A Segurança da Informação

A Segurança da Informação é quem protege o bem de maior valor das empresas a Informação, vejamos a seguir as propriedades da segurança da informação.

A Intel revela: “O descuido nessa área pode causar prejuízos significativos, e muitas vezes irreversíveis. Mas felizmente a maior parte das empresas está consciente do perigo e estamos vivendo um momento em que praticamente todas elas mantêm alguma política de segurança”. Sem as precauções adequadas a empresa pode perder muito mais do que o investimento na área.

Propriedades da segurança da informação

Confidencialidade ou privacidade: limita o acesso ao conteúdo desejado de maneira que só os usuários permitidos tenham acesso.

Integridade: garante que a informação mantenha todas suas características originais desde a origem do documento até o final do mesmo (término do ciclo de vida).

Disponibilidade: garante que a informação possa estar sempre disponível para ser visualizada em qualquer momento do ciclo de vida.

Com o avanço das tecnologias e ampliando este leque de segurança estão:

Consistência: garante que o conteúdo do arquivo esteja realmente na base de dados, garante a sua existência.

Isolamento ou uso legítimo:
certifica que o conteúdo desejado está isolado de alterações, que é exatamente como o criador do documento o fez.

Informação como um ativo
Ativo é todo conteúdo ou dado que agregue valor a algo ou alguém, seja ele digitalizado ou materializado é o bem de maior valor das empresas. Estas informações são chamadas de “ativos”.

Através de um levantamento dos ativos da empresa é realizado a avaliação do grau de risco e vulnerabilidade de cada ativo. Com este levantamento que se alinha os projetos e planejamento da empresa para aquisição de ferramentas capazes de deter tais riscos e vulnerabilidades.
Vulnerabilidades
As vulnerabilidades são brechas nos sistemas desatualizados ou mal desenvolvidos, que usuários mal-intencionados utilizam para acessar os conteúdos.

Tipos de vulnerabilidades


Vulnerabilidade física: meio onde se localiza a construção da infra-estrutura da TI (prédio, sobrado, galpão), sala cofre ou sala subterrânea. São de extrema importância e deve sim ser levada em conta, principalmente a redundância destes de preferência em locais geograficamente distantes para prevenção de acidentes naturais.

Vulnerabilidade natural:
tufão, furacão, raio, trovão, tsunami, terremoto não são acontecimentos que geram tantos problemas no Brasil, mas em alguns países é de extrema importância se investir em prevenções contra tais vulnerabilidades naturais.


Vulnerabilidade de hardware e software: problema no desenvolvimento dos softwares, incompatibilidade de hardware com software, software mal instalado, software mal configurado são as causas de grande parte das vulnerabilidades de hardware e software. É muito importante que a empresa invista em tecnologias para acompanhar o mercado, mas não adianta ter as melhores ferramentas se não configurá-las da maneira adequada.

Mídias tão pequenas e fáceis de carregar nos bolsos precisam de uma atenção redobrada para que as informações da empresa não estejam sendo roubadas. Rastrear e restringir acesso a áreas com gravadores de CD/DVD e gravar menos dados em tais mídias é uma das várias medidas que as empresas podem adotar.

Vulnerabilidade de comunicação: switches e pontos de rede cabeado, sem fio e portas de máquinas ao dispor de qualquer um que se interessar a entrar na rede são vulnerabilidades de comunicação que devem ser bastante analisadas e asseguradas. As empresas têm que ter controle de todas as máquinas que estão em sua rede, caso contrário qualquer um com um notebook e simples conhecimento em internet irá invadir a rede, e roubar informações que por ela passam. Sites com programas de hackers e dicas de como invadir um servidor são populares e de fácil acesso a qualquer um que se dispor a realizar tal façanha.

Vulnerabilidade humana:
imaginem um prédio com sala cofre, com dois seguranças por metro quadrado e de repente, toca a sirene do café e todos saem do posto. A mais criticada e de maior incidência nos fatos de brechas em segurança vêm das falhas humanas, que estão sempre propensas a falhas e não são nada lógicas. Manter um backup de pessoas, acesso restrito às informações e qualificação adequada aos profissionais que atuam diretamente com ela. É de suma importância para a empresa manter seus dados em sigilo.


A SANS Institute ("The most trusted source for computer security training, certification and research.") revela o top 20 de vulnerabilidades através do link http://www.sans.org/top20/ e da as dicas de segurança para se proteger contra tais vulnerabilidades.
Programas maliciosos


Atualmente qualquer individuo com a vontade de aprender a invadir a máquina do amigo ou até mesmo fazer com que o mesmo perca todos seus arquivos pode estar procurando maneiras de fazê-lo pelos muitos sites de pesquisas e sites hackers do mundo. Vejamos aqui algumas das principais ameaças à segurança da informação através do video do NIC.br muito bem feito e super explicativo.












Certificação digital


No video abaixo o ITI - Instituto Nacional de Tecnologia da Informação explica sobre a Certificação Digital e Assinatura Digital no Brasil.











