do livro Freakonomics. Eles mantém atualmente um blog que segue a mesma linha do livro, relacionando os aspectos do cotidiano com economia, estatística e um pouco de sensacionalismo também.

Nesse artigo em questão, eles abordaram a questão do roubo de identidade e da proteção de informações pessoais em sites de bancos e comércio eletrônico, no cenário norte-americano. Aliás, o cenário visto em destaque em quase totalidade dos artigos que citam essa ameaça falam claramente do phishing, que são e-mails que destinam o internauta desavisado à sites falsos.

No Brasil, a ameaça de roubo de identidade por e-mails que direcionam a sites falsos é mínima, já que a estratégia dos fraudadores é distribuírem código malicioso por meio de mensagens de conteúdo diverso, para então, quando o usuário acessar um site de comércio eletrônico ou banco on-line, aí sim o trojan instalado entrar em ação.

Aliás, um artigo publicado na 2006 Conference on Human Factors in Computing Systems, de pesquisadores de Harvard e Berkeley - Why Phishing Works - é um bom começo pra quem quer conhecer mais do assunto.

A SEC (Securities and Exchange Commission), que nos EUA é equivalente à CVM (Comissão de Valores Mobiliários) no Brasil, puniu com uma suspensão de 10 dias de negociação de ações empresas que utilizavam a prática do spam. A operação que a SEC denominou Spamalot teve como primeiro resultado essa suspensão das 35 empresas, listadas no press release divulgado ontem.

É bom saber que a SEC não acompanha somente as questões de conformidade à SOX e a proteção aos investidores no mercado norte-americano, mas também visa regular o mercado contra empresas que usam meios como o spam para ganhar dinheiro.