Strong Security Brasil

Este artigo da CNN relata as últimas ações do Pentagono no sentido de melhor preparar seus funcionários na defesa de seus computadores contra ações de hackers.

Pentagon trains workers to hack Defense computers

Pentagon trains workers to hack Defense computers
By Larry Shaughnessy, CNN Pentagon Producer
March 11, 2010 — Updated 0027 GMT (0827 HKT)

Washington (CNN) — The Pentagon is training people to hack into its own computer networks.

“To beat a hacker, you need to think like one,” said Jay Bavisi, co-founder and president of the International Council of Electronic Commerce Consultants, or EC-Council. His company was chosen by the Pentagon to oversee training of Department of Defense employees who work in computer security-related jobs and certify them when the training is complete.

Veja a reportagem na integra em: http://edition.cnn.com/2010/TECH/03/10/pentagon.hacking/

Vejam o Boletim de impressa divulgado sobre o assunto. Infelizmente o boletim foi feito em Ingles e Espanho, segue abaixo a versão em Espanho que acho ser mais fácil para a maioria entender.
Em resumo e o que mais importa neste anucio é que cada vez mais a certificação CEH está fincando cada vez mais importante e descisiva para os profissionas de segurança da informação.
================================================
Boletín de prensa
El Departamento de Defensa de los Estados Unidos adopta las certificaciones del EC-Council para proteger los intereses del país.
CEH se encuentra formalmente integrado a los requerimientos de certificación para el personal del Departamento de Defensa.
ALBUQUERQUE NM, Marzo 1, 2010 – El Departamento de Defensa de los Estados Unidos (U.S. Department of Defense- DoD) anunció la aprobación oficial del programa de certificación Certified Ethical Hacker (CEH) como una habilidad base requerida para defensores de la red de U.S.A. Específicamente, el programa Certified Ethical Hacker es requerido para los Defensores de la Red Informática del Departamento de Defensa (DoD’s computer network defenders- CND’s), una clasificación para personal especializado dentro del equipo de Seguridad de la Información del Departamento de Defensa.
Certified Ethical Hacker se encuentra como requisito dentro de la norma 8570 del Departamento de Defensa en el programa de mejoramiento del personal de Seguridad de la Información. La versión actual fue diseñada por el Secretario Asistente de Defensa, John G. Grimes y fue oficialmente instaurado el 25 de febrero de 2010. La norma 8570 provee una guía clara para la capacitación sobre la seguridad de la información, la certificación y la administración del personal en todos los componentes del Departamento de Defensa.
El grupo de CND’s protege, analiza, detecta y responde a la actividad no autorizada dentro de los sistemas de información y redes informáticas de la DoD.
Con esta norma, el servicio militar, los empleados y el personal foráneo a través de todas las descripciones de puestos deben mostrar un cumplimiento del 100% con la nueva capacitación sobre la certificación Certified Ethical Hacker para el 2011. Esto demuestra el enfoque del Departamento de Defensa en una mejor capacitación y preparación de los empleados militares de U.S.A en ésta área.
La certificación como CEH demuestra que aquellos que la poseen cuentan con el conocimiento, las herramientas y las técnicas de un hacker, fortaleciendo su frase: para vencer a un hacker debes pensar como él.
“CEH ha sido seleccionada gracias a su inmensa naturaleza técnica y táctica” dijo Jay Bavisi, Co-fundador y Presidente del EC-Council. “Es una de las certificaciones más avanzadas técnicamente en la norma para Profesionales de la CND. De hecho, es la única certificación aprobada por cuatro de las cinco categorías para preparar a los equipos CND. Mientras otros programas basados en políticas agregan valor, CEH prepara al equipo de CND de los Estados Unidos para combatir hackers en tiempo real, defendiendo los intereses de los Estados Unidos Globalmente”
Bavisi agregó: ” Hemos estado investigando esta área durante bastante tiempo y ahora con este mandato del Departamento de Defensa, hemos dedicado más tiempo para atacar a los hackers en su propio juego. Estamos llegando a investigaciones sobre técnicas de hackeo más complejas y en el próximo lanzamiento de nuestro programa CEH esperamos mostrar más de 150 módulos, ataques detallados y extremadamente complejos y tácticas defensivas, que ayudarán a elevar el nivel de conocimiento de los equipos CND”
Distribuidor exclusivo para Latinoamérica
Datos relevantes:
• CEH se encuentra formalmente integrado a los requerimientos de certificación para el personal del Departamento de Defensa.
• CEH es requerido para los siguientes puestos dentro de CND: Analistas, Apoyo a Infraestructura, Respuesta a Incidentes y Auditores, según la norma 8570.
• La norma actualizada 8570 puede encontrarse en: http://www.dtic.mil/whs/directives/corres/pdf/857001m.pdf
• Más información acerca de EC-Council y la norma 8570 en: https://www.eccouncil.org/about_us/dod_8570.aspx