Alexandre Atheniense fala sobre a certificação digital no Brasil para advogados em entrevista no OAB Nacional.









Fonte: Fonte: http://infrati.blogs.sapo.pt

Tamanho Da Fonte Executivo do Banrisul detalha projeto de cartão múltiplo


Cartão vem com soluções de crédito e débito e certificação digital para acesso ao internet banking

O segmento bancário começa a se render ao uso de cartão múltiplo para as aplicações de crédito, débito e certificação digital. E isto é um case de sucesso. Desde o advento da automação bancária, o setor vem utilizando o cartão com tarja magnética na autenticação do cliente, durante o acesso aos produtos e serviços oferecidos. Este modelo ficou como um símbolo do banco e do cidadão bancarizado.

No entanto, com a difusão da tecnologia, esse eficiente mecanismo de autenticação passou a ser objeto de ataques do crime organizado. Sua tecnologia simples e de fácil acesso possibilita a clonagem e o seu uso indevido, fazendo com que o cartão com tarja magnética passasse de ícone tecnológico para ícone de fraudes.

Isso exigiu do sistema bancário uma ação rápida para estancar prejuízos e garantir a confiabilidade de seus sistemas informatizados, levando ao atual cartão com chip. A tecnologia teve início discreto na década de 1980 e um avanço exponencial no início deste século.

O antigo cartão - já conhecido como dinheiro de plástico - recebe um circuito integrado de última geração e uma aplicação embarcada baseada em um padrão mundial chamado EMV, sigla de um consórcio montado pelas principais bandeiras mundiais para transações de crédito e débito. Este conjunto possui a capacidade de autenticar de forma segura o seu portador, tanto na rede bancária como de crédito e débito em geral.

Enquanto o modelo com chip estava se consolidando no Brasil e no mundo, outros dois fortes movimentos vinham ganhando força no mesmo período: os serviços bancários pela internet e o uso de certificados digitais para autenticar pessoas e assinar documentos eletrônicos (PKI).

Na rede mundial

O histórico de uso de internet banking é quase de conhecimento geral, mas o movimento brasileiro para padronização da certificação digital, liderado pelo ITI sob a bandeira ICP-Brasil, passou despercebido a muitos. O uso de certificados digitais pelo cidadão em geral para acessar serviços de e-gov, como os oferecido pela Secretaria da Receita Federal (SRF), impulsionou a disseminação desta tecnologia. Associado a isto, o certificado digital se mostra uma solução segura e confiável para a autenticação do cliente no banco pela web, o que levou o sistema bancário de observador a player neste negócio.

Com o estabelecimento de todos esses elementos na mesa do jogo, coube uma nova discussão: o cliente bancário teria dois cartões - um para o crédito e débito (padrão EMV) e outros para acesso ao internet banking, assinatura de documentos eletrônicos e acesso a serviços de e-gov (padrão PKI)? Do ponto de vista tecnológico, a indústria em geral oferecia duas opções: uma tecnologia mais simples que abrigava aplicações distintas em cartões distintos ou uma solução mais sofisticada que, em um mesmo cartão, oferecia a possibilidade de integrar tanto a aplicação PKI como a EMV.

Antes mesmo desta discussão iniciar, o Banrisul identificou a necessidade de pesquisar o assunto e desenvolver um projeto que atendesse às necessidades do banco frente ao avanço constante da tecnologia. Uma peculiaridade frente aos demais bancos brasileiros é que possuímos uma rede própria de débito - o Banricompras -, enquanto os demais estão atrelados às redes das bandeiras de crédito.

Essa peculiaridade, agregada a uma inclinação para a vanguarda tecnológica, fez com que o banco começasse um projeto há alguns anos para utilização de um cartão único com as soluções de crédito e débito (EMV) e certificação digital (PKI), com acesso ao internet banking.

O Cartão Múltiplo Banrisul exigiu anos de pesquisa e desenvolvimento, pois envolveu a construção de uma aplicação EMV e PKI para o cartão, além da migração da rede de atendimento para aceitar a tecnologia com chip, a adequação do autorizador bancário para transações EMV, do sistema de personalização para emissão de cartões e o desenvolvimento de aplicações de baixo nível para integração da aplicação PKI com os sistemas operacionais, browser e gerenciadores de caixa postal de mercado.

Após anos de discussão sobre o tema "cartão múltiplo", o sistema bancário brasileiro está dando os primeiros sinais de definição. Isso é observado pelos anúncios feitos neste ano pelos dois principais bancos estatais: emissão de cartões que oferecerão ao cliente a aplicação EMV e PKI.

Essa decisão é mais do que apenas uma opção tecnológica, pois ela representa maior economia na emissão do cartão e maior facilidade ao cliente, que, com um único plástico, poderá ter atendidas as suas necessidades de acesso e autenticação em diversos canais.

Olhando lá para meados do ano 2000, quando se começou a discutir esta tecnologia e levar o assunto para as rodas nacionais, vemos realmente um grande avanço.

