O SANS disponibiliza uma planilha mostrando as diferenças entre a ISO 17799:2000 e ISO 17799:2005.
Planilha
24 de abril de 2006
ISO 17799:2000 x ISO 17799:2005
O SANS disponibiliza uma planilha mostrando as diferenças entre a ISO 17799:2000 e ISO 17799:2005.
Planilha
Planilha
20 de abril de 2006
Framework para Assessment
Eu venho acompanhando a OSSTMM que faz um bom tempo que está desatualizada e inacabada, mais para meu espanto recentemente anunciaram o lançamento da terceira versão na security focus.
Mais enquanto isso não acontece, de uma olhada nesse documento criado pelo OISSG (Open Information System Security Group). O documento possui 1.236 páginas e está atualizado e baseado em padrões como Cobit, COSO, ISO 27001, SAS70 e sessão 404 da SOX.
Excelente material para quem deseja realizar uma análise em um ambiente e não tem um guide.
ISSAF
http://www.oissg.org/component/option,com_docman/
task,doc_download/gid,4/Itemid,134/
OSSTMM
http://www.isecom.org/osstmm/
OISSG
http://www.oissg.org/
Mais enquanto isso não acontece, de uma olhada nesse documento criado pelo OISSG (Open Information System Security Group). O documento possui 1.236 páginas e está atualizado e baseado em padrões como Cobit, COSO, ISO 27001, SAS70 e sessão 404 da SOX.
Excelente material para quem deseja realizar uma análise em um ambiente e não tem um guide.
ISSAF
http://www.oissg.org/component/option,com_docman/
task,doc_download/gid,4/Itemid,134/
OSSTMM
http://www.isecom.org/osstmm/
OISSG
http://www.oissg.org/
Framework para Assessment
Eu venho acompanhando a OSSTMM faz um bom tempo e ela está desatualizada e inacabada, mas para meu espanto recentemente anunciaram o lançamento da terceira versão na security focus.
Mas enquanto isso não acontece, de uma olhada nesse documento criado pelo OISSG (Open Information System Security Group). O documento possui 1.236 páginas e está atualizado e baseado em padrões como Cobit, COSO, ISO 27001, SAS70 e sessão 404 da SOX.
Excelente material para quem deseja realizar uma análise em um ambiente e não tem um guide.
ISSAF
http://www.oissg.org/component/option,com_docman/
task,doc_download/gid,4/Itemid,134/
OSSTMM
http://www.isecom.org/osstmm/
OISSG
http://www.oissg.org/
Mas enquanto isso não acontece, de uma olhada nesse documento criado pelo OISSG (Open Information System Security Group). O documento possui 1.236 páginas e está atualizado e baseado em padrões como Cobit, COSO, ISO 27001, SAS70 e sessão 404 da SOX.
Excelente material para quem deseja realizar uma análise em um ambiente e não tem um guide.
ISSAF
http://www.oissg.org/component/option,com_docman/
task,doc_download/gid,4/Itemid,134/
OSSTMM
http://www.isecom.org/osstmm/
OISSG
http://www.oissg.org/
19 de abril de 2006
Uma questão de maturidade
Há algum tempo eu venho estudando e utilizado o framework do Cobit como uma ferramenta para assessent, principalmente projetos buscando a adequação de controles a SOX.
Eu acho o Cobit uma excelente ferramenta, mais não a solução para todos os problemas, até porque muitos controles do Cobit são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: Cobit é somente uma ferramenta, não adianta Zé CSO cobrar adequação ao Cobit em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do Cobit?
Mais o que me levou a tocar no assunto Cobit foi a questão de maturidade, assim como o CMM-I o Cobit também classifica a maturidade dos processo em cinco níveis:
1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado
Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o Cobit propõe.
Olhando para segurança já ficamos bastante desamparados, por isso o título desse post, será que falta maturidade em nosso segmento, para o fortalecimento e reconhecimento de inúmeras iniciativas como a do Cobit? O Cobit endereça muitos controles de segurança, mais esse é o caso, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.
Ainda temos pouquisimos indicadores, métricas em segurança, ou se já temos tudo eles estão espalhados por todo canto, um pouco em documentos do NIST, um pouco no Cobit, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.
Cobit - http://www.isaca.org
Uma questão de maturidade
Há algum tempo eu venho estudando e utilizado o framework do CobiT como uma ferramenta para análise, principalmente projetos buscando a adequação de controles a SOX.
Eu acho o CobiT uma excelente ferramenta, mas não a solução para todos os problemas, até porque muitos controles são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: CobiT é somente uma ferramenta, não adianta Zé CSO cobrar adequação a ele, em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do CobiT?
O que me levou a tocar no assunto foi a questão de maturidade, assim como o CMM-I o CobiT também classifica a maturidade dos processo em cinco níveis:
1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado
Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o CobiT propõe.
Olhando para segurança já ficamos bastante desamparados, por isso o título desse post. Será que falta maturidade em nosso segmento para o fortalecimento e reconhecimento de inúmeras iniciativas que existem relacionadas a Segurança? Pergunto isto pois, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.
