A Strong Security Brasil estará no IDC Brazil Information Security & Business Continuity Conference 2010 no próximo dia 17/03/2010. Visite-nos
Acesse o convite no link http://www.idclatin.com/email_mkt/bra/security10/emkt_bra_10_conf_isbc_1-.html
Assita a palesta que demos no Campus Party sobre Profissão Hacker
Executivos se reúnem no restaurante Cantaloup para discutir necessidade e exigências da norma PCI
No último dia 25 de novembro de 2009 no Restaurante Cantaloup em São Paulo, executivos de várias empresas como Itaú, BM&F Bovespa, D’avó, Lyra, GetNet, VisaNet, Banco Nossa Caixa, Drogaria Onofre, Banco Rendimento e Thomas Greg, estiveram presentes para discutir necessidade e tendências das exigências das bandeiras VISA e MasterCard sobre as a norma PCI. O evento foi patrocinado pela IBM e Strong Security Brasil - SSBr que fizeram apresentação sobre o cenário atual das exigências do PCI e as vantagens e desvantagens em estar aderente a norma. O Sr Dario Caraponale diretor da SSBr fez a abertura do evento apresentando as novidades da empresa como provedores de soluções de segurança da informação e as novas parcerias com a IBM e empresas que proporcionam formação de profissionais como o curso preparatório para certificação CISSP. Em seguida o Sr. Ed Wilson Menezes da IBM fez uma breve apresentação sobre o cenário atual e das vantagens que hoje as empresas podem obter em conseguir certificação PCI com o que diz respeito a uma possível taxa de desconto nas operações, já que passam a inserir menos riscos as bandeiras, gerando vantagens competitivas ou mesmo margens de lucro para elas. Durante a apresentação do Ed iniciou-se um debate com as empresas presentes onde ficou claro que estas vantagens ainda não estão sendo oferecida ou pelo menos percebida pelas empresas. Em seguida o Sr Henrique Takaki representando a ABECS – Associação Brasileira das empresas de Cartões de Credito, em sua apresentação informou aos presentes que de inicio as bandeiras irão exigir com que as empresas atendam a norma PCI, e que com o decorrer do tempo ele acredita que iniciarão as vantagens para as empresas que estiverem atendendo a norma PCI, já que serão elas as responsáveis por reduzirem os riscos sistêmicos e ajudando na redução das fraudes. O evento seguiu com um jantar e muita descontração e debates sobre as questões levantadas e debatidas durante as apresentações.
O evento encerou as 00h30min, isto porque no dia seguinte era dia de “branco” e todos tinham compromisso, caso contrario o papo iria seguir madrugada adentro tamanha foi a descontração, interação e interesse dos presentes.
Após o evento ficou o compromisso da Strong Security Brasil e IBM de proporcionar continuidade do debate que se iniciou neste encontro.
Forrester recomenda criação de sistemas de proteção que sejam integráveis às demais soluções da companhia. Gestor de TI deve ter em mente que iniciativa precisa ser flexível e aplicável no longo prazo
Por Randy Heffner, da Forrester Research
21 de agosto de 2009 - 08h23
Segurança – ou a falta dela – não é motivo para manter-se fora da tendência de adoção da arquitetura orientada a serviços (SOA). Mesmo que a maturidade de proteção de dados no modelo ainda não tenha chegado, 30% das empresas do mundo já utilizam o padrão para integrar informações de clientes e parceiros.
Para alcançar patamares seguros e estáveis de utilização de SOA é preciso avaliar atentamente os ambientes que serão contemplados com soluções de segurança para que os investimentos feitos não se tornem obsoletos em pouco tempo.
Antes de buscar fornecedores ou desenvolver softwares de proteção, os líderes de TI precisam estabelecer um projeto de design para a segurança de tal arquitetura. Esse plano deve contemplar os ambientes que serão protegidos, as especificações dos produtos já utilizados na infraestrutura da companhia (para que as novas soluções possam ser integradas a tais ferramentas) e as previsões para a área de segurança e tecnologia da empresa nos próximos anos.
A criação de uma rede particular (VPN, da sigla virtual private network, em inglês) para suportar as solicitações e respostas das aplicações em SOA é uma opção simples e eficiente de garantir a proteção dos dados – quando acessados internamente. No caso de serem consultados externamente, é necessário que haja dois níveis de gerenciamento de identidade.
Na primeira etapa, é exigido um certificado digital específico para aquele que tentar acessar a VPN – assim somente aqueles com a certificação poderão ter contato com os dados corporativos.
O segundo nível contempla situações nas quais dois ou mais usuários comunicam-se e utilizam (por meio de anexos, por exemplo) as aplicações em SOA. Nesses casos é preciso que os usuários consigam autenticar-se um ao outro antes de enviar informações corporativas valiosas por meio da combinação de senhas e códigos.
