| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. | | Buu (Pontos:1, Redundante) |
| | | Eu não tenho muita experiência, mas quando comecei no último trabalho, toda a gente falava muito de segurança, mas... não passava disso. Duvido que tanto o meu chefe como os meus colegas tenham formação em segurança. Sobre este assunto aconselho o Writing Secure Code 2. Está mesmo muito bom o livro e, apesar de ser da Microsoft, a maior parte dos conceitos que aborda são gerais.
____________________
Pedro Santos :: psantos.net |
| | | | | O problema e' que muitas organizacoes veem a seguranca informatica como um custo. Como tal faz-se o minimo necessario e procura-se ter apenas o "tick in the box" (especialmente quando se trata do Sarbanes-Oxley -- basicamente apenas trabalhei com empresas que levam a seguranca a serio em dois sectores: financeiro (algumas empresas, nem todas) e jogo online. A maioria das outras nao se apercebe que a informacao e' o unico valor transacionavel hoje em dia. Mais uns 5 a 10 anos e as atitudes mudam -- mas provavelmente nao vai ser a industria informatica que vai mudar as coisas -- vai ser casos sucessivos de fraude informatica.
I can live with doubt and uncertainty and not knowing. I think it is much more interesting to live not knowing than to have answers that might be wrong.
|
| | | | | | Só depois de casa assaltada é que se vão pôr trancas nas portas. Que é como quem diz, só quando as empresas aprenderem que mais val investir na segurança desde o princípio que ter que pagar para remediar o que uma falha na segurança causou. Quando começarem a sentir o dinheiro desaparecer e a sua má reputação for conhecida, essas empresas vão investir forçosamente na segurança e provavelmente vão criar movimentos com o nome "security push" que vão publicitar aos sete ventos como se fosse o melhor que estivessem a fazer para os seus clientes... onde é que eu já ouvi isto?
--
CodeMaker |
| | | | O problema é que é dificil fazer ver isso, e transformar um custo em algo "rentável" e que seja uma mais valia para a empresa.
Desde já se agradece ao(s) idiota(s) que modera(m) para baixo todos os comentarios ! |
| | | | Como diz o leitão e bem, as empresas penas olham para a segurança como um custo. Numa aula de auditoria informática, eu perguntei ao docente porque é que os auditores em vez de dizerem os custos que as empresas vão ter com a segurança não argumentam com os benefícios e a rentabilidade de se ter um bom processo de segurança(as coisas que eles nos ensinam). A resposta dele foi: "Pois, isso é bem visto!!", e segundo eles bem tentam mas não conseguem. Porque se se vender a segurança informática como sendo um seguro muitas empresas até que investiam na segurança, o que falta neste momento é MARKETING em volta da segurança informática.
------------------------------------------------------------
Todas as coisas mudam, e nós mudamos com elas. |
| | | | | O problema e' que muitas organizacoes veem a seguranca informatica como um custo. O problema é que a segurança informática é um custo. Além disto fica sempre bem dizer aquela frase mágica: segurança é um processo ;-) como tal, investir na dita segurança informática é inútil se a menina do helpdesk vai dar info confidencial a qq marmelo de conversa mansa.
|
| | | | O grave nesse processo de segurança é a menina do helpdesk ter acesso a informação confidencial, pois toda a gente sabe que elas com um café e um piropo fazem qualquer coisa :-)
P.S. - Gosto do Konqueror a usar um spellchecker (ispell). Para quando isto no Firefox?
Paradoxo do ano: Microsoft Works!
Dominus vobiscum |
| | | | Correctissímo. Para muitos "chefes", a segurança resume-se a um "temos firewall por hardware e aplicações de código fechado"...
Um assunto colateral a isto é o acordo de Basileia II, que anda a pôr em alvoroço as instituições da nossa praça. Algumas, não sabem, sabem mas nada fazem/fizeram, sabem e não sabem por onde lhe pegar... Não acredito que venha a ser implementada até ao fim do ano e ao pormenor, mas que vai criar alguma disciplina de segurança lá isso vai. Lamento não providenciar nenhum link sobre o Basileia mas não me lembro onde tenho o raio do bookmark.
|
| | | | Há boa maneira portuguesa está-se a deixar para a última aquilo que se pode começar a trabalhar desde já. Ao que julgo o programa Basileia II só será aplicável a partir de 2006 e tomando o exemplo uma das instituições financeiras que conheço a componente de risco operacional (são três ao todo: risco de mercado, risco de crédito e risco operacional) ainda nem sequer foi iniciada. Ora é exactamente nesta área operacional que entra a componente de segurança TI que permitirá às instituições finaceiras provarem junto do bancos centrais que estão a aplicá-las e assim reduzir o dinheiro "empatado" em provisões de reserva. O negócio de um banco é fazer girar o dinheiro e não te-lo empatado em reservas. Há quem diga que se trata de um novo ano 2000 em termos de esforço de investimento mas a ver vamos. Se alguém tiver links para esta questão agradecia porque até ao momento o google não foi meu amigo e só encontrei info bastante génerica/mais para os nossos colegas economistas.
|
| | | | Há dois casos a discernir:
PMEs e Grandes Empresas.
