Mente hacker

Denny Roger é analista de segurança de redes

Publicada em 14 de dezembro de 2009 às 15h39Atualizada em 14 de dezembro de 2009 às 15h48

Governança corporativa
Investimentos para proteger a informação nem sempre freiam as ações dos crackers.
Somos dependentes da tecnologia da informação. Ela se tornou parte integrante do cotidiano da nossa vida privada e nos negócios. Utilizamos o internet banking para pagar contas, acessamos redes sociais para interagir com nossos amigos e clientes, publicamos informações corporativas e pessoais através do Twitter etc.

Embora ofereçam funcionalidades inéditas, essas novas tecnologias também introduzem novos riscos e um ambiente mais difícil de controlar e monitorar. Uma vulnerabilidade de segurança terá um grande impacto na vida pessoal e nos negócios corporativos.


Todos estão preocupados com a privacidade de suas informações e perdas nos negócios. Conseqüentemente, a segurança da informação hoje é parte da governança corporativa. Podemos constatar que os investimentos em segurança estão ligados ao risco real de uma vulnerabilidade impactar sua vida pessoal ou os negócios da sua empresa.


Hoje as pessoas estão preocupadas em ter um firewall pessoal, um bom antivírus e antispam instalados. As empresas realizam avaliação de risco para auxiliar os tomadores de decisão. Mas a segurança da informação exige uma melhoria contínua dos processos, e isso não está ocorrendo.

Vulnerabilidades

As empresas continuam com os mesmos problemas após investirem em tecnologias de segurança, tais como firewalls, antispam, sistema de detecção de intrusos, antivírus etc. Os hackers provaram que é possível acessar informações confidencias (pessoais ou corporativas) explorando vulnerabilidades nas aplicações, atropelando todas as tecnologias de segurança comentadas anteriormente.

Toda vez que especialistas mundiais em assuntos sobre segurança da informação discutem avaliação do Sistema de Gestão da Segurança da Informação (SGSI), a pergunta mais comum é: “como avaliar o nível de maturidade do SGSI em uma organização?.”


A realidade é que, na opinião de alguns especialistas que tentam utilizar alguma metodologia sobre níveis de maturidade para os processos focados na segurança da informação, tais modelos são subjetivos ou estão incompletos.


Sempre que a oportunidade se apresenta, diretores e gerentes de TI, bem como consultores e analistas de segurança da informação, costumam fazer precisamente essas perguntas sobre a avaliação do nível de maturidade do SGSI: como eu sei a situação atual da minha empresa em relação à segurança? Quais processos precisam de melhoria de acordo com a estratégia da organização? Os investimentos em segurança estão resolvendo os problemas? Os resultados obtidos estão na mesma proporção do que gastamos?

O objetivo da avaliação do nível de maturidade de segurança da informação pode ser definido como a soma de "melhores práticas" para diagnóstico e avaliação de maturidade do SGSI em uma organização.

Padrões


Dessa forma, a organização consegue mapear a situação atual, estabelecer e monitorar passo-a-passo as melhorias dos processos rumo à estratégia da organização e comparar com a situação das melhores organizações no segmento (benchmarking) e com padrões internacionais (por exemplo, ISO/IEC 27002).

Devem também desenvolver um plano de crescimento da maturidade estruturado em efetuar uma ligação entre o planejamento estratégico da empresa e a segurança da informação. Assim, os objetivos de segurança podem ser mais bem avaliados.


Embora existam muitos profissionais preocupados com essas questões, a mais proveitosa sempre foi identificar quais processos precisam de melhoria de acordo com a estratégia da organização.


Seja como for, é importante observar que a criação de um plano de crescimento a curto e longo prazos é indispensável para tornar os processos avaliados mais robustos e precisos.

É possível ainda registrar as dimensões presentes em cada nível de maturidade. Ou seja, a organização irá identificar a taxa de satisfação das necessidades de negócios e objetivos de segurança de acordo com o alinhamento estratégico, competência comportamental, estrutura organizacional, informatização, metodologia e competência técnica.