A Strong Security Brasil estará no IDC Brazil Information Security & Business Continuity Conference 2010 no próximo dia 17/03/2010. Visite-nos

Acesse o convite no link http://www.idclatin.com/email_mkt/bra/security10/emkt_bra_10_conf_isbc_1-.html

Assita a palesta que demos no Campus Party sobre Profissão Hacker

Executivos se reúnem no restaurante Cantaloup para discutir necessidade e exigências da norma PCI
No último dia 25 de novembro de 2009 no Restaurante Cantaloup em São Paulo, executivos de várias empresas como Itaú, BM&F Bovespa, D’avó, Lyra, GetNet, VisaNet, Banco Nossa Caixa, Drogaria Onofre, Banco Rendimento e Thomas Greg, estiveram presentes para discutir necessidade e tendências das exigências das bandeiras VISA e MasterCard sobre as a norma PCI. O evento foi patrocinado pela IBM e Strong Security Brasil - SSBr que fizeram apresentação sobre o cenário atual das exigências do PCI e as vantagens e desvantagens em estar aderente a norma. O Sr Dario Caraponale diretor da SSBr fez a abertura do evento apresentando as novidades da empresa como provedores de soluções de segurança da informação e as novas parcerias com a IBM e empresas que proporcionam formação de profissionais como o curso preparatório para certificação CISSP. Em seguida o Sr. Ed Wilson Menezes da IBM fez uma breve apresentação sobre o cenário atual e das vantagens que hoje as empresas podem obter em conseguir certificação PCI com o que diz respeito a uma possível taxa de desconto nas operações, já que passam a inserir menos riscos as bandeiras, gerando vantagens competitivas ou mesmo margens de lucro para elas. Durante a apresentação do Ed iniciou-se um debate com as empresas presentes onde ficou claro que estas vantagens ainda não estão sendo oferecida ou pelo menos percebida pelas empresas. Em seguida o Sr Henrique Takaki representando a ABECS – Associação Brasileira das empresas de Cartões de Credito, em sua apresentação informou aos presentes que de inicio as bandeiras irão exigir com que as empresas atendam a norma PCI, e que com o decorrer do tempo ele acredita que iniciarão as vantagens para as empresas que estiverem atendendo a norma PCI, já que serão elas as responsáveis por reduzirem os riscos sistêmicos e ajudando na redução das fraudes. O evento seguiu com um jantar e muita descontração e debates sobre as questões levantadas e debatidas durante as apresentações.
O evento encerou as 00h30min, isto porque no dia seguinte era dia de “branco” e todos tinham compromisso, caso contrario o papo iria seguir madrugada adentro tamanha foi a descontração, interação e interesse dos presentes.
Após o evento ficou o compromisso da Strong Security Brasil e IBM de proporcionar continuidade do debate que se iniciou neste encontro.

Forrester recomenda criação de sistemas de proteção que sejam integráveis às demais soluções da companhia. Gestor de TI deve ter em mente que iniciativa precisa ser flexível e aplicável no longo prazo
Por Randy Heffner, da Forrester Research
21 de agosto de 2009 - 08h23

Segurança – ou a falta dela – não é motivo para manter-se fora da tendência de adoção da arquitetura orientada a serviços (SOA). Mesmo que a maturidade de proteção de dados no modelo ainda não tenha chegado, 30% das empresas do mundo já utilizam o padrão para integrar informações de clientes e parceiros.

Para alcançar patamares seguros e estáveis de utilização de SOA é preciso avaliar atentamente os ambientes que serão contemplados com soluções de segurança para que os investimentos feitos não se tornem obsoletos em pouco tempo.