O esforço realizado no projeto Banrisul e a incansável defesa desta solução em nível nacional, já nos renderam reconhecimento por diversas entidades internacionais, além da satisfação de observar que a solução adotada está hoje alinhada com os principais avanços que a tecnologia tem sofrido nos últimos anos.

*Jorge F. Krug é superintende da unidade de segurança de TI do Banrisul e presidente da Autoridade Certificadora do Estado do Rio Grande do Sul. Ele é graduado em análise de sistemas pela PUC-RS, pós-graduado em engenharia de software da UFRGS e tem especialização em informática aplicada pela White Plains (Nova York, EUA). O executivo escreveu com exclusividade para InformationWeek Brasil.

Fonte: http://www.itweb.com.br

“SETEC apresenta tendências da carreira do profissional de TI e Segurança da Informação”.

Pessoal, estou reproduzindo o Informativo de Segurança da Informação EPSEC. Caso voce queira receber os próximos informativos, por favor, envie um e-mail para info@epsec.com.br. Obrigado! Denny Roger. Clique na imagem para ver o tamanho real.

Este é o informativo de Segurança da Informação EPSEC para profissionais de TI que traz notícias, orientações, atualizações e recursos associados à segurança da informação diretamente para você.

Destaque

“SETEC apresenta tendências da carreira do profissional de TI e Segurança da Informação”.

O congresso acontecerá entre os dias 03 e 06 de dezembro reunindo especialistas da área de TI, além de mini cursos e torneio de videojogos.
http://www.setec-angola.org/

A primeira edição da Semana das Tecnologias e Conteúdos Digitais (SETEC 09), evento organizado pela Revista Truta (principal fonte de notícias sobre tecnologia e informações para profissionais de TI em Angola), está com as inscrições abertas para debater o desenvolvimento tecnológico em Angola e as tendências da carreira do profissional de TI e Segurança da Informação. Palestrantes especialmente convidados para este evento estarão no local para discutir o assunto e compartilhar experiências profissionais.

O evento conta com a presença de Denny Roger, sócio fundador da EPSEC e diretor da Associação Brasileira de Segurança da Informação, que apresentará as principais técnicas de ataques utilizadas pelo Cybercrime e o perfil do novo profissional de TI e Segurança da Informação. Os participantes irão conhecer o dia-a-dia do profissional da área de segurança da informação e o novos desafios da carreira. A apresentação também irá demonstrar de que modo implementar o Sistema de Gestão da Segurança da Informação (ISO 27001) em conjunto com o Gerenciamento de Serviços de TI.

Para participar os interessados devem fazer as inscrições no site http://www.setec-angola.org/. As inscrições são gratuitas e as vagas são limitadas.

O ciclo de palestras está marcado para o dia 04 de dezembro, das 8h às 13h, no auditório da AAA em Luanda.

Até lá!
Equipe EPSEC
info@epsec.com.br
www.epsec.com.br

Contra ameaças virtuais

Segundo a AVG, desenvolvedora do popular software gratuito para segurança de internet, a segurança na web depende principalmente do usuário final. Segundo uma pesquisa realizada pela fabricante, 50 a 70% dos problemas cibernéticos poderiam ser resolvidos se crianças, pais, supervisores, trabalhadores e executivos seguissem algumas práticas fáceis de proteção.

São elas: reconhecer e-mails perigosos, sites e anexos, deletando-os; instalar e manter atualizados programas de segurança como firewalls anti-malware, anti-spyware, filtros de spam; escolher senhas difíceis e evitar usar mídias desconhecidas ou pen drives.

Para esclarecer o consumidor, a companhia está firmando parcerias com os governos dos Estados Unidos e União Européia.

A ação será desenvolvida por uma equipe de comunicação estratégica liderada por Siobhan MacDermott, que foi promovida ao cargo de vice-presidente sênior de Política e Relações com Investidores e conta com o apoio de Beth Jordan, VP de Relações Governamentais do governo dos EUA e Tom Ridge, secretário de Segurança Interna. A companhia está participando ativamente de várias iniciativas relativas à segurança cibernética.

Fonte: http://www.b2bmagazine.com.br



Os cinco erros mais cometidos pelos profissionais de segurança

Veja quais são os tipos de problemas que acontecem no dia a dia das empresas e que podem ser evitados.

Casos envolvendo o vazamento de informações ou problemas de segurança em empresas como o eBay, que teve as contas de usuários expostas, e da Telefônica, cujo sistema foi invadido por um jovem cracker, despertam novamente para a importância da proteção de dados dos negócios da companhia.

Embora seja questão crucial para os profissionais de tecnologia, muitos ainda cometem erros básicos que podem comprometer a política de segurança das companhias. Confira abaixo cinco dos mais comuns, segundo reoprtagem da Computerworld:

Senhas de fábrica

Muitas empresas mantêm senhas-padrão em diversos equipamentos de rede. Mais da metade das ocorrências de roubo de dados em 2008 foram decorrentes de ataques que tiraram proveito de senhas deste tipo.