Ainda temos pouquíssimos indicadores, métricas em segurança. Elas estão espalhadas por todo canto, um pouco em documentos do NIST, um pouco no CobiT, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.
CobiT - http://www.isaca.org
5 de abril de 2006
VOIP Security
A experiência e técnica de um especialista nunca vai ser substituido, mais a infinade de ferramentas que surge todos os dias facilitando a vida de kids é impressionante.
Eu estive dando uma olhada em uma ferramenta chamada SiVuS, ele faz scan de vulnerabilidades em protocolos de VOIP. Em pensar que essa semana vi algumas pessoas falando que desconheciam ataques em VOIP. Essa ferramenta é só mais uma, porque o cain já fazia algumas coisas relacionadas a VOIP.
SiVuS 1.0.9
http://www.vopsecurity.org/sivus-1.09.exe
MD5 Digest 3597881bd3924e1d07d532c8f9134052
Guide
http://www.vopsecurity.org/SiVuS-User-Doc.pdf
Artigo sobre ataque em VOIP (Securityfocus)
http://www.securityfocus.com/infocus/1862/1
Eu estive dando uma olhada em uma ferramenta chamada SiVuS, ele faz scan de vulnerabilidades em protocolos de VOIP. Em pensar que essa semana vi algumas pessoas falando que desconheciam ataques em VOIP. Essa ferramenta é só mais uma, porque o cain já fazia algumas coisas relacionadas a VOIP.
SiVuS 1.0.9
http://www.vopsecurity.org/sivus-1.09.exe
MD5 Digest 3597881bd3924e1d07d532c8f9134052
Guide
http://www.vopsecurity.org/SiVuS-User-Doc.pdf
Artigo sobre ataque em VOIP (Securityfocus)
http://www.securityfocus.com/infocus/1862/1
VOIP Security
A experiência e técnica de um especialista nunca vai ser substituido, mas a infinade de ferramentas que surge todos os dias facilitando a vida de kids é impressionante.
Eu estive dando uma olhada em uma ferramenta chamada SiVuS, ele faz scan de vulnerabilidades em protocolos de VOIP. Em pensar que essa semana vi algumas pessoas falando que desconheciam ataques em VOIP. Essa ferramenta é só mais uma, porque o cain já fazia algumas coisas relacionadas a VOIP.
SiVuS 1.0.9
http://www.vopsecurity.org/sivus-1.09.exe
MD5 Digest 3597881bd3924e1d07d532c8f9134052
Guide
http://www.vopsecurity.org/SiVuS-User-Doc.pdf
Artigo sobre ataque em VOIP (Securityfocus)
http://www.securityfocus.com/infocus/1862/1
Eu estive dando uma olhada em uma ferramenta chamada SiVuS, ele faz scan de vulnerabilidades em protocolos de VOIP. Em pensar que essa semana vi algumas pessoas falando que desconheciam ataques em VOIP. Essa ferramenta é só mais uma, porque o cain já fazia algumas coisas relacionadas a VOIP.
SiVuS 1.0.9
http://www.vopsecurity.org/sivus-1.09.exe
MD5 Digest 3597881bd3924e1d07d532c8f9134052
Guide
http://www.vopsecurity.org/SiVuS-User-Doc.pdf
Artigo sobre ataque em VOIP (Securityfocus)
http://www.securityfocus.com/infocus/1862/1
4 de abril de 2006
Tom Peltier
Umas das apresentações mais esperada na Security Week 2006 era a do Tom Peltier, infelizmente ele não apareceu.
Para quem quer saber mais sobre o trabalho dele e de seus associados segue o site e uma newsletter que eu recomendo.
Peltier Assiciates
http://www.peltierassociates.com/
Newsletter
http://www.peltierassociates.com/ccmail/index.php
Arquivos
http://www.peltierassociates.com/newsletter.htm
Para quem quer saber mais sobre o trabalho dele e de seus associados segue o site e uma newsletter que eu recomendo.
Peltier Assiciates
http://www.peltierassociates.com/
Newsletter
http://www.peltierassociates.com/ccmail/index.php
Arquivos
http://www.peltierassociates.com/newsletter.htm
CMMI Online
A Borland disponibilizou no site dela uma consulta online do modelo de maturidade CMMI. Apesar da introdução estar em português todo o conteúdo do CMMI está em inglês.
CMMI Online - http://www.borland.com/br/services/cmmi.html
CMMI Online - http://www.borland.com/br/services/cmmi.html
Virtual Machine
O Fernando Cima da Microsoft deu uma excelente notícia na lista MCPDX, o Virtual Server 2005 agora é freeware.
Mais o que eu quero com uma Virtual Machine? Além de consolidação de servidor eu cito a opção de montar um laboratório de testes, eu já utilizei muitas vezes o virtual PC que possui menos recursos, para testar aplicações em outros sistemas operacionais.
Virtual Server 2005 R2 Enterprise Edition for Free
http://www.microsoft.com/windowsserversystem/
virtualserver/software/default.mspx
Documentação Virtual Server 2005
http://technet2.microsoft.com/WindowsServer/en/Library/
bcc5e200-88af-4a64-963b-55f1efb251d11033.mspx
Mais o que eu quero com uma Virtual Machine? Além de consolidação de servidor eu cito a opção de montar um laboratório de testes, eu já utilizei muitas vezes o virtual PC que possui menos recursos, para testar aplicações em outros sistemas operacionais.
