28 de fevereiro de 2007

[blog] Dica de conteúdo

Hoje eu recebi um e-mail do meu amigo Cristiano Lincoln informando a URL do seu blog Life Without Knowledge Death in Disguise. Não deixe de acompanhar mais um blog com conteúdo de qualidade.

[blog] Dica de conteúdo

Hoje eu recebi um e-mail do meu amigo Cristiano Lincoln informando a URL do seu blog Life Without Knowledge Death in Disguise. Não deixe de acompanhar mais um blog com conteúdo de qualidade.

25 de fevereiro de 2007

Infectando Linux com vírus para Windows

O blog Doses Diárias publicou um post sobre a possibilidade de infectar ambientes Linux com vírus originalmente desenvolvidos para ambiente windows.

Para que isso seja possível é necessário estar trabalhando com o Wine, pacote que traduz requisições de funções (windows API) do windows para ambiente Linux. Isso possibilita rodar aplicações originalmente desenvolvidas para ambiente Windows em Linux.

Segundo as experiências a grande maioria dos vírus infectou parcialmente o ambiente Linux, mas, somado a um problema muito comum, o excesso de privilégios, a infecção pode ser generalizada.

Alguns posts saíram em defesa do ambiente Linux, considerando que excessos de privilégios não são práticas recomendadas. Bom, que não é recomendada todos nós sabemos, agora quantas pessoas tomam esses cuidados? E com pacotes para Linux cada vez mais NNF (Next, Next e Finish) a tendência é aumentar muito as configurações equivocadas.

Outros informam que um único vírus “rodou” no teste do newsforge e que vírus utilizam APIs não documentadas e funcionalidades bizarras do windows. Os testes realizados no newsforge foram realizados em 2005, os meios de infecção e códigos maliciosos mudaram um pouco não?

Algumas coisas eu ainda preciso avaliar melhor para fazer qualquer comentário. Qualquer aplicação rodando no Wine e com acesso a Web pode ser um vetor de ataque? Soluções de virtualização também estão expostas a problemas semelhantes?

Post no Doses Diárias
Post no NewsForge
Site do Wine
Wine por Wikipedia
Windows API por Wikipedia

Infectando Linux com vírus para Windows

O blog Doses Diárias publicou um post sobre a possibilidade de infectar ambientes Linux com vírus originalmente desenvolvidos para ambiente windows.

Para que isso seja possível é necessário estar trabalhando com o Wine, pacote que traduz requisições de funções (windows API) do windows para ambiente Linux. Isso possibilita rodar aplicações originalmente desenvolvidas para ambiente Windows em Linux.


Segundo as experiências a grande maioria dos vírus infectou parcialmente o ambiente Linux, mas, somado a um problema muito comum, o excesso de privilégios, a infecção pode ser generalizada.Alguns posts saíram em defesa do ambiente Linux, considerando que excessos de privilégios não são práticas recomendadas. Bom, que não é recomendada todos nós sabemos, agora quantas pessoas tomam esses cuidados? E com pacotes para Linux cada vez mais NNF (Next, Next e Finish) a tendência é aumentar muito as configurações equivocadas.Outros informam que um único vírus “rodou” no teste do newsforge e que vírus utilizam APIs não documentadas e funcionalidades bizarras do windows. Os testes realizados no newsforge foram realizados em 2005, os meios de infecção e códigos maliciosos mudaram um pouco não? Algumas coisas eu ainda preciso avaliar melhor para fazer qualquer comentário. Qualquer aplicação rodando no Wine e com acesso a Web pode ser um vetor de ataque? Soluções de virtualização também estão expostas a problemas semelhantes?
Post no Doses Diárias
Post no NewsForge
Site do Wine
Wine por Wikipedia
Windows API por Wikipedia

15 de fevereiro de 2007

BCP FAQ

Por que um FAQ sobre BCP em um blog? Porque durante o longo período que venho estudando, executando projetos e aprendendo com grandes profissionais que tive a oportunidade de trabalhar, sempre ouvi muita bobagem e todo tipo de informação que não colabora em nada com a cultura de continuidade de negócios.

Venho colecionando essas “perolas” há um bom tempo, agora decidi escrever um FAQ para facilitar um pouco a vida de quem ainda não teve a oportunidade de se envolver e estudar a fundo a disciplina de BCP.

1 – Não temos a cultura de BCP porque o índice de desastres naturais em nosso país é muito pequeno?