Compartilhamento de senhas entre diferentes equipamentos de rede

Para facilitar a administração de senhas, muitos departamentos de TI costumam utilizar a mesma senha para diversos - se não todos - equipamentos de rede. Por mais complexa que ela seja, basta ao hacker descobrir uma delas para dominar todo o sistema.

Subestimação da capacidade das pragas virtuais

Pragas online instaladas em servidores são responsáveis por cerca de 38% de todas as brechas de segurança. A maioria delas é instalada por ataques remotos e utilizada para sequestrar dados.

Falta de conhecimento sobre onde dados críticos estão armazenados

A maioria das empresas acredita saber a localização dos dados críticos, como cartões de créditos, CPFs e outras informações pessoais de clientes, adotando nesses servidores os níveis de segurança mais altos. No entanto, esses mesmos dados podem estar em um arquivo de backup, em outro departamento da empresa.

Falhas ao configurar roteadores para proibir tráfego externo

Uma das formas populares de malware envolve a instalação de um backdoor ou command shell em um servidor. Uma das formas de evitar que o hacker tire vantagem de uma aplicação como essa é usar a lista de controle de acesso. O administrador pode prevenir os servidores de enviarem tráfego que não deveria ser enviado.

Fonte: http://www.computerworld.com.br Por Fernanda Ângelo, especial para a Computerworld.

Copyright 2009 Now!Digital Business Ltda. Todos os direitos reservados.

Perfil de Carreira de TI: Segurança da Informação

Hoje em dia, temos ouvido falar muito sobre o crescimento na demanda de profissionais especializados em segurança da informação, o que tem provocado aparecimento de cursos regulares específicos e especializações em produtos voltados para esse segmento da Tecnologia. O profissional de segurança da informação assume uma posição estratégica dentro da organização, tendo que interagir constantemente com a alta cúpula, dado a importância da segurança da informação nos dias de Hoje. Não basta ter a melhor ferramenta que provê o melhor serviço de proxy, firewall, etc, se a empresa não tem o profissional certo para a função. Mas o que seria o profissional certo? Daremos aqui algumas das principaisqualidades que de devem compor esse profissional:


Características Pessoais:

  • Postura e ética profissional;

  • Versatilidade;

  • Liderança;

  • Dinamismo;

  • Bom Relacionamento Interpessoal;

  • Conhecimentos Técnicos;

  • Redes e Protocolos;

  • Tecnicas de criptografias;

  • Dominar os sistemas operacionais mais utilizados (Windows, Linux, entre outros);

  • Ingles fluente;

  • Vasto conhecimento de técnicas de ataques;

  • Implementacao de Politicas de Segurança;
Além disso o profissional de tecnologia da informação tem que se atualizar constantemente através de seminários, livros (inclusive em Inglês), treinamentos e principalmente não ter medo de aprender novas tecnologias… enfim, ser auto-didata, e cuidados com aquelas pessoas que simplesmente dizem que tal tecnologia é um “lixo”, respeite muito, nunca subestime, pois através desses “lixos” é provável que sua empresa seja invadida, e seus dados comprometidos.

Certificações em Segurança da Informação:



  • Informações sobre Certificação em Segurança na Módulo

  • Informações sobre Certificação em Segurança na Microsoft

  • Informações sobre Certificação em Segurança na CISCO

  • Informações sobre Certificação em Segurança na CheckPoint

  • Informações sobre Pós Graduação em Segurança no Senac (FATEC Senac Florianópolis)
Por isso, uma das principais características do analista de segurança é estar sempre atualizado com novas ferramentas, ser autodidata, freqüentar cursos, fóruns de discussão e grupos de laboratórios mundiais. É uma carreira muito promissora em termos financeiros e profissionais, porém veja se você se identifica com as qualificações e exigências apresentadas acima, caso positivo, vá em frente e boa sorte!

Fonte: http://carreiradeti.com.br/

Uso indevido da web no escritório: conheça os sete pecados capitais!


Como já discutimos anteriormente, o uso indevido da internet por funcionários custa caro para as empresas. Estudo elaborado pelo site norte-americano Salary.com, constatou que, nos EUA, a perda com o uso ineficiente da internet por funcionários chega a US$ 759 bilhões por ano!

Mas, os problemas não terminam por aí. Levantamento feito pela consultoria Sophos constatou que 79% dos profissionais responsáveis pelos sistemas de informações das empresas acreditam que o uso irresponsável da internet pelos funcionários coloca as empresas em risco.

Além das perdas, responsabilidade!
O levantamento constatou que, apesar das instruções dadas pelos profissionais da área ao resto da equipe de funcionários, os casos de abertura de e-mails indevidos e anexos desconhecidos continuam crescendo.