As Grandes Empresas preocupam-se, pelo que sei de auditorias e consultorias informáticas, pela segurança até porque em jogo está não só a reputação e imagem da empresa como a confidencialidade dos seus documentos.
Depois, as PMEs, excepto casos atípicos, estão literalmente nas tintas para a segurança excepto quando... "o ladrão lhes bate à porta"!
Só para exemplificar, conheço uma empresa que tem dois escritórios relativamente perto e a comunicação entre os dois é wireless. Ora, no mínimo uma implementação PEAP com cifragem a uns quantos bits.. Pois bem, os dados nem cifrados por WEP estão!
Paradoxo do ano: Microsoft Works!
Dominus vobiscum |
| | | | | | As grandes empresas nao sabes bem do que falas, tirando algumas excepcoes. Isso que dizes é a imagem do que passa ca pa fora. Por dentro a realidade é bem diferente. E mais num posso dizer, contrato oblige it :(
Desde já se agradece ao(s) idiota(s) que modera(m) para baixo todos os comentarios ! |
| | | | "Só para exemplificar, conheço uma empresa que tem dois escritórios relativamente perto e a comunicação entre os dois é wireless. Ora, no mínimo uma implementação PEAP com cifragem a uns quantos bits.. Pois bem, os dados nem cifrados por WEP estão!"
Só conheces uma? Nunca fizeste um wardrive em Lisboa, pois não? :-P
Como protesto contra a ridicularidade das novas políticas do gildot, todos os meus comentários serão colocados sem possibilidade de resposta. |
| | | | Eu não disse que só conhecia uma, mas já agora, listo as que conheço:
- PEAP, EAP;
- WEP, WAP;
- 802.1x;
E claro, tirando a cifragem, há as coisas óbvias, como não fazer broadcast do ESSID, permitir apenas MAC addresses registados, etc, etc..
Paradoxo do ano: Microsoft Works!
Dominus vobiscum |
| | | | Ele estava-se a referir a empresas: só conheces uma empresa sem protecção da rede wifi... wap?
|
| | | | Viva,
não se pode pensar que se deve tirar lucro directo e imediato com o investimento feito, isso é errado porque há determinados investimentos que devem ser vistos como investimentos de prevenção.
Como já alguém falou e falou bem, "só depois de casa roubada, trancas à porta", e é com esta similaridade com a realidade que quero dar a entender a minha opinião.
O titulo do artigo tem uma palavra EXTREMAMENTE importante , "SENSIBILIZAÇÂO", que eu corrigiria para SENSIBILIDADE. É tudo uma questão de sensibilidade e de cultura da informação, enquanto as pessoas não tiveram a tão almejada SENSIBILIDADE isto não irá para a frente. Deve-se pensar e agir com a mesma preocupação de se precaver contra assaltos e roubo de informação nas suas instalações fisicas. Quando se fala que uma empresa tem dentro das suas instalações informação ou valores de qualquer género, toda a gente tem a SENSIBILIDADE e fala "é obvio que tem de ter um sistema de segurança" para salvaguardar os seus valores, e aqui ninguém se preocupa em buscar lucro por estar a instalar um sistema de alarmes. Enquanto este "óbvio" não entrar numa forma natural no discurso das pesssoas é porque ainda não estão sensibilizados para encarar a segurança informática com a importância que ela deve ter.
Cumprimentos
mad |
| | | | | Estava bem estruturada e compreensível essa entrada no teu Blog. Já há muito que, no meio dos relatórios densos e incompreensíveis para pontos mais simples de provar que o que tinhas, o teu relatório foi uma lufada de ar fresco, passe embora o silogismo. Afora isso, notas alguma diferença de desempenho no Swing? Qual é a tua opinião acerca de Java no cliente (desktop)? E, finalmente, crês que o Java Native Interface tem tendência a morrer em prol de realização em Java de bibliotecas existentes? Obrigado desde já pelas respostas. Francisco Colaço
Quem não faz, ensina; quem não faz nem ensina, faz metodologia. Quem não faz nem ensina nem faz metodologia, faz futurologia. |
| |
|
