gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Sensibilização para a segurança informática
Contribuído por scorpio em 03-10-04 21:36
do departamento security-awareness
News WZ|Dunadan escreve "No artigo CEOs Turn a Blind Eye To Information Security fala-se sobre um Ernst & Young Global Information Security Survey (.PDF) no qual refere-se que mais de 70% dos responsáveis por 1,233 organizações em 51 países não conseguiram indicar iniciativas relativas à segurança informática com origem nas chefias.

Ao que parece, as empresas estão a fiar-se na confiança... E por cá, o que é que anda a ser feito nas empresas e na administração pública para atacar este problema? Que conhecimentos e experiências positivas e/ou negativos é que podem ou querem partilhar? "
" Já agora, quais são os sítios de segurança informática nacionais e/ou estrangeiros que visitam e/ou preferem? "

J2SE 1.5 lancado, toca a fazer benchmarks | Encontro Linux em Mira  >

 

gildot Login
Login:

Password:

Referências
  • WZ|Dunadan
  • CEOs Turn a Blind Eye To Information Security
  • Ernst & Young Global Information Security Survey (.PDF)
  • Mais acerca News
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Buu (Pontos:1, Redundante)
    por PRE em 03-10-04 21:59 GMT (#1)
    (Utilizador Info) http://psantos.net
    Eu não tenho muita experiência, mas quando comecei no último trabalho, toda a gente falava muito de segurança, mas... não passava disso. Duvido que tanto o meu chefe como os meus colegas tenham formação em segurança.

    Sobre este assunto aconselho o Writing Secure Code 2. Está mesmo muito bom o livro e, apesar de ser da Microsoft, a maior parte dos conceitos que aborda são gerais.
    ____________________
    Pedro Santos :: psantos.net

    O problema... (Pontos:3, Esclarecedor)
    por leitao em 03-10-04 22:28 GMT (#2)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    O problema e' que muitas organizacoes veem a seguranca informatica como um custo. Como tal faz-se o minimo necessario e procura-se ter apenas o "tick in the box" (especialmente quando se trata do Sarbanes-Oxley -- basicamente apenas trabalhei com empresas que levam a seguranca a serio em dois sectores: financeiro (algumas empresas, nem todas) e jogo online. A maioria das outras nao se apercebe que a informacao e' o unico valor transacionavel hoje em dia.

    Mais uns 5 a 10 anos e as atitudes mudam -- mas provavelmente nao vai ser a industria informatica que vai mudar as coisas -- vai ser casos sucessivos de fraude informatica.


    I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.

    Re:O problema... (Pontos:2)
    por The CodeMaker em 03-10-04 22:56 GMT (#4)
    (Utilizador Info)
    Só depois de casa assaltada é que se vão pôr trancas nas portas. Que é como quem diz, só quando as empresas aprenderem que mais val investir na segurança desde o princípio que ter que pagar para remediar o que uma falha na segurança causou. Quando começarem a sentir o dinheiro desaparecer e a sua má reputação for conhecida, essas empresas vão investir forçosamente na segurança e provavelmente vão criar movimentos com o nome "security push" que vão publicitar aos sete ventos como se fosse o melhor que estivessem a fazer para os seus clientes... onde é que eu já ouvi isto?

    --
    CodeMaker
    Re:O problema... (Pontos:0)
    por tonidosimpostos em 04-10-04 1:34 GMT (#7)
    (Utilizador Info)
    O problema é que é dificil fazer ver isso, e transformar um custo em algo "rentável" e que seja uma mais valia para a empresa.

    Desde já se agradece ao(s) idiota(s) que modera(m) para baixo todos os comentarios !
    Re:O problema... (Pontos:3, Esclarecedor)
    por Tuaregue em 04-10-04 8:10 GMT (#8)
    (Utilizador Info)
    Como diz o leitão e bem, as empresas penas olham para a segurança como um custo. Numa aula de auditoria informática, eu perguntei ao docente porque é que os auditores em vez de dizerem os custos que as empresas vão ter com a segurança não argumentam com os benefícios e a rentabilidade de se ter um bom processo de segurança(as coisas que eles nos ensinam). A resposta dele foi: "Pois, isso é bem visto!!", e segundo eles bem tentam mas não conseguem. Porque se se vender a segurança informática como sendo um seguro muitas empresas até que investiam na segurança, o que falta neste momento é MARKETING em volta da segurança informática.

