Milagres.com

No dia 17 de novembro de 2008, acontece a segunda edição do evento YSTS (You Sh0t the Sheriff), em São Paulo e eu serei um dos palestrantes nesta edição.

Para quem não conhece o YSTS, trata-se de um evento diferente dos convencionais da área técnica e de gestão, que reúne profissionais de diversas linhas de atuação, sejam técnicos ou gestores, com conteúdo selecionado pelos organizadores do podcast I Sh0t the Sheriff, pre & after parties e bom networking também.

O objetivo dessa apresentação será contextualizar o trabalho dos auditores de sistemas no dia a dia dos profissionais de TI e de segurança da informação. Confira o resumo da palestra a seguir e fique ligado no site do evento para a programação detalhada.

“Auditores versus Auditados: Os erros mais comuns (de ambos os lados) em auditorias na área de Tecnologia da Informação”

Se você é um profissional de TI e não é um auditor, você já foi auditado ou em breve será. A legislação e órgãos reguladores nos trazem cada dia novas siglas e números como SOX, CVM, SEC, seção 404, SPED e lei 11638, e exigem que as empresas tenham sempre bons controles, de preferência, automatizados. E é aí que entra o papel do profissional de TI e de segurança da informação, que muitas vezes só pensa em firewalls, regras de anti-spam e backups.

Nesta apresentação você verá exemplos (que não devem ser seguidos, mas evitados) de erros comuns dos auditores e dos auditados, especialmente em trabalhos que não têm como foco a auditoria visando identificar riscos de TI, mas sim riscos financeiros suportados por controles de TI, especificamente para empresas de capital aberto e do segmento financeiro.

Conheça o papel do profissional de TI e de segurança da informação no aspecto de empresas que devem seguir as regras de mercados regulados por legislações brasileiras e estrangeiras e como você deve se preparar para adotar bons controles ou demonstrar que eles funcionam.

No dia 20 de Março, fui um dos palestrantes na Amcham - Câmara Americana de Comércio, em Curitiba. O tema da palestra, apresentada com Luiz Cabral, Diretor da KPMG, foi Sourcing, termo que tem sido usado recentemente para abordar a terceirização de Tecnologia da Informação, processos de negócio e funções específicas em uma empresa, por exemplo.

Vale a pena consultar também uma pesquisa da KPMG que detalha sobre o tema, que inclui estudos de outsourcing e também insourcing e avalia as tendências deste mercado que incluencia diversas empresas, seja a sua uma prestadora ou contratante de serviços de TI.

Se você tem interesse em mais informações sobre o tema ou uma cópia da apresentação, entre em contato comigo.

A notícia não é tão recente assim - faz algumas semanas - mas vale a pena registrar em uma nota, afinal, tenho trabalhado um pouco nesta iniciativa, em conjunto com outros colegas, à frente da coordenação dessa iniciativa.

A ISSA (Information Systems Security Association) é uma associação de profissionais de segurança da informação que possui mais de 13.000 membros no mundo e mais de 100 capítulos em cerca de 25 países. No país, o Capítulo Brasil, sediado em São Paulo, foi fundado faz 3 anos e concentra nesse estado as principais iniciativas.

Com objetivo de aproximar as iniciativas da ISSA à região sul do Brasil, em conjunto com colegas de empresas sediadas na região, sou um dos coordenadores da regional ISSA Brasil Sul.

Fique atento às novidades, pois estamos trabalhando nas parcerias e na organização do nosso primeiro evento em Curitiba.

Esse é o título da tradução do artigo sobre roubo de identidade que foi publicado (em inglês) no The New York Times de 11 de março, pelos autores do livro Freakonomics. Eles mantém atualmente um blog que segue a mesma linha do livro, relacionando os aspectos do cotidiano com economia, estatística e um pouco de sensacionalismo também.

Nesse artigo em questão, eles abordaram a questão do roubo de identidade e da proteção de informações pessoais em sites de bancos e comércio eletrônico, no cenário norte-americano. Aliás, o cenário visto em destaque em quase totalidade dos artigos que citam essa ameaça falam claramente do phishing, que são e-mails que destinam o internauta desavisado à sites falsos.

No Brasil, a ameaça de roubo de identidade por e-mails que direcionam a sites falsos é mínima, já que a estratégia dos fraudadores é distribuírem código malicioso por meio de mensagens de conteúdo diverso, para então, quando o usuário acessar um site de comércio eletrônico ou banco on-line, aí sim o trojan instalado entrar em ação.

Aliás, um artigo publicado na 2006 Conference on Human Factors in Computing Systems, de pesquisadores de Harvard e Berkeley - Why Phishing Works - é um bom começo pra quem quer conhecer mais do assunto.