Antes de buscar fornecedores ou desenvolver softwares de proteção, os líderes de TI precisam estabelecer um projeto de design para a segurança de tal arquitetura. Esse plano deve contemplar os ambientes que serão protegidos, as especificações dos produtos já utilizados na infraestrutura da companhia (para que as novas soluções possam ser integradas a tais ferramentas) e as previsões para a área de segurança e tecnologia da empresa nos próximos anos.

A criação de uma rede particular (VPN, da sigla virtual private network, em inglês) para suportar as solicitações e respostas das aplicações em SOA é uma opção simples e eficiente de garantir a proteção dos dados – quando acessados internamente. No caso de serem consultados externamente, é necessário que haja dois níveis de gerenciamento de identidade.

Na primeira etapa, é exigido um certificado digital específico para aquele que tentar acessar a VPN – assim somente aqueles com a certificação poderão ter contato com os dados corporativos.

O segundo nível contempla situações nas quais dois ou mais usuários comunicam-se e utilizam (por meio de anexos, por exemplo) as aplicações em SOA. Nesses casos é preciso que os usuários consigam autenticar-se um ao outro antes de enviar informações corporativas valiosas por meio da combinação de senhas e códigos.

A consultoria Forrester Research recomenda a criação de sistemas de proteção que não requeiram configurações e códigos muito específicos - o que dificultaria a integração com as demais soluções da companhia. Os gestores responsáveis pelas políticas de segurança para SOA devem ter em mente que o projeto precisa ser flexível e aplicável também no longo prazo.

Encontrar a combinação ideal de padrões de fornecimento, produtos e plataformas de proteção de informações não é fácil e demanda pensamento estratégico. Seguem algumas dicas de como começar essa tarefa:

1. Identifique suas necessidades de segurança e as normas regulatórias as quais deve cumprir. Assim, comece a listar quais são os aspectos indispensáveis do projeto. Esse conjunto de pré-requisitos funcionará como a base da política de proteção em SOA;

2. Depois de definidas as principais demandas de segurança, começa a fase de identificar produtos e fornecedores que supram essas necessidades. Nessa etapa é necessário que o responsável pelo projeto priorize a aquisição de ferramentas que possam ser integradas às demais do parque de TI da companhia;

3. Esteja certo de que todos os produtos poderão trabalhar juntos e tome os cuidados necessários para que fornecedores realizem a implementação das soluções de forma correta.

Veja apresentação do IBM Tivoli Identity Manager.

Esta reportagem vem comprovar uma teoria de que quando funcionários estão passando por problemas financeiros ou de saúde na família estão mais vulneraveis a praticarem fraudes.

Existem empresas que criam mecanismos para identificar funcionários com estes tipos de problema, gerando linhas de emprestimos para estes funcionários permitindo com que se identifique os maiores problemas e tente-se minimiza-los.

O problemas com esta crise é que todos estão com medo de perder o emprego e naturalmente começam a colher o máximo de informação possivel para garantir suas biblioteca de informação profissional como: contatos, documentos desenvolvidos, planejamentos enfim, tudo aquilo que ele já produziu na empresa e que poderá ser útil para ele em um novo possivel emprego ou período de desemprego.

===================================
Desempregados ou subempregados, pessoal de TI pode partir para o submundo criminoso em busca de mais dinheiro, diz consultoria.
25 Mar 2009| FONTE - IDG Now

Pesquisa feita pela KPMG aponta que as empresas estão cada vez mais preocupadas com a possibilidade de funcionários roubarem dados corporativos ou vender informações sigilosas para terceiros por conta da crise econômica mundial. A consultoria ouviu 307 organizações do mundo inteiro.

Para 66% dos entrevistados, funcionários de tecnologia desempregados sentiriam grande tentação em realizar crimes digitais, motivados pela perda do emprego, por menores bônus financeiros e participações nos lucros. A pesquisa, chamada “E-crime 2009”, foi apresentada durante congresso em Londres, Inglaterra.

A KPMG identificou que triplicaram as fraudes cometidas por gerentes, funcionários e clientes em 2008 ante 2007, o que indica que a recessão vai reforçar esta tendência.