O assunto ganhou destaque há pouco tempo por meio de relatos críticos de organizações que necessitam de um guia para ações das melhorias dos processos de segurança da informação.


É importante comentar também que o diagnóstico e a avaliação do nível de maturidade de segurança da informação representa a metodologia mais adequada para demonstrar quão hábil uma organização está em relação à gestão dos processos de segurança da informação.

Denny Roger é diretor da EPSEC e da Associação Brasileira de Segurança da Informação (Abrasinfo), membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@epsec.com.br.

5 tecnologias que estarão na mira das empresas em 2010

Ferramentas de Business Analitycs e de colaboração encabeçam a lista de prioridades dos departamentos de TI no próximo ano.

Por Edileuza Soares, da Computerworld
14 de dezembro de 2009 - 07h00

Com a retomada da economia, as empresas brasileiras deverão comprar mais tecnologia no próximo ano. O estudo IDC Worldwide Black Book, que também analisou o Brasil, prevê investimentos na área de 29 bilhões de dólares em 2010, acima dos 27 bilhões de dólares que deverão ser aplicados até o final de 2009, excluindo gastos com telecomunicações, Business Process Outsourcing (BPO) e offshore.

>> Saiba onde estarão as vagas na área de TI em 2010

Os bancos continuarão puxando os gastos com TI em 2010, embora outras áreas devam apostar na modernização do parque para recuperar o espaço perdido no período da crise, como é o caso indústria de manufatura e de siderurgia. O setor de construção civil também deve dar sua parcela de contribuição, já que terá de ampliar estradas e rodovias para preparar o País para a Copa do Mundo e a Olímpiada, nos próximos anos.

O analista para o mercado corporativo da consultoria IDC, Reinaldo Roveri, afirma que uma das palavras de ordem para o próximo ano será “otimizar”. Ou seja, as companhias continuarão correndo em busca de tecnologias para reduzir custos de suas operações. Parte dessa lição de casa foi feita em 2009 quando a crise apertou, mas ainda sobraram gorduras por causa da complexidade da infraestrutura e também porque as empresas não tinham ferramentas para saber o que poderia ser eliminado.

As previsões para 2009 são de que haverá uma preocupação das organizações com projetos de governança com a meta de entender melhor o ambiente de TI. Elas vão precisar de mais ferramentas de gestão de riscos que mostrem onde precisam aprimorar a segurança e os controles. Veja a seguir as áreas que vão consumir investimentos em 2010:

1- Business Analitycs (BA)
Nos últimos anos as empresas investiram em sistemas de gestão (do inglês, Enterprise Resource Planning, ou ERP), e de relacionamento com clientes (do inglês, Customer Relationship Management, ou CRM) e Business Intelligence (BI) e outras aplicações de negócios que geram montanhas de dados e a complexidade dos sistemas dificulta a busca de informações rapidamente para a tomada de decisão. O uso do BI nem sempre é efetivo. "Muitos usam BI somente para visualizar métricas e desempenho dos negócios", diz Roveri.

O analista da IDC constata que o ambiente das empresas está mais dinâmico e exigindo informações
online. Com essa necessidade, elas terão de buscar ferramentas de análise de dados (Business Analitycs, ou BA) para dar inteligência ao negócio e que funcionem integradas a outros sistemas. Para ser efetiva, Roveri diz que essa tecnologia tem que analisar não apenas o passado e o presente, mas ser capaz de projetar o futuro.

2- Redes Sociais
Uma outra tendência para 2010 é o uso das redes sociais no ambiente corporativo para trazer para as áreas de negócios informações dos clientes e da concorrência, que muitas vezes ficam na cabeça dos funcionários e não são compartilhadas. Assim os vendedores que estão na rua podem postar no Twitter novidades descobrirem. O BA se encarregará de fazer análises inteligentes e competitivas das informações atualizadas constantemente pelas ferramentas de colaboração.