Além de colocar em risco a empresa, o uso incorreto da web pode acabar levando a empresa a ser responsabilizada por práticas indevidas dos seus funcionários. Assim, por exemplo, um funcionário que, durante a sua permanência no escritório, acessar sites proibidos, ou enviar e-mails ilegais, pode acabar comprometendo a empresa. Isso porque é a ela que pertence o IP (internet protocol) usado.

Confira os 7 pecados capitais
Para ajudar as empresas a combater esse problema, o estudo da Sophos identificou os sete pecados capitais no que se refere ao uso indevido da web no escritório, são eles:
Abrir documentos anexados;
Clicar em mensagens não solicitadas;
Abrir programas com brincadeiras enviados por amigos fora do escritório;
Visitar sites pornôs ou de conteúdo ilícito;
Instalar programas não autorizados ou complementos do navegador web;
Enviar informações pessoais a desconhecidos por e-mail;
Uso e compartilhamento da mesma senha em várias páginas da web.
Conduzido no Reino Unido, o estudo da Sophos constatou que, apesar de informados dos riscos de suas ações, os funcionários defendem que os profissionais responsáveis pelo uso indevido da web sejam oficialmente informados dos riscos a que estão expondo as empresas. Caso haja reincidência da prática, aí sim eles defendem a demissão do profissional. Porém, para 10% dos entrevistados, já existe informação suficiente sobre o tema, de forma que os profissionais envolvidos devem ser demitidos imediatamente.

Fonte: http://www.administradores.com.br

Mal Uso da Internet


A SMART UNION desenvolve produtos que permitem ao administrador identificar e anular abusos no uso da tecnologia. Veja os principais abusos feitos no uso dos recursos das Empresas.
Mal Uso da Internet
Em média um terço do tempo gasto online na Internet nada tem a ver com trabalho.
O uso indevido da Internet no horário de Trabalho custa às corporações americanas mais de US$85 Bilhões anuais em perda de Produtividade.
80% das companhias entrevistadas informaram que os funcionários haviam abusados dos privilégios de acesso de seu computador à Internet para download de pornografia ou software pirata.
Invasão com Ajuda do Funcionário
75% das empresas citam os empregados como a principal causa das invasões (Voluntário /Involuntário).
45% dos negócios informaram acessos não autorizados feitos de dentro da própria empresa.
Mensagens Instantaneas
Próximo de 80% do uso de Mensagens Instantâneas é feito através de Serviços Grátis como o AOL, MSN e Yahoo, expondo empresas a sérios riscos de segurança. Os hackers se aproveitam das falhas para uma invasão.
Existem mais de 43 milhões de usuários utilizando MSN no horário de trabalho. Para os fins da empresa ou para fins pessoais.
Apenas um quarto das companhias tem uma política clara para o uso do MSN no trabalho.
Compartilhamento de Arquivos (P2P) via Kazaa ou Emule
45% dos arquivos executáveis baixados através do KAZAA contém códigos maliciosos ou vírus.
73% de todos as pesquisas sobre filmes em redes de compartilhamento de arquivos foram voltadas para a pornografia.
Uma empresa pode ser multada em até 2.000 (duas mil) vezes o valor de cada software pirata encontrado em sua rede corporativa.
Sites Adultos/Pornografia
70 % de arquivos pornôs são baixados (download) entre 9:00 e 17:00. Ou seja durante o expediente normal de trabalho.
37 % dos usuários de Internet visitou um Site pornô na Web.
Spyware/Hijackers (Espionam o usuário de computador)
1 em cada 3 empresas detectou algum “Spywares” em suas redes.
Existem mais de 7,000 programas “spywares”. Eles são enviados por hacker interessado em obter senhas de acessos a contas bancárias, por exemplo.
Música Eletronica
77% dos acessos às Rádios Online (UOL, TERRA) são feitos entre 5:00 e 17:00.
44% dos empregados usam ativamente Música On-Line.
Vírus de Computador/ Códigos Maliciosos dos Sites
Apesar de 99% das empresas usarem software antivirus, 82% delas foram atacadas por vírus e “worms”.
Na maioria dos ataques com códigos maliciosos, usualmente eram para roubar dados confidenciais, crescendo em torno de 50 por cento no ultimo ano.
_________________________________________________________________

Calcule seu prejuízo com o mau uso da Tecnologia

Administrador, faça um cálculo clássico de seus prejuízos mensais:

    • A)Média salarial de seus funcionários (total folha de pagamento/número de pessoas)
    • B)Total de Funcionários que usam um computador
    • C)Número de funcionários diariamente usando o MSN
    • D)Número de mensagens diárias não ligadas ao negócio (SPAM ou pessoal)
    • E)Backup dos dados vitais da empresa em dias por mês
Exemplo:
    • A)R$800,00
    • B)10 funcionários
    • C)5 funcionários
    • D)15 mensagens diárias (SPAM ou pessoal)
    • E)4 Backups semanais
Cálculo I - Perda de produtividade por uso de MSN
Supondo não haver uma política clara do uso do MSN, nossas estimativas levam a crer que no mínimo 15% do tempo é usado para fins não ligados ao negócio. Portanto:
  • Tempo perdido 22 dias úteis=5 func.X8horasX15%X22dias=132 horas
  • Valor perdido (I)=132 horasXR$800/22dias/8hs = R$600,00 (quase o salário médio de um funcionário)
  • Valor perdido (II) = 132 horas X Faturamento_hora = ???
Cálculo II - Perda de produtividade por Email (SPAM/Pessoal)
  • Tempo perdido 22 dias úteis=10 func.X15X10segX22 dias = 9,2 horas
  • Valor perdido (I) = 9,2 horas x R$800/22dias/8hs = R$42,00
  • Valor perdido (II) = 9,2 horas x Faturamento_hora = ???
  • Valor perdido (III)= Tempo de parada de computadores por vírus = ???
Cálculo III - Perda do Trabalho Semanal devido à perda total dos dados
Supondo que a rotina de backup seja semanal, na eventualidade da perda de arquivos importantes devido à falha humana, falha dos Servidores ou um ataque virótico teriamos o seguinte cálculo (há casos piores):
  • Tempo perdido 5 dias úteis=10 func.X 8 horas X 5 dias = 400 horas
  • Valor perdido (I) = 400 horas x R$800/22dias/8hs = R$1.818,00
Parecer Sobre Produtividade:
A Produtividade é obtida quando toda a atenção de seu funcionário é direcionada para o benefício da empresa.
No exemplo acima, temos 142 horas perdidas que poderiam ser usadas para Prospecção de novos clientes, desenvolvimento de novos produtos ou apenas para a execução das tarefas do dia-a-dia. E no caso mais grave, temos 400 horas de prejuízo.
É óbvio que o pessoal precisa ouvir uma música ou trocar um email e/ou teclar no chat(bate papo) com algum amigo.
Entretanto quando isto causa uma baixa velocidade na Internet, ou quando uma proposta deixa de ser enviada, isto é um prejuízo para seu negócio.
Hoje em dia, com uma política clara de uso dos recursos aliada a alguns softwares, os administradores realmente conseguem diminuir suas perdas.

Fonte: http://www.smartunion.com.br

Recomendamos também ler este ótimo artigo da Ferras Sampaio Advogacia.


Documentário: InProprietário – O Mundo do Software Livre (Download)



“Inproprietário - O mundo do software livre” é um projeto experimental, trabalho de conclusão do curso de Comunicação Social com habilitação em Jornalismo dos ex-alunos Jota Rodrigo (Johnata Rodrigo de Souza) e Daniel Pereira Bianchi do Centro Universitário FIEO - UNIFIEO.

Softwares possuem donos. Para obtê-los, é necessário, na maioria das vezes, adquirir licenças de uso. O código-fonte, a receita do software, não é disponibilizado, o que impossibilita o acesso para consulta ou alteração dos programas. Mas nem sempre foi assim. Fruto do desenvolvimento científico, o software nasceu livre, e passaria a ser mercadoria somente nas décadas de 1970 e 1980, respaldado então pelo Copyright.

A oposição ao software proprietário surgiria no cenário da tecnologia sob idealização do hacker Richard Stallman, para resgatar a liberdade do compartilhamento de softwares e seus códigos-fonte. Era o Projeto GNU, a origem de um movimento do software livre. Com a grande contribuição de Linus Torvalds, nascia o GNU/Linux, o novo sistema operacional livre, e diversos outros softwares, à tentativa de universalizar o acesso compartilhado à tecnologia computacional.

Hoje, o software livre está presente em ONGs, Órgãos Governamentais, Empresas Privadas e em nossas casas.

Elenco:
Roteiro/Pesquisa/Entrevistas/Imagens:
Daniel Pereira Bianchi
Entrevistas:

Aline Freitas
Cristiano de Jesus
Eluetério Fernando da Silva Prado
Jorge Marcelo dos Santos Mendes
Paschoal Neto
Sérgio Amadeu da Silveira
Yros Aguiar
Edição do Vídeo:

Aroni Lolo
Daniel Pereira Bianchi
Fábio Rogério
Jota Rodrigo
Pós-Produção:

Daniel Pereira Bianchi
Jota Rodrigo
Locução:

Leandro Andrade
Música:

“Cat Video” – Blue Man Group
“Freedom” – (Zack de la Rocha) – Rage Against The Machine
“Old Things” – Derek
Orientadores:

Jorge Grinspum
Marco César de Araújo
Orientação de Capa:

Helena Rugai
Coordenadora de Projetos Experimentais:

Paula Veneroso
Coordenadora dos Curos de Comunicação Social:

Helena Rugai
Chefe de Departamento:

Sandra Nunes
Reitor:

Prof. Luiz Carlos de Azevedo
Informações:
Tamanho: 302 MB
Resolução: 720×480
Frame Rate: 29 fps.
Qualidade: DVDRip
Avaliaçao do Áudio: 10
Avaliaçao do Vídeo: 10
Vídeo Codec: DivX
Áudio Codec: Lame MP3
Idioma: Português / Espanhol

Opções Para Download (01 servers)

Conheça a NBR ISO/IEC 27002 – Parte 2

Sobre o autor
Aléxia Lage
Belo Horizonte, MG
Analista da Qualidade e Processos, com experiência nas áreas de Segurança da Informação, Qualidade (ISO 9001) e Qualidade de Software.

