gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Trabalhar em área de Segurança (ignorancia em pt)
Contribuído por scorpio em 30-08-02 17:01
do departamento escravatura?
News Anonimo Cobarde escreve "Encontramo-nos neste momento a definir formalmente uma oferta na àrea de segurança e rede na firma. O busilis da questão é que existem aqui pessoas que querem os procedimentos e ferramentas que eu uso em Linuxus, em papel, tal como se fosse uma receita para um bolo. (sim, claro, qualquer gajo pode seguir aquilo e fazer o trabalho...arrghh)
Já escrevi passos genericos, e até utilitários em linux, mas não chega.
Bem, isto é NORMAL? Ou seja, se eu contracto um sysadmin Linux, vou-lhe pedir-lhe para ele escrever um livro de Administração UNIX, de maneira a um estagiário administrar a rede se ele mudar de emprego?
Não esqueçamos que já existem livros e montanhas de recursos Internet sobre o assunto.
Quais as vossas opiniões? Será simplesmente ignorância, e insegurança sobre quem percebe do assunto?
PS: Eles já tém passos genericos e lista de ferramentas+comandos que eu escrevi, mas vejam lá os passos não possuem a lista toda de ferramentas que se possam usar em cada passo...

Saiu o Netscape 7.0 | Project Wars, ou como nao matar um projecto de TI.  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Mais acerca News
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    É obvio que sim! (Pontos:4, Interessante)
    por rollerball em 30-08-02 17:19 GMT (#1)
    (Utilizador Info)
    É tudo uma questão de profissionalismo.
    Em qualquer empresa com elevado grau de exigencia todos os procedimentos devem estar documentados ao mais infimo pormenor.
    Alias, um dos procedimentos de segurança consiste ele proprio em documentar diversas situações.
    Parece-me que nunca deves ter trabalhado em empresas grandes, mas é muito bom trabalhar assim. Infelizmente, por falta de tempo quase nunca essa politica é levada até onde devia ir!
    Esta pratica, garante independencia de um procedimento em relação ao tecnico e facilita todo o debug e detecção de situações anomalas !

    Nuno Paulino aka Rollerball
    Re:É obvio que sim! (Pontos:2, Interessante)
    por Anonimo Cobarde em 30-08-02 18:05 GMT (#2)
    sou de acordo em que tudo esteja suficientemente documentado para q outra sysadmin igualmente qualificado possa pegar em tudo, tb sou de acordo que tudo para a utilização do sistema tem de estar documentado, mas disto ainda vai um grande passo a ter tudo para poder despedir o sysadmin e por um estagiário a ganhar muito pouco, e a fazer o mesmo ....
    Re:É obvio que sim! (Pontos:3, Interessante)
    por Dehumanizer em 30-08-02 18:46 GMT (#3)
    (Utilizador Info)

    sou de acordo em que tudo esteja suficientemente documentado para q outra sysadmin igualmente qualificado possa pegar em tudo

    Exacto. Mas não parece ser isso que eles querem - parecem, sim, querer formação grátis, ou viver na ilusão de que depois podem pôr o sobrinho do director (que "percebe muito disto e arranja-nos música e filmes à borla lá em casa") a fazer o mesmo.

    Patético. :(


    "To underestimate one's self is as much a departure from truth as to exaggerate one's own powers"
    - Sherlock Holmes

    Re:É obvio que sim! (Pontos:2)
    por leitao em 30-08-02 18:54 GMT (#4)
    (Utilizador Info) http://scaletrix.com/nuno/
    Nao -- nao me parece ser isso. E' normal uma empresa querer uma "security policy" bem documentada. Afinal, as pessoas mudam de emprego e e' sempre chato quando o gajo que percebe das coisas vai embora e nao ha' mais ninguem que possa resolver problemas.

    echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc
    Re:É obvio que sim! (Pontos:3, Informativo)
    por Pink em 31-08-02 5:30 GMT (#8)
    (Utilizador Info) http://www.PinksWorld.8m.com
    e' sempre chato quando o gajo que percebe das coisas vai embora e nao ha' mais ninguem que possa resolver problemas.
    É por isto que, em países civilizados, empresas civilizadas AUMENTAM o salário do cara para ele não ir embora, pombas!