    ------------------------------------------------------------
    Todas as coisas mudam, e nós mudamos com elas.

    Re:O problema... (Pontos:2, Engraçado)
    por BugMeNot.com em 03-10-04 23:09 GMT (#5)
    (Utilizador Info)
    O problema e' que muitas organizacoes veem a seguranca informatica como um custo.

    O problema é que a segurança informática é um custo. Além disto fica sempre bem dizer aquela frase mágica: segurança é um processo ;-) como tal, investir na dita segurança informática é inútil se a menina do helpdesk vai dar info confidencial a qq marmelo de conversa mansa.

    Re:O problema... (Pontos:2)
    por 4Gr em 04-10-04 11:47 GMT (#10)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    O grave nesse processo de segurança é a menina do helpdesk ter acesso a informação confidencial, pois toda a gente sabe que elas com um café e um piropo fazem qualquer coisa :-)

    P.S. - Gosto do Konqueror a usar um spellchecker (ispell). Para quando isto no Firefox?

    Paradoxo do ano: Microsoft Works!
    Dominus vobiscum
    Re:O problema... (Pontos:1)
    por null em 04-10-04 11:58 GMT (#11)
    (Utilizador Info)
    Correctissímo. Para muitos "chefes", a segurança resume-se a um "temos firewall por hardware e aplicações de código fechado"...
    Um assunto colateral a isto é o acordo de Basileia II, que anda a pôr em alvoroço as instituições da nossa praça. Algumas, não sabem, sabem mas nada fazem/fizeram, sabem e não sabem por onde lhe pegar... Não acredito que venha a ser implementada até ao fim do ano e ao pormenor, mas que vai criar alguma disciplina de segurança lá isso vai. Lamento não providenciar nenhum link sobre o Basileia mas não me lembro onde tenho o raio do bookmark.
    Re:O problema... (Pontos:1)
    por pantanero em 04-10-04 14:15 GMT (#13)
    (Utilizador Info)
    Há boa maneira portuguesa está-se a deixar para a última aquilo que se pode começar a trabalhar desde já. Ao que julgo o programa Basileia II só será aplicável a partir de 2006 e tomando o exemplo uma das instituições financeiras que conheço a componente de risco operacional (são três ao todo: risco de mercado, risco de crédito e risco operacional) ainda nem sequer foi iniciada. Ora é exactamente nesta área operacional que entra a componente de segurança TI que permitirá às instituições finaceiras provarem junto do bancos centrais que estão a aplicá-las e assim reduzir o dinheiro "empatado" em provisões de reserva. O negócio de um banco é fazer girar o dinheiro e não te-lo empatado em reservas. Há quem diga que se trata de um novo ano 2000 em termos de esforço de investimento mas a ver vamos. Se alguém tiver links para esta questão agradecia porque até ao momento o google não foi meu amigo e só encontrei info bastante génerica/mais para os nossos colegas economistas.
    A discernir! (Pontos:2)
    por 4Gr em 03-10-04 22:42 GMT (#3)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Há dois casos a discernir:

    PMEs e Grandes Empresas.

    As Grandes Empresas preocupam-se, pelo que sei de auditorias e consultorias informáticas, pela segurança até porque em jogo está não só a reputação e imagem da empresa como a confidencialidade dos seus documentos.

    Depois, as PMEs, excepto casos atípicos, estão literalmente nas tintas para a segurança excepto quando... "o ladrão lhes bate à porta"!

    Só para exemplificar, conheço uma empresa que tem dois escritórios relativamente perto e a comunicação entre os dois é wireless. Ora, no mínimo uma implementação PEAP com cifragem a uns quantos bits.. Pois bem, os dados nem cifrados por WEP estão!