Roveri diz que as empresas podem usar Orkut, Facebook, Twitter e CW Connect outros serviços para levantar informações importantes para o negócio. Mas para que os funcionários sejam estimulados a usar essas ferramentas para trabalho será necessário criar cultura. Muitos já utilizam esses serviços para atualizar perfil pessoal.

3 e 4- Virtualização e cloud computing
Em 2010, os temas virtualização, cloud computing e TI verde continuarão na agenda dos executivos e vão exigir novos investimentos em infraestrutura. As empresas deverão ir às compras em busca de equipamentos mais modernos para fazer integração de sistemas.

“Não veremos tanta troca de hardware como no passado porque agora as compras são mais conscientes”, diz Roveri. A infraestrutura será atualizada com equipamentos que consomem menos energia e estão preparados para virtualização. Com essa exigência, o analista espera uma procura maior pro servidores blade, que são os que ocupam menos espaço.

5- Integração de CRM
Há muitos anos as empresas vêm investindo em soluções de CRM, mas nem todas estão extraindo toda a potencialidade dessas ferramentas. O consultor da A.T.Kearney, Antonio Almeida, observa que muitas companhias implantaram essas tecnologias somente internamente, sem integração com outras áreas.

Almeida prevê que em 2010 haverá mais investimentos das empresas em CRM tanto para integração interna quanto para uso externo pelos vendedores. Eles vão acessar a aplicação por dispositivos móveis. Entretanto, o modelo de compra dessa aplicação será como serviço.

IPv6 e VoIP

É verdade que a Internet (na verdade, os backbones Internet) não possuem mecanismos de priorização de pacotes. Como muitos backbones são de propriedade de operadoras de telefonia, normalmente não é interesse priorizar nenhum tipo de tráfego, muito menos um que reduza seu faturamento.

Por outro lado, pelo conceito de neutralidade de rede ("net neutrality") nenhuma operadora pode "piorar" nenhum tráfego, sendo assim, basicamente, as operadoras não fazem nada contra ou pró VoIP.

A banda disponível em cada conexão Internet aumenta a cada dia e isso tem um efeito natural favorável ao VoIP: a quantidade de banda consumida pelos protocolos VoIP (G.729 por exemplo) é pequena e assim, quanto mais o tempo passa, mais banda os backbones Internet possuem e menos uma chamada VoIP representa. Não é uma conta linear, mas a consequência é que, quanto mais o tempo passa, mas fácil é realizar chamadas VoIP de boa qualidade graças a essa maior capacidade global de backbone.

No entanto a entrada do IPv6 vai ter seu impacto no tráfego de VoIP via IPv6. Alguns benéfico outros nem tantos.

A favor do VoIP, o IPv6 permitirá a comunicação direta, sem necessidade de NAT, STUN e os problemas normalmente associados com essas tecnologias. Muitos usuários de VoIP (principalmente os de menor experiência) acabam tendo grandes dificuldades com esses protocolos (chamadas com áudio apenas em uma direção, dificuldades em realizar mais de uma chamada ao mesmo tempo através do mesmo link, etc.) e o IPv6 deve então ajuda-los pois o IPv6 simplesmente dispensa NAT pela enorme quantidade de IPs que estarão disponíveis.

Outro benefício do IPv6 (porém menor) é o Mobile IPv6 que irá facilitar o uso de VoIP, principalmente em equipamentos móveis e permitir o roaming (ou handoff para ser mais correto) transparente de redes: de casa para rua, rua para rede interna do escritório, escritório para rua, rua para casa, etc.

Além disso temos a criptografia nativa que irá diminuir o receio daqueles que se preocupam com a confidencialidade das suas chamadas.

Contra o VoIP o IPv6 tem o overhead maior do cabeçalho IPv6, consequentemente demandando mais banda, o que pode eliminar algum dos ganhos devidos à expansão dos backbones.

Um ponto que eu não considero nem contra, nem a favor, é o recurso QoS (byte de classe de tráfego). Ele seria ótimo se os backbones usassem seu conteúdo para priorizar (talvez façam no futuro), mas creio que é mais provável que ele seja ignorado pelos backbones assim como o tipo de tráfego é ignorado hoje.