    Tá todo mundo querendo um doutor em segurança à custo de estágio. Depois ninguém sabe porque nada funciona... ;-)

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Re:É obvio que sim! (Pontos:2)
    por jazzy em 02-09-02 13:21 GMT (#13)
    (Utilizador Info) http://www.gildot.org
    Focaste o(s) ponto(s) chave: países civilizados e empresas civilizadas.


    Jazzy
    Re:É obvio que sim! (Pontos:2, Interessante)
    por ParadoXo em 30-08-02 21:35 GMT (#6)
    (Utilizador Info)
    Pelo que me pareceu o que eles querem não é o que foi feito ou o que de momento se está a fazer, ou qualquer outro tipo de documentação que tenha a ver com os procedimentos e decisões que foram tomados, mas algo do género:
      -> " para fazer isto, faço aquilo..."
      -> " Se existir este aviso corro aquele comando, e este comando usa-se assim... "
      -> "etc ..."

    para quando alguém sem as minimas qualificações, ( a não ser talvez ler, ha e é filho de alguém conhecido), ocupar o meu lugar do qual fui despedido, possa (tentar!) fazer o meu trabalho.

    Se for esse o caso é claro que é ridiculo, e devias limitar-te à documentação dos procedimentos e decisões que foste tomando ao longo do teu trabalho.

    Cumprimentos.


    Cumprimentos.

    "In order to make an apple pie from scratch, you must first create the universe."
    Carl Sagan, Cosmos
    É difícil saber onde parar... (Pontos:5, Interessante)
    por js em 30-08-02 19:16 GMT (#5)
    (Utilizador Info)

    A definição e documentação de procedimentos faz sentido em abstracto e é uma exigência das normas de qualidade tipo ISO9001, mas há coisas impossíveis de documentar. Como é que um polícia documenta os procedimentos que segue num interrogatório para suspeitar que o interrogado está a mentir? Como é que Einstein documentaria os procedimentos para fazer a Teoria da Relatividade?

    A documentação corre sempre o risco de se tornar demasiado exaustiva e, na prática, inútil. É um bocado difícil fazer documentação que torne dispensável a intervenção dum cérebro funcional. O problema é exactamente saber quando se deve parar de documentar e dizer "aqui termina a receita e começa a inteligência"... A minha tentação quando parece haver um exagero de exigência de detalhes é "fugir em frente", documentando as coisas com bibliografia, quanto mais melhor. Se querem documentos, hão-de ficar afogados neles! Indicar cabazes de livros e outros documentos (páginas Web?) sobre segurança é uma ideia. Se não ficarem satisfeitos, indicar livros mais básicos que sirvam de introdução aos anteriores, e assim sucessivamente, até à Cartilha Maternal de João de Deus...

    Enfim, tenho sempre a esperança de que as pessoas se apercebam dos seus exageros quando são expostas a exageros maiores, mas a coisa raramente funciona como se quer...

    Eu não sei quanto aí, mas aqui... (Pontos:4, Esclarecedor)
    por Pink em 31-08-02 5:19 GMT (#7)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Mais de um conhecido meu se machucou detalhando procedimentos, que depois foram dados para outro técnico que cobrou menos.

    Melhor rever as cláusulas do contrato. A leitura do documento deve forçar algum vínculo financeiro, de forma à inviabilizar a terceirização de seu trabalho.

    Lógico, isto pode se revelar inviável se todos os seus concorrentes alegremente se arriscam à trabalhar de graça.

    Acho que, no fundo, o melhor é bater um papo com um (gasp) advogado.