A norma NBR ISO/IEC 27002 está organizada em 11 seções que correspondem a controles de segurança da informação. Na primeira parte do artigo Conheça a norma NBR ISO/IEC 27002, foram abordadas as seções 5. Política de Segurança da Informação, 6. Organizando a Segurança da Informação, 7. Gestão de Ativos, 8. Segurança em Recursos Humanos e 9. Segurança Física e do Ambiente. A seguir, serão abordadas as seções restantes (10 a 15).


Seção 10 - Gestão das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.

Para o gerenciamento de serviços terceirizados, deve-se implementar e manter o nível apropriado de segurança da informação e em conformidade com acordos de entrega de serviços terceirizados.

É fundamental planejar e preparar a disponibilidade e os recursos do sistemas para minimizar o risco de falhas, bem como prever a capacidade futura dos sistemas, de forma a reduzir os riscos de sobrecarga. Também deve-se prevenir e detectar a introdução de códigos maliciosos e os usuários devem estar conscientes sobre isso.

Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos.

Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem até mesmo ser necessários para proteger informações confidenciais que trafegam em redes públicas.

As trocas de informações entre organizações devem ser baseadas em uma política formal específica, devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a legislação pertinente.

Deve-se ainda implementar mecanismos de monitoração de atividades não autorizadas de processamento da informação. Os eventos de segurança da informação devem ser registrados, lembrando que as organizações devem estar aderentes aos requisitos legais aplicáveis para suas atividades de registro e monitoramento.

Seção 11 - Controle de Acesso
O acesso à informação, aos recursos de processamento das informações e aos processos de negócios devem ser controlados com base nos requisitos de negócio e na segurança da informação. Portanto, deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo usuário até o cancelamento final do seu registro, garantindo assim que já não possuem mais acesso a sistemas de informação e serviços.

Os usuários sempre devem estar conscientes de suas responsabilidades, particularmente no que se refere ao uso de senhas e de segurança dos equipamentos de usuários. Nesse sentido, sugere-se ainda a adoção da “política de mesa e tela limpa”, para reduzir o risco de acessos não autorizados ou danos a documentos, papéis, mídias e recursos de processamento da informação que estejam ao alcance de qualquer um.

Seção 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
Segundo a norma, “Sistemas de informação incluem sistemas operacionais, infra-estrutura, aplicações de negócios, produtos de prateleira, serviços e aplicações desenvolvidas pelo usuário”. Por essa razão, os requisitos de segurança de sistemas de informação devem ser identificados e acordados antes do seu desenvolvimento e/ou de sua implementação.
As informações devem ser protegidas visando a manutenção de sua confidencialidade, autenticidade ou integridade por meios criptográficos.

Seção 13 - Gestão de Incidentes de Segurança da Informação
Deve-se assegurar que eventos de segurança da informação sejam o mais rápido possível comunicados, de tal forma que a tomada de ação corretiva ocorra em tempo hábil. Para isso, devem ser estabelecidos procedimentos formais de registro e escalonamento, bem como todos os funcionários, fornecedores e terceiros devem estar conscientes sobre os procedimentos para notificação dos diferentes tipos de eventos.

Seção 14 - Gestão da Continuidade do Negócio
Deve-se impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hábil.

Para isso, planos de continuidade do negócio, incluindo controles para identificar e reduzir riscos, devem ser desenvolvidos e implementados, visando assegurar que as operações essenciais sejam rapidamente recuperadas.

Seção 15 – Conformidade
Deve-se garantir e evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

Para isso, é conveniente contratar, caso necessário, consultoria especializada, bem como analisar criticamente a segurança dos sistemas de informação a intervalos regulares, verificando, sobretudo, sua conformidade e aderência a requisitos legais e regulamentares.

Em resumo, nota-se claramente ao longo de toda a norma, que a característica predominante é a prevenção, evitando-se a todo o custo, a adoção de medidas de caráter reativo. Mesmo as que forem reativas, como por exemplo a execução de um plano de continuidade de negócios, são previamente planejadas para que, no momento oportuno e se necessárias, sejam devidamente implementadas.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.

Fonte: http://qualitnews.blogspot.com/

Conheça a NBR ISO/IEC 27002 – Parte 1

Sobre o autor
Aléxia Lage
Belo Horizonte, MG
Analista da Qualidade e Processos, com experiência nas áreas de Segurança da Informação, Qualidade (ISO 9001) e Qualidade de Software.
 

Dando continuidade ao assunto Segurança da Informação, hoje será abordada a norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Mas, o que é Segurança da Informação (SI)? Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização.


É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002.