Assim, apesar de que o IPv6 é um protocolo de transporte e o VoIP um protocolo de aplicação, existirá uma dependência do VoIP sobre as características do IPv6 e a maneira como a rede irá tratar ambos.

Por Denny Roger

Plano diretor de TI: as quatro grandes barreiras para os CIOs

O planejamento representa uma poderosa ferramenta para que o líder de TI tenha um controle mais efetivo do seu sucesso profissional e não dependa apenas do acaso


Pedro Bicudo, da TGT Consult
Publicada em 08 de dezembro de 2009 às 08h45


O Plano Diretor de Tecnologia da Informação (PDTI) deveria ser a primeira preocupação de qualquer CIO, mas faça uma rápida enquete com seus amigos e vai descobrir que pouquíssimos atualizam o PDTI todos os anos. Também vai constatar que não é o único a sentir que TI não está alinhada aos negócios; que o business não entende TI; que o usuário não sabe o que quer; e que não dá para fazer tudo o que pedem porque você não tem orçamento e gente para tudo isso. Claro! Você não tem um PDTI.

Para tudo que queremos fazer bem feito precisamos de planejamento. Planejamos os casamentos, as festas de aniversário, programamos as viagens e a compra de um carro. Mas não planejamos a TI na empresa. Por que será?


Primeiro porque falta experiência. Não me refiro à sua experiência como CIO e, sim, refiro à prática de mercado ou à tradição de fazer planejamento. Como pouca gente faz o PDTI, a tendência é que você acompanhe a maioria e não o faça também. Isso é um benchmarking mal utilizado: em vez de seguir as melhores práticas, segue-se a mais comum.

Segundo porque falta técnica e método. Como fazer um PDTI? Quem faz isso? Por onde começo? A falta de referências é um complicador importante. Se ajudar, a TGT publicou recentemente dois White papers sobre esse assunto (o download dos arquivos em pdf pode ser feito a partir dos links: http://www.tgtconsult.com.br/admin/imagesservicos/anexo_v9acd.pdf e http://www.tgtconsult.com.br/admin/imagesservicos/anexo_p2bxm.pdf)


O terceiro impeditivo é o mito de que planejamento não funciona. Tenha expectativas corretas e você descobrirá que funciona muito bem. O PDTI cria o direcionamento para uso da tecnologia e da informação. Seguramente haverá desvios, por isso é necessária a gestão de riscos: o que fazer quando as coisas saírem do planejado. Não é “se” saírem, é “quando” saírem – sempre saem e isso é muito positivo.


Quarto motivo: a cultura do “eu tenho um plano, eu sei o que vamos fazer, só não está documentado”. Uma dica: saia da sua sala agora e pergunte para cinco pessoas: qual é nossa prioridade em 2010? Você vai ficar surpreso. Agora, reflita: sem a documentação e comunicação repetidas vezes, como eles podem saber o que é mais importante? E sem saber, como vão manter foco e ajudar você a alcançar os seus objetivos?


O planejamento é uma poderosa ferramenta para nortear os destinos da TI, para comunicar-se com o business e para focar os seus colaboradores. Você pode viver sem o PDTI, mas com ele as coisas ficariam mais fáceis, e seu sucesso profissional estaria mais sob seu controle do que simplesmente contar com o acaso.


Não existe planejamento perfeito e nem precisa ser. O importante é que o PDTI defina claramente uma direção e distribua no tempo o que será feito e em qual ordem. Exemplos práticos atuais: quando você vai fazer upgrade para Windows 7, quando vai utilizar redes sociais na empresa, quando vai instalar comunicações unificadas, quando vai levar o data center para cloud, e se o seu presidente perguntar sobre esses temas, qual será sua resposta? Você vai pensar na resposta só quando ele perguntar? E se ele perguntar para outra pessoa e a resposta for diferente da sua? Cabe ao CIO o papel de influenciar a demanda, e não apenas responder a ela tardiamente. Essa influência começa na comunicação do PDTI. Confie nos “best practices”: planeje melhor e seus problemas serão menores.