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    Trabalhar em área de Segurança (ignorancia em pt) (Pontos:0, Engraçado)
    por rcsantos em 31-08-02 10:26 GMT (#9)
    (Utilizador Info)
    Viva, espero que nao sejas tu o sysadmin. Basta irmos ao startux.org para ver-mos o que tu percebes do assunto. Mas o problema nem é esse. O problema é que estás a fazer-te passar por uma pessoa que até já tem que escrever tuturiais, mas na realidade és uma pessoa que nem de os ler és capaz. Nao te faças passar por uma pessoa que nao és. Da-te um ar muito "cobarde"? Hasta Ricardo Santos
    by rcsantos
    Re:Trabalhar em área de Segurança (ignorancia em p (Pontos:3, Interessante)
    por mar_ori em 31-08-02 12:50 GMT (#10)
    (Utilizador Info)
    nao sei como sabes quem é que escreveu o artigo e a sua participação no startux. a não ser que tomes anonimo cobarde por um utilizador que anda aí por muitos fóruns.
    Como assim? (Pontos:2)
    por rollerball em 31-08-02 14:01 GMT (#11)
    (Utilizador Info)
    Já que pareces saber algo que o resto não sabe, importas-te de explicar!

    Nuno Paulino aka Rollerball
    Segurança Documentada. (Pontos:1, Esclarecedor)
    por Anonimo Cobarde em 31-08-02 17:22 GMT (#12)
    Todas as grandes empresas desejam ter uma politica de segurança bem elaborada e documentada. As grandes empresas entraram numa era em que não basta tirar da Internet uma firewall freeware e um anti-vírus crackeado. Existem medidas, métodos, ordem , organização que deve ser rigorosamente cumprida e estipulada. Todos os processos de segurança devem ser bem documentados e explicitos. A isso chama-se simplesmente -Politicas de Segurança Proactivas-
    Re:Segurança Documentada. (Pontos:1)
    por Montanelas em 03-09-02 10:48 GMT (#17)
    (Utilizador Info)
    E por vezes até criam Intranets com informação cuja "leitura obrigatória" é recomendada, sendo devidamente publicitadas.
    Se tiverem um em cada cem funcionários a ler todos os conselhos sobre o que fazer e não fazer relativamente ao correio electrónico e descarregamento de ficheiros, já não é nada mau.
    E por vezes todo o planeamento e e implementação dos sistemas de segurança sobrem actualizações regulares que exigem a devida documentação. E já foi aqui muito bem referido, à segunda sai sempre mais depressa ;)
    (In)Segurança (Pontos:1)
    por paulojff em 02-09-02 16:22 GMT (#15)
    (Utilizador Info)
    Pessoalmente acho que o registo de todos os procedimentos efectuados na administração de uma rede é um risco, tendo em conta que a maioria dos problemas de segurança com redes de grandes empresas, sucedem através de pessoal com acesso á "main frame" da rede. Básicamente isso é o mesmo que escrever a root password num post-it e afixá-la no monitor. Concordo que o registo de dados relacionados com a periodicidade com que é feita a manutenção (patchs e upgrades) da maquina, assim como a altura em que foram aplicadas alterações nas politicas de acessos é importante, principalmente pq em caso de "asneira", terá que haver uma responsabilização da pessoa que a cometeu. Agora, a documentação detalhada de procedimentos de segurança pode gerar uma falsa sensação de segurança por parte de pessoal menos qualificado, sendo que na 1º situação nova (não documentada ) essa sensação será rapidamente substituida por outra de pânico e de inoperabilidade. Acontece que o que se passa actualmente nas redes da maioria das empresas, é aquilo que é descrito noutros comentários , ou seja, é o "curioso" ou o filho/ sobrinho do patrão que "sabe umas coisas" que administra (????) a rede ou então são aqueles técnicos de informática que aparecem uma vez por mês, com um CDzito na mão com uns programazitos que instalam (curiosamente nunca funcionam á 1ª) e que depois de fazerem reboot algumas dezenas de vezes, apresentam uma factura de 50euros /Hora com a promessa de "para o mês cá estaremos de novo, esteja descansado". Infelizmente é esta a realidade portuguesa (e não só).
    Re:(In)Segurança (Pontos:1)
    por Montanelas em 03-09-02 10:42 GMT (#16)
    (Utilizador Info)
    Pessoalmente acho que o registo de todos os procedimentos efectuados na administração de uma rede é um risco, tendo em conta que a maioria dos problemas de segurança com redes de grandes empresas, sucedem através de pessoal com acesso á "main frame" da rede.