Virtual Server 2005 R2 Enterprise Edition for Free
http://www.microsoft.com/windowsserversystem/
virtualserver/software/default.mspx
Documentação Virtual Server 2005
http://technet2.microsoft.com/WindowsServer/en/Library/
bcc5e200-88af-4a64-963b-55f1efb251d11033.mspx
Tom Peltier
Uma das apresentações mais esperada na Security Week 2006 era a do Tom Peltier, infelizmente ele não apareceu.
Para quem quer saber mais sobre o trabalho dele e de seus associados segue o site e uma newsletter que eu recomendo.
Peltier Assiciates
http://www.peltierassociates.com/
Newsletter
http://www.peltierassociates.com/ccmail/index.php
Arquivos
http://www.peltierassociates.com/newsletter.htm
Para quem quer saber mais sobre o trabalho dele e de seus associados segue o site e uma newsletter que eu recomendo.
Peltier Assiciates
http://www.peltierassociates.com/
Newsletter
http://www.peltierassociates.com/ccmail/index.php
Arquivos
http://www.peltierassociates.com/newsletter.htm
CMMI Online
A Borland disponibilizou no site dela uma consulta online do modelo de maturidade CMMI. Apesar da introdução estar em português todo o conteúdo do CMMI está em inglês.
CMMI Online - http://www.borland.com/br/services/cmmi.html
CMMI Online - http://www.borland.com/br/services/cmmi.html
Virtual Machine
O Fernando Cima da Microsoft deu uma excelente notícia na lista MCPDX, o Virtual Server 2005 agora é freeware.
Mas o que eu quero com uma Virtual Machine? Além de consolidação de servidor eu cito a opção de montar um laboratório de testes, eu já utilizei muitas vezes o virtual PC que possui menos recursos, para testar aplicações em outros sistemas operacionais.
Virtual Server 2005 R2 Enterprise Edition for Free
http://www.microsoft.com/windowsserversystem/
virtualserver/software/default.mspx
Documentação Virtual Server 2005
http://technet2.microsoft.com/WindowsServer/en/Library/
bcc5e200-88af-4a64-963b-55f1efb251d11033.mspx
Mas o que eu quero com uma Virtual Machine? Além de consolidação de servidor eu cito a opção de montar um laboratório de testes, eu já utilizei muitas vezes o virtual PC que possui menos recursos, para testar aplicações em outros sistemas operacionais.
Virtual Server 2005 R2 Enterprise Edition for Free
http://www.microsoft.com/windowsserversystem/
virtualserver/software/default.mspx
Documentação Virtual Server 2005
http://technet2.microsoft.com/WindowsServer/en/Library/
bcc5e200-88af-4a64-963b-55f1efb251d11033.mspx
3 de abril de 2006
Personal Protection
Uma alternativa mais light ao CORE FORCE, é o GesWall, fazendo o papel de um personal firewall ele aplica controles em arquivos, mediante ao nível de segurança que você configura.
Ele é simples, mais rápido, leve e a instalação é feito via pacote msi, o que facilita a distribuição em uma rede com Active Directory.
GesWall - http://www.gentlesecurity.com/
Ele é simples, mais rápido, leve e a instalação é feito via pacote msi, o que facilita a distribuição em uma rede com Active Directory.
GesWall - http://www.gentlesecurity.com/
Personal Protection
Uma alternativa mais light ao CORE FORCE, é o GesWall, fazendo o papel de um personal firewall ele aplica controles em arquivos, mediante ao nível de segurança que você configura.
Ele é simples, mais rápido, leve e a instalação é feito via pacote msi, o que facilita a distribuição em uma rede com Active Directory.
GesWall - http://www.gentlesecurity.com/
Ele é simples, mais rápido, leve e a instalação é feito via pacote msi, o que facilita a distribuição em uma rede com Active Directory.
GesWall - http://www.gentlesecurity.com/
The Bug Magazine
Após alguns dias sem atualização devido a carga de compromissos, retorno as atividades do blog.
Foi lançado dia 01 de Abril, e não é mentira, a revista online The Bug Magazine mais voltada ao underground.
The Bug Magazine - http://www.thebugmagazine.org/
Foi lançado dia 01 de Abril, e não é mentira, a revista online The Bug Magazine mais voltada ao underground.
The Bug Magazine - http://www.thebugmagazine.org/
The Bug Magazine
Após alguns dias sem atualização devido a carga de compromissos, retorno as atividades do blog.
Foi lançado dia 01 de Abril, e não é mentira, a revista online The Bug Magazine mais voltada ao underground.
The Bug Magazine - http://www.thebugmagazine.org/
Foi lançado dia 01 de Abril, e não é mentira, a revista online The Bug Magazine mais voltada ao underground.
The Bug Magazine - http://www.thebugmagazine.org/
Assinar:
Postagens (Atom)