Pedro Bicudo é sócio diretor da TGT Consult, www.twitter/tgtconsult

Embratel planeja rede HFC própria para banda larga e voz

Depois de uma semana de treinamento e outra em Miami à trabalho, retorno hoje com um post bem interessante sobre planos de uma rede HFC própria da Embratel.


Uma nova e interessante estratégia da Embratel para o mercado de serviços triple-play começa a se desenhar. Alguns fornecedores foram sondados sobre uma RFP para a construção de uma rede HFC. Ou seja, ao que tudo indica, a Embratel está cogitando a hipótese de fazer uma rede híbrida de fibras e cabos coaxiais própria.

Segundo informações de mercado, a chamada aos fornecedores é para uma rede de cerca de 1 milhão de homes passed, o que equivale a mais ou menos um décimo da rede atual da Net Serviços. Dependendo da densidade da rede, seria algo em torno de 10 mil km de uma rede de 1 GHz, considerada o estado da arte em redes HFC.

As fontes ouvidas por esse noticiário têm poucos detalhes sobre como seria a estratégia da Embratel, mas é evidente, pelo tamanho da encomenda, que a tele não vai construir rede onde a Net Serviços já está, até porque, com a mudança na legislação que o PL 29/2007 poderá provocar depois de aprovado, a Embratel assumirá inexoravelmente o controle da Net. Essa operação é esperada desde a entrada da Telmex no capital da Net, em 2004, e só depende do sinal verde regulatório.

O mais provável, especulam observadores do mercado, é que a Embratel esteja buscando uma forma de complementar a rede da Net onde a cobertura ainda é deficiente, em cidades em que a Net não está. A tele poderia, então, passar a oferecer, por essa nova rede HFC, serviços de banda larga e voz. Já o serviço de TV paga viria pelo DTH, que já cobre todo o país. Quando houver a liberalização do mercado de TV paga, a Embratel (ou a Net) assumiria a operação de TV por assinatura nessa nova rede. O mais provável, especulam os analistas, é que sejam cidades de interior ou regiões metropolitanas adjacentes a cidades em que a Net opera. Com isso, a Embratel teria a cobertura na maior parte das cidades brasileiras com alto potencial de consumo. Hoje, a Net Serviços já cobre quase 50% do Potencial de Consumo brasileiro, segundo dados compilados pelo Atlas Brasileiro de Telecomunicações editado pela TELETIME.

Vale lembrar que a Embratel tem ainda o direito de uso da faixa de 3,5 GHz em todo o Brasil, o que permite a oferta de serviços com a tecnologia WiMAX.

TV Cidade

Existe também uma questão ainda não muito clara que é sobre a necessidade ou não da ampliação dessa infraestrutura em algumas cidades importantes, como Recife, Salvador ou Niterói, praças em que a TV Cidade opera TV a cabo e onde a Net Serviços não tem rede (a não ser MMDS, em Recife). Há muito tempo, são recorrentes os rumores de mercado de que a TV Cidade mantém conversas com a Net para uma possível aquisição da primeira pela segunda. Mas a finalização do acordo, ao que tudo indica, passa pelo equacionamento da dívida da TV Cidade com a Furukawa. Trata-se de um contencioso judicial em que a empresa fornecedora, recentemente, conseguiu o direito de leiloar a rede da TV Cidade por um preço próximo a R$ 70 milhões.

Nessa disputa judicial existe um porém: a TV Cidade, em algum momento, teria dado como garantia à Furukawa não apenas a rede, mas também suas concessões, o que a Anatel não permite. Para a agência, por outro lado, se a TV Cidade opera com rede própria ou não, é indiferente. Assim, é possível que apenas depois que o imbroglio entre TV Cidade e Furukawa se definir é que o mercado saberá se a Net está, de fato, interessada em adquirir também esta operadora de cabo. E apenas depois disso é que a cobertura da Net estará consolidada. De qualquer maneira, a julgar pela estratégia da Embratel, o uso da rede de cabos para a oferta de triple play está dando bons resultados.

TELETIMES News