A SEC (Securities and Exchange Commission), que nos EUA é equivalente à CVM (Comissão de Valores Mobiliários) no Brasil, puniu com uma suspensão de 10 dias de negociação de ações empresas que utilizavam a prática do spam. A operação que a SEC denominou Spamalot teve como primeiro resultado essa suspensão das 35 empresas, listadas no press release divulgado ontem.

É bom saber que a SEC não acompanha somente as questões de conformidade à SOX e a proteção aos investidores no mercado norte-americano, mas também visa regular o mercado contra empresas que usam meios como o spam para ganhar dinheiro.

A lista SecurityGuys, projeto do Ronaldo Vasconcellos que eu atuo como colaborador, foi um dos temas da edição 11 do podcast I Sh0t the Sheriff.

Eventos de segurança com conteúdo rico e com a possibilidade de colocar a mão na massa (ou como gostam, hands on) e aprender de verdade são poucos. Ter a chance de ir a um evento desses e ainda de trocar idéias com outros brasileiros é melhor ainda. No Black Hat Europe 2007, há presença confirmada de alguns brasileiros.

Augusto Paes de Barros, André Fucs e Victor Pereira vão falar sobre tendências e ameaças em novas botnets, incluindo tecnologias que devem ser adotadas em um futuro próximo que devem dificultar ainda mais o combate às novas redes, que devem usar P2P, autenticação com certificação digital e covert channels.

Aliás, um bom artigo que sumariza alguns conceitos que envolvem as botnets é o Know your Enemy: Tracking Botnets, de autoria de pesquisadores do The Honeynet Project & Research Alliance.

Um dos meus projetos na área de segurança da informação é o periódico Crypto-Gram.BR, juntamente com meu amigo Eduardo Neves. O Crypto-Gram original é um periódico editado por Bruce Schneier, que trata de assuntos relacionados à segurança da informação, em infra-estrutura e segurança no cotidiano, entre outros assuntos relacionados.

O autor nos autorizou a traduzir o documento mensalmente e mantemos o trabalho de tradução desse conteúdo desde Setembro de 2006 e a edição de Dezembro de 2006 acabou de ser publicada no site do Crypto-Gram.BR (com um pouco de atraso, é verdade).

É importante lembrar que esse trabalho é apenas o primeiro passo de um projeto que tem como objetivo não somente a pura tradução dos textos de alta qualidade do Schneier. A idéia é aumentar a abrangência do trabalho, adicionando conteúdo relacionado ao nosso cotidiano e ao cenário de segurança da informação no Brasil.

Para dar esses passos na divulgação e melhoria do trabalho, nessa semana também pudemos contar com uma participação no podcast I Sh0t the Sheriff , edição 8. Nessa edição do podcast, aproveitamos para falar desse projeto e dos novos rumos que o Crypto-Gram.BR deve tomar daqui pra frente. Clique no logo e confira!

Uma dica pra quem quer se atualizar sobre assuntos na área de segurança da informação e tecnologia, o podcast I Sh0t the Sheriff é uma boa pedida. Os autores - Luiz Eduardo, Nelson Murilo e Willian Caprino - investem algumas horas do precioso fim de semana deles pra montar esse podcast, que já conta até com vinhetas do podcast Security Weekly dos grigos do PaulDotCom.

Na sétima edição do I Sh0t the Sheriff, por exemplo, eles citaram a questão da segurança das urnas eletrônicas, que foi destaque na Revista Veja dessa semana. Uma boa referência para mais informações sobre segurança em urnas eletrônicas é a Página do Voto Eletrônico, do Amilcar Brunazo.

Depois do anúncio do telefone celular+iPod+internet device da Apple no início do mês na MacWorld, o primeiro passo da Cisco foi aproveitar o hype pra vender seu dispositivo iPhone, já que a marca havia sido registrada pela então Linksys (adquirida pela Cisco posteriormente), em 1999.

Alguns já alegam que a Cisco não tem mais direito de uso da marca, já que esta deveria ter adotado alguns procedimentos legais antes do sexto aniversário do depósito da solicitação do registro da marca iPhone - em 2006.

Cisco/Apple: The dog that did not bark in the night by ZDNet’s Ed Burnette — In the continuing saga of the Cisco/Apple battle over the “iPhone” name, two trademark lawyers duke it out over whether or not Cisco’s ownership of the mark is in question. Did Cisco do what it takes to keep the name?

Enquanto isso, já é bom pensar em aposentar os iPods e celulares daqui um tempo, quando o iPhone chegar ao mercado. E como o site da Apple não dá muitas dicas de como vai funcionar o dispositivo, a CBS dá uma força.