Pouco menos da metade dos entrevistados que cuidam de infraestrutura, 45%, reportou um aumento no número de ataques contra os sistemas corporativos, enquanto 51% deles ressaltaram que a sofisticação destes crimes está cada vez maior.

Já 68% dos profissionais entrevistados aponta que os cavalos de tróia são as piores causaram os maiores danos e preocupam, seguidos pelos rootkits, spyware, worms, viruses, código malicioso para computadores móveis ou celulares e, por fim, adware.

A pesquisa alertou que os funcionários tradicionalmente têm acesso facilitado aos sistemas corporativos e conhecem as suas fraquezas. As companhias precisam criar regras rígidas para desabilitar os funcionários quando eles deixarem a organização, indica a pesquisa.

Malcolm Marshall, sócio da KPMG em governança de tecnologia, aponta que o surgimento de malware como o Conficker, que foi atualizado remotamente para driblar as ferramentas de segurança, e a queda da eficácia de antivírus apontam para uma modificação profunda na segurança das empresas.

A comunidade de segurança pode enfrentar “uma alteração radical na maneira em que fazemos e-business,” disse Marshall. Segundo ele, isto é parcialmente culpa dos profissionais de TI que não atualizam seus sistemas, a melhor habilidade dos criminosos digitais e falta de conhecimento de segurança dos consumidores.

Neste artigo a IDC faz uma analise muito importante que pode ajudar as empresas que ainda estão com duvidas em adotar o modelo SaaS para a solução de NF-e.

No caso da NF-e a adoção da aquisição da solução no modelo SaaS já está bastante justificada pelo fato das empresas já terem apontado em seus custos o valor da aquisição das notas em formulário continuo, que varia de empresa para empresa, mas que pode chegar em mais de R$ 1,00 por nota em alguns casos.

O cálculo do retorno sobre o investimento neste caso fica bastante facilitado já que os custos de aquisição de uma solução de NF-e tem como base um valor de implementação mais um valor fixo por nota fiscal emitida.

Consulte a Strong Security Brasil para saber como calcular o ROI do projeto de NF-e.

Segue abaixo copia da materia publicada pela COMPUTERWORLD

======================

A consultoria, até o final deste ano, 73% das empresas americanas estarão usando ao menos um software entregue no modelo de serviço.
Redação do COMPUTERWORLD
publicado em 03/02/2009
Recente pesquisa realizada pelo IDC mostra que a crise econômica mundial vai, de fato, acelerar as vendas no modelo de software como serviço (SaaS). Segundo a consultoria, o fato vai ocorrer na medida em que os fornecedores forem lançando alternativas de tamanho certo e baixo investimento.
Os consumidores vão optar por formas de contratação de serviços simples que consideram o uso atual, não a capacidade futura, dos sistemas. Ao mesmo tempo, fornecedores e seus parceiros devem procurar novos produtos e fontes de receita recorrentes. Por conta disso, a IDC elevou a previsão de crescimento do mercado de SaaS em 2009 de 36% para 40,5%, na comparação com o ano passado.
Segundo Robert Mahowald, diretor de pesquisas da consultoria, com a abrangente desaceleração de vários setores no mercado de tecnologia, as empresas estão cada vez mais cautelosas em relação a investimentos de curto prazo, seja por questões de estabilidade, crescimento, ou redução de custos.
A pesquisa ainda aponta que, até o final deste ano, 76% das organizações norte-americanas estarão usando ao menos uma aplicação entregue no modelo de software como serviço. O porcentual de empresas americanas que planeja gastar ao menos 25% de seus orçamentos de tecnologia com SaaS deve passar de 23%, em 2008, para 45% em 2009.
Mesmo considerando que a demanda pelo modelo deve ser maior nos Estados Unidos, a IDC prevê novos contratos sendo registrados também na Europa, Oriente Médio, África e na Ásia, excluindo o Japão. Até o final de 2009, cerca de 35% da receita mundial desse mercado virá de fora dos Estados Unidos.
A má notícia é que a consultoria encontrou alguns problemas entre os fornecedores de SaaS, como fluxo de caixa apertado, desafios de liquides e recursos limitados para expandir a infraestrutura para dar suporte a novos clientes e serviços.

http://www.channelworld.com.br/mercado/2009/02/03/idc-aumenta-previsao-de-crescimento-do-mercado-de-software-como-servico/