A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir. A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma).

Seção 5 - Política de Segurança da Informação
Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.

Seção 6 - Organizando a Segurança da Informação
Para implementar a SI em uma organização é necessário que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.

Seção 7 - Gestão de Ativos
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos significa proteger e manter os ativos da organização. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.

Seção 8 - Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações de segurança da informação.

No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam concluídas.

Seção 9 - Segurança Física e do Ambiente
As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados.

Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local.

No próximo artigo, será dada continuidade às demais seções da norma.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.

Fonte: http://qualitnews.blogspot.com/

GAMBIARRA – Base Vertical para Notebook em PVC em 15 minutos gastando apenas R$ 7,00

Base vertical para Notebook

Base vertical para Notebook

É isso ai galera, como vocês puderam notar no titulo deste post a coisa agora vai ficar interessante – ou não -, vou demonstrar a vocês como criar um suporte para o seu notebook, totalmente em PVC, uma criação que não vai demorar nem 15 minutos a ser feita e o melhor, custa menos de R$ 7,00 toda a obra prima. =]
Eu estava passeando por algum site (não me recordo qual, se não me engano foi o Uhull) a um tempo atrás e vi esta “invenção” por lá, achei meio bizarro a primeira vista e não dei muita bola, mas hoje vejo a utilidade deste suporte e também a praticidade, podemos até considera-lo como “portátil”, já que é desmontável.
Resolvi testar o invento e disponibilizar aqui com os detalhes básicos da sua montagem, espero que gostem, e que seja útil a vocês.

Vamos então aos materiais necessários para a montagem do suporte.

1,02 metros de cano de PVC – 20mm
10 curvas de PVC em 90 graus
15 minutos de seu precioso tempo
1 serrinha ou algo que dê para cortar o cano
2 mãos – preferencialmente as suas ;]

Então vamos lá, pegue a serrinha e vamos particionar o cano da seguinte forma

02 pedaços de 19cm
02 pedaços de 15cm
02 pedaços de 10cm
04 pedaços de 3,5cm
Lixe as pontas dos pedaços cortados, pra ficar mais bonitinho

Material Montando 0831

Pronto, agora vem a parte mais simples, que é montar. Acompanhe as fotos abaixo e monte-o como nas imagens.

Parte 01 0828 0829 0830 08251

Confira se todas as peças estão bem apertadas e firmes, se quiser pode ser passado cola para fixar as peças, o que eu não fiz, uma vez que as peças já ficam bem firmes quando bem apertados nas curvas.

Então pessoal é isto ai, uma base vertical para notebooks criada em menos de 15 minutos e com um custo abaixo de R$ 7,00, não é sempre que aparece oportunidades assim, então aproveitem e façam logo o teu. =]
Pode não ser um primor de beleza, mas a utilidade é incontestável, sem contar que é um ótimo passa tempo para todos, eu adorei fazer esta peça, e podem esperar por outras coisas do tipo.

Confiram mais algumas fotos.

0820 0818 08161

0815 0835 0836

0837 0838 0839

Agradeço a todos vocês pelas visitas ao meu blog, pelos comentários e principalmente pelo apoio que venho recebendo. Já ultrapassamos as 51.000 visitas, e que venha as 100.000, quem sabe até final do ano. Me ajudem que teremos mais novidades e uma constante atualização por aqui. Valeu galera.


Fonte: http://informando.wordpress.com

.

Não realizamos upload dos ficheiros, apenas reportamos os links que encontramos na própria Internet. Assim, toda e qualquer responsabilidade não caberá ao administrador deste blog. Este blog não tem como objetivo reproduzir as obras, apenas divulgar o que foi encontrado na Internet. Os filmes aqui informado são de cunho científico assim como as series as quais são produzidas para exibição em TV aberta. Uma vez que a serie não tenha sido ripada de um DVD ou seja a mesma foi gravada do sinal de TV aberta com o respectivo selo da emissora não é caracterizado crime pois a mesma foi produzida para exibição pública. Sera crime quando for realizado venda deste produto. Quem efetuar download de qualquer ficheiro deste blog que não tenha seu conteúdo de base Open Source (Código Aberto) ou FOSS (Free Open Source Software) deverá estar ciente que terá 24 horas para eliminar os ficheiros que baixou. Assista-o e procure Revendas Autorizadas. Se algo contido no blog lhe causa dano ou prejuízo, entre em contacto, que iremos retirar o ficheiro ou post o mais rápido possível. Se encontrou algum post que considere de sua autoria favor enviar e-mail para suporte@delphini.com.br informando o post e comprovando sua veracidade.

Muito obrigado a todos que fizeram deste blog um sucesso.

Creative CommonsEsta obra está licenciada sob uma Licença Creative Commons. Você pode copiar, distribuir, exibir, executar, desde que seja dado crédito ao autor original (Citando nome do autor, data, local e link de onde tirou o texto). Você não pode fazer uso comercial desta obra.Você não pode criar obras derivadas.