A consultoria Forrester Research recomenda a criação de sistemas de proteção que não requeiram configurações e códigos muito específicos - o que dificultaria a integração com as demais soluções da companhia. Os gestores responsáveis pelas políticas de segurança para SOA devem ter em mente que o projeto precisa ser flexível e aplicável também no longo prazo.
Encontrar a combinação ideal de padrões de fornecimento, produtos e plataformas de proteção de informações não é fácil e demanda pensamento estratégico. Seguem algumas dicas de como começar essa tarefa:
1. Identifique suas necessidades de segurança e as normas regulatórias as quais deve cumprir. Assim, comece a listar quais são os aspectos indispensáveis do projeto. Esse conjunto de pré-requisitos funcionará como a base da política de proteção em SOA;
2. Depois de definidas as principais demandas de segurança, começa a fase de identificar produtos e fornecedores que supram essas necessidades. Nessa etapa é necessário que o responsável pelo projeto priorize a aquisição de ferramentas que possam ser integradas às demais do parque de TI da companhia;
3. Esteja certo de que todos os produtos poderão trabalhar juntos e tome os cuidados necessários para que fornecedores realizem a implementação das soluções de forma correta.
Esta reportagem vem comprovar uma teoria de que quando funcionários estão passando por problemas financeiros ou de saúde na família estão mais vulneraveis a praticarem fraudes.
Existem empresas que criam mecanismos para identificar funcionários com estes tipos de problema, gerando linhas de emprestimos para estes funcionários permitindo com que se identifique os maiores problemas e tente-se minimiza-los.
O problemas com esta crise é que todos estão com medo de perder o emprego e naturalmente começam a colher o máximo de informação possivel para garantir suas biblioteca de informação profissional como: contatos, documentos desenvolvidos, planejamentos enfim, tudo aquilo que ele já produziu na empresa e que poderá ser útil para ele em um novo possivel emprego ou período de desemprego.
===================================
Desempregados ou subempregados, pessoal de TI pode partir para o submundo criminoso em busca de mais dinheiro, diz consultoria.
25 Mar 2009| FONTE - IDG Now
Pesquisa feita pela KPMG aponta que as empresas estão cada vez mais preocupadas com a possibilidade de funcionários roubarem dados corporativos ou vender informações sigilosas para terceiros por conta da crise econômica mundial. A consultoria ouviu 307 organizações do mundo inteiro.
Para 66% dos entrevistados, funcionários de tecnologia desempregados sentiriam grande tentação em realizar crimes digitais, motivados pela perda do emprego, por menores bônus financeiros e participações nos lucros. A pesquisa, chamada “E-crime 2009”, foi apresentada durante congresso em Londres, Inglaterra.
A KPMG identificou que triplicaram as fraudes cometidas por gerentes, funcionários e clientes em 2008 ante 2007, o que indica que a recessão vai reforçar esta tendência.
Pouco menos da metade dos entrevistados que cuidam de infraestrutura, 45%, reportou um aumento no número de ataques contra os sistemas corporativos, enquanto 51% deles ressaltaram que a sofisticação destes crimes está cada vez maior.
Já 68% dos profissionais entrevistados aponta que os cavalos de tróia são as piores causaram os maiores danos e preocupam, seguidos pelos rootkits, spyware, worms, viruses, código malicioso para computadores móveis ou celulares e, por fim, adware.
A pesquisa alertou que os funcionários tradicionalmente têm acesso facilitado aos sistemas corporativos e conhecem as suas fraquezas. As companhias precisam criar regras rígidas para desabilitar os funcionários quando eles deixarem a organização, indica a pesquisa.
Malcolm Marshall, sócio da KPMG em governança de tecnologia, aponta que o surgimento de malware como o Conficker, que foi atualizado remotamente para driblar as ferramentas de segurança, e a queda da eficácia de antivírus apontam para uma modificação profunda na segurança das empresas.
A comunidade de segurança pode enfrentar “uma alteração radical na maneira em que fazemos e-business,” disse Marshall. Segundo ele, isto é parcialmente culpa dos profissionais de TI que não atualizam seus sistemas, a melhor habilidade dos criminosos digitais e falta de conhecimento de segurança dos consumidores.
Neste artigo a IDC faz uma analise muito importante que pode ajudar as empresas que ainda estão com duvidas em adotar o modelo SaaS para a solução de NF-e.
No caso da NF-e a adoção da aquisição da solução no modelo SaaS já está bastante justificada pelo fato das empresas já terem apontado em seus custos o valor da aquisição das notas em formulário continuo, que varia de empresa para empresa, mas que pode chegar em mais de R$ 1,00 por nota em alguns casos.