    Discordo absolutamente. Se existir um planeamento atempado, os direitos e permissões bem implementados sobre os recursos cortam as vazas a muito boa gente... ;) E em empresas grandes, se aparece um especialista num determinado SO ou aplicação, ele vai querer saber como está tudo implementado. E Eu não conheço Sysadmins com paciência e/ou tempo para fazerem de "babysitters"...
    Basicamente isso é o mesmo que escrever a root password num post-it e afixá-la no monitor.
    "Nonsense". Se algum dia trabalhares numa grande multinacional, ficarás a saber, que muito do software utilizado está conveniente personalizado e que tem os seus truques manhosos, que é conveniente documentar e saber. E por vezes não estão presentes nos manuais do produto... :D A documentação de procedimentos é essencial para que o novo empregado não faça asneira. Se fores um cromo com as certificações actualizadas e com excelente formação de base e vasta experiência nada tens a temer. Gerir 50 ou 500 utilizadores é praticamente a mesma coisa, a pressão quando há problemas é que é dez vezes maior... :D Se fores um cromito que até dá uns toques, então estás num grande sarilho, quando tiveres o primeiro grande problema. O mais provável é no final do dia já teres recebido guia de marcha com devolução à procedência por parte do DRH.
    Concordo que o registo de dados relacionados com a periodicidade com que é feita a manutenção (patchs e upgrades) da maquina, assim como a altura em que foram aplicadas alterações nas politicas de acessos é importante, principalmente pq em caso de "asneira", terá que haver uma responsabilização da pessoa que a cometeu. Agora, a documentação detalhada de procedimentos de segurança pode gerar uma falsa sensação de segurança por parte de pessoal menos qualificado, sendo que na 1º situação nova (não documentada ) essa sensação será rapidamente substituida por outra de pânico e de inoperabilidade.
    Quem faz a manutenção do sistema, têm de ter as credências necessárias para o fazer. Além disso, tal documentação eventualmente será guardada em lugar seguro. E quando a pessoa responsável vai de férias, quem é que assegura as operações? Habitualmente é "deputy". Mas há muita empresa em Portugal cujo departamento de TI é composto por apenas uma pessoa, e não por milhares de pessoas como acontece no Grupo Shell. Aí, toda a documentação é necessária e bem vinda, porque cada empresa do Grupo é um caso particular.
    Acontece que o que se passa actualmente nas redes da maioria das empresas, é aquilo que é descrito noutros comentários , ou seja, é o "curioso" ou o filho/ sobrinho do patrão que "sabe umas coisas" que administra (????) a rede ou então são aqueles técnicos de informática que aparecem uma vez por mês, com um CDzito na mão com uns programazitos que instalam (curiosamente nunca funcionam á 1ª) e que depois de fazerem reboot algumas dezenas de vezes, apresentam uma factura de 50euros /Hora com a promessa de "para o mês cá estaremos de novo, esteja descansado". Infelizmente é esta a realidade portuguesa (e não só).
    Ou então pagam 5000 Euros por mês por um profissional razoavelmente qualificado a uma empresa de "Outsourcing", que muitas vezes nem o MCSE completo tem... :( Como eu reparei quando estive "lá fora", nós os Tugas até somos capazes de trabalhar tão bem ou melhor que os outros, desde que tenhamos recebido convenientemente formação de base... Olhem para a Irlanda, Coreia-do-Sul, Escandinávia, Japão, EUA, Alemanha... Formação, profissionalismo e competência! Resumindo: exigir a documentação minuciosa e explicíta de todos os sistemas e características da rede e respectivo funcionamento, operação, manutenção e resolução de problemas, é uma exigência legítima de quem tem milhares de Euros investidos em TI. Agora gastar dinheiro numa aplicação de Helpdesk, para os operadores escreverem em cada recibo de problema resolvido "Done by Montanelas" é que não tem graça nenhuma. Nem graça nem jeito... Enfim, só vendo que contado não tem piada... :P
    Re:(In)Segurança (Pontos:1)
    por paulojff em 03-09-02 16:50 GMT (#18)
    (Utilizador Info)
    Vendo as coisas dessa prespectiva, concordo contigo mas no entanto, acho que tem de haver algum cuidado no tratamento dessa informação, pois como é sabido, não é preciso muito para se expor dados, que mal utilizados podem criar grandes embaraços aos sys admin.

     

     

    [ Topo | FAQ | Editores | Contacto ]