    Paradoxo do ano: Microsoft Works!
    Dominus vobiscum
    Re:A discernir! (Pontos:0)
    por tonidosimpostos em 04-10-04 1:32 GMT (#6)
    (Utilizador Info)
    As grandes empresas nao sabes bem do que falas, tirando algumas excepcoes. Isso que dizes é a imagem do que passa ca pa fora. Por dentro a realidade é bem diferente. E mais num posso dizer, contrato oblige it :(

    Desde já se agradece ao(s) idiota(s) que modera(m) para baixo todos os comentarios !
    Re:A discernir! (Pontos:2)
    por flock em 04-10-04 16:38 GMT (#14)
    (Utilizador Info) http://www.corah.org/
    "Só para exemplificar, conheço uma empresa que tem dois escritórios relativamente perto e a comunicação entre os dois é wireless. Ora, no mínimo uma implementação PEAP com cifragem a uns quantos bits.. Pois bem, os dados nem cifrados por WEP estão!"

    Só conheces uma? Nunca fizeste um wardrive em Lisboa, pois não? :-P

     
    Como protesto contra a ridicularidade das novas políticas do gildot, todos os meus comentários serão colocados sem possibilidade de resposta.
    Re:A discernir! (Pontos:2)
    por 4Gr em 04-10-04 19:47 GMT (#15)
    (Utilizador Info) http://www.fe.up.pt/freefeup
    Eu não disse que só conhecia uma, mas já agora, listo as que conheço:

    - PEAP, EAP;
    - WEP, WAP;
    - 802.1x;

    E claro, tirando a cifragem, há as coisas óbvias, como não fazer broadcast do ESSID, permitir apenas MAC addresses registados, etc, etc..

    Paradoxo do ano: Microsoft Works!
    Dominus vobiscum
    Re:A discernir! (Pontos:1)
    por BugMeNot.com em 04-10-04 22:34 GMT (#16)
    (Utilizador Info)
    Ele estava-se a referir a empresas: só conheces uma empresa sem protecção da rede wifi... wap?
    SENSIBILIDADE (Pontos:2, Interessante)
    por mad em 04-10-04 9:54 GMT (#9)
    (Utilizador Info)
    Viva,
      não se pode pensar que se deve tirar lucro directo e imediato com o investimento feito, isso é errado porque há determinados investimentos que devem ser vistos como investimentos de prevenção.
      Como já alguém falou e falou bem, "só depois de casa roubada, trancas à porta", e é com esta similaridade com a realidade que quero dar a entender a minha opinião.
        O titulo do artigo tem uma palavra EXTREMAMENTE importante , "SENSIBILIZAÇÂO", que eu corrigiria para SENSIBILIDADE. É tudo uma questão de sensibilidade e de cultura da informação, enquanto as pessoas não tiveram a tão almejada SENSIBILIDADE isto não irá para a frente. Deve-se pensar e agir com a mesma preocupação de se precaver contra assaltos e roubo de informação nas suas instalações fisicas. Quando se fala que uma empresa tem dentro das suas instalações informação ou valores de qualquer género, toda a gente tem a SENSIBILIDADE e fala "é obvio que tem de ter um sistema de segurança" para salvaguardar os seus valores, e aqui ninguém se preocupa em buscar lucro por estar a instalar um sistema de alarmes. Enquanto este "óbvio" não entrar numa forma natural no discurso das pesssoas é porque ainda não estão sensibilizados para encarar a segurança informática com a importância que ela deve ter.

    Cumprimentos
    mad
    Parabéns pelo Benchmark, Leitão. (Pontos:2)
    por fhc em 04-10-04 12:06 GMT (#12)
    (Utilizador Info)

    Estava bem estruturada e compreensível essa entrada no teu Blog. Já há muito que, no meio dos relatórios densos e incompreensíveis para pontos mais simples de provar que o que tinhas, o teu relatório foi uma lufada de ar fresco, passe embora o silogismo.

    Afora isso, notas alguma diferença de desempenho no Swing? Qual é a tua opinião acerca de Java no cliente (desktop)? E, finalmente, crês que o Java Native Interface tem tendência a morrer em prol de realização em Java de bibliotecas existentes?

    Obrigado desde já pelas respostas.

    Francisco Colaço


    Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia.

     

     

    [ Topo | FAQ | Editores | Contacto ]