O cálculo do retorno sobre o investimento neste caso fica bastante facilitado já que os custos de aquisição de uma solução de NF-e tem como base um valor de implementação mais um valor fixo por nota fiscal emitida.
Consulte a Strong Security Brasil para saber como calcular o ROI do projeto de NF-e.
Segue abaixo copia da materia publicada pela COMPUTERWORLD
======================
A consultoria, até o final deste ano, 73% das empresas americanas estarão usando ao menos um software entregue no modelo de serviço.
Redação do COMPUTERWORLD
publicado em 03/02/2009
Recente pesquisa realizada pelo IDC mostra que a crise econômica mundial vai, de fato, acelerar as vendas no modelo de software como serviço (SaaS). Segundo a consultoria, o fato vai ocorrer na medida em que os fornecedores forem lançando alternativas de tamanho certo e baixo investimento.
Os consumidores vão optar por formas de contratação de serviços simples que consideram o uso atual, não a capacidade futura, dos sistemas. Ao mesmo tempo, fornecedores e seus parceiros devem procurar novos produtos e fontes de receita recorrentes. Por conta disso, a IDC elevou a previsão de crescimento do mercado de SaaS em 2009 de 36% para 40,5%, na comparação com o ano passado.
Segundo Robert Mahowald, diretor de pesquisas da consultoria, com a abrangente desaceleração de vários setores no mercado de tecnologia, as empresas estão cada vez mais cautelosas em relação a investimentos de curto prazo, seja por questões de estabilidade, crescimento, ou redução de custos.
A pesquisa ainda aponta que, até o final deste ano, 76% das organizações norte-americanas estarão usando ao menos uma aplicação entregue no modelo de software como serviço. O porcentual de empresas americanas que planeja gastar ao menos 25% de seus orçamentos de tecnologia com SaaS deve passar de 23%, em 2008, para 45% em 2009.
Mesmo considerando que a demanda pelo modelo deve ser maior nos Estados Unidos, a IDC prevê novos contratos sendo registrados também na Europa, Oriente Médio, África e na Ásia, excluindo o Japão. Até o final de 2009, cerca de 35% da receita mundial desse mercado virá de fora dos Estados Unidos.
A má notícia é que a consultoria encontrou alguns problemas entre os fornecedores de SaaS, como fluxo de caixa apertado, desafios de liquides e recursos limitados para expandir a infraestrutura para dar suporte a novos clientes e serviços.
http://www.channelworld.com.br/mercado/2009/02/03/idc-aumenta-previsao-de-crescimento-do-mercado-de-software-como-servico/
Acompanhado as materias de revistas especializadas, notamos um crescimento assutador de fraudes nos ultimos anos.
Vejam que em 2007, a fraude representava 28% dos incidentes reportados na Internet Brasileira:
http://www.cert.br/stats/incidentes/2007-jan-dec/tipos-ataque.html
Em 2008, vejam quanto representou a fraude:
http://www.cert.br/stats/incidentes/2008-jan-dec/tipos-ataque.html
Por Redação do IDG Now!
Publicada em 28 de janeiro de 2009 às 15h13
Atualizada em 28 de janeiro de 2009 às 15h44
São Paulo - Notificações sobre violação de copyright em P2P aumentaram 7 vezes em relação a 2007, com 108.242 registros, diz CERT.br.
O número de notificações de incidentes online, incluindo tentativas de fraude, cresceu 39% em 2008 em comparação com 2007, afirma o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br).
As notificações recebidas somaram 222.528, sendo que deste total, 140.067 foram tentativas de fraude, crescimento de 209% em relação a 2007. De acordo com o CERT.br, quase 89 mil incidentes relacionados a fraude foram registrados apenas no quarto trimestre de 2008.
O órgão afirma que o aumento de tentativas de fraude tem relação com o crescimento de notificações sobre violação de direitos autorais por redes P2P - no ano passado, o copyright violado gerou 108.242 reclamações, 7 vezes mais do que o registrado em 2007.
As fraudes continuam ganhando espaço em banklines também. O aumento da incidência de páginas falsas de bancos foi de 124% em comparação com 2007. Os ataques a instituições bancárias brasileiras cresceram 266% em um ano.
A boa notícia é que os cavalos-de-troia, que roubam dados sensíveis, agiram menos, com incidência negativa de 6% no último trimestre de 2008 em relação ao mesmo período de 2007.
Já os ataques a servidores web aumentaram 149%, enquanto os ‘ataques de força bruta’, ou varreduras, cresceram 27%, tendo o SSH como o serviço mais procurado
Guerreiros da Rede - Conheça o trafego de dados de maneira divertida e simples, como a informação tafega pela rede mundial de computadores
Como funcionam:
- Empacotamento de dados;
- Roteadores;
- Switchs;
- Firewall;
- Protocolos (TCP/UDP;
- A base do modelo OSI;
1/2
2/2