Muitos países possuem um índice de desastres naturais maiores que o nosso, mas, pode acreditar a nossa falta de cultura em BCP é baixa por falta de estudo e desenvolvimento, pois, se não possuímos desastres naturais, temos uma série de eventos que poderiam ser atendidos por um BCP. Afinal, Deus nasceu em Belém, mas, não é brasileiro!

2 – Ontem faltou energia durante 15 minutos e muitas áreas ficaram sem trabalhar e nosso site institucional ficou indisponível! Por que não acionamos o plano?

Aqui podemos ter duas situações, você possui processos críticos que em 15 minutos causaram impactos altíssimos ao seu negócio e o seu site é fundamental para o seu negócio, ai realmente se não ativaram foi por incompetência. Agora se você não possui processos com RTO menores ou iguais há quinze minutos e o seu site não é crítico, o plano não deveria ser acionado. Mas, eu gastei uma bala com o desenvolvimento do plano e ele não é capaz de suprir minhas necessidades a qualquer momento? Um plano é desenvolvido para atuar em situações abruptas onde a indisponibilidade de processos críticos podem causar sérios problemas à empresa. Incidentes comuns devem ser tratados pela operação normal da empresa. Aqui pode ser interessante implementar os processos de gestão de incidentes, gestão de problemas e a função de service desk para atuar integrado com o plano, se extrapolar a ação deles o plano pode ser acionado.

3 – Quem acionará o botão vermelho?

Calma, você desenvolveu um plano de continuidade de negócios, você ainda não tem um telefone vermelho sobre sua mesa e nem é a pessoa mais importante do mundo. Ninguém deve ser responsável sozinho por ativar um plano, o que irá determinar o acionamento do plano é uma matriz de níveis de crises clara que orienta a ativação do plano. Com base na matriz uma equipe previamente definida, comumente chamada de Crises Management Team, é responsável por avaliar os fatos e ativar o plano. Claro, o nome da equipe é o que menos importa, importante é que a decisão seja tomada por pessoas com visão ampla do negócio e de comum acordo com os controladores do negócio.

4 – Por que você não trás um “book” com um plano de continuidade para eu ver?

Você anda com o seu processo de contas a pagar debaixo dos braços? Apesar de existir documentos como resumptiom plan, onde etapas, atividades de recuperação de desastres são documentadas, o plano de continuidade adequado é o que é elaborado e implementado como um processo de negócios e sofre constante atualização e controle, possibilitando o amadurecimento e adequação do processo a necessidade do negócio.

5 – Gastamos uma bala com consultoria durante um ano e você não quer fazer um teste funcional do meu plano?

Um teste funcional só deve ser realizado após um amadurecimento do processo, somente se testes inferiores já foram executados, identificação de eventuais desvios e correções já foram feitas nos procedimentos de recuperação. Antes de um teste funcional você deve realizar testes como walkthrough, tableTop e testes parciais de cada procedimento, ação.

6 – A maioria dos meus processos não depende de tecnologia, como você vai fazer um BCP?

BCP é Business Continuity Plan ou Technology Continuity Plan? O plano deve atuar em situações que ofereçam risco ao negócio ou pessoas, sendo ele tecnológico ou não. Ah! Para os processos de negócio que não dependem de recursos de tecnologia você pode utilizar procedimentos de continuidade operacional.

7 – DRP é maior que um BCP?

Não. Disaster Recovery Plan é apenas uma pequena parte de um processo completo de continuidade de negócios.

8 – Por que você quer fazer primeiro a análise de riscos, o ideal não é primeiro fazer a BIA?

O ideal é realizar uma análise de riscos identificando todos os issues e com base nessas informações realizar uma análise de impactos no negócio. Em algumas situações realizamos a BIA para identificar os processos críticos e viabilizar a elaboração de um plano de continuidade de negócios.

9 – Por que você passa um ano fazendo todo tipo de entrevista e estudo para desenvolver um site alternativo? Não é muito mais fácil replicar os servidores principais?

Replicar ativos é contingência e não continuidade de negócios. É necessário avaliar o negócio a relação entre os processos, ativos que suportam os processos, riscos associados a esses ativos e caso seja necessário investir em redundância ou outras soluções para recuperação em um tempo inferior ao RTO do processo.

10 – O que tem haver SMS com o plano?

As áreas de SMS (Segurança, Saúde e Meio Ambiente) estão completamente ligadas a continuidade de negócios, essas áreas geralmente possuem procedimentos e recursos que devem ser levados em consideração e utilizados na gestão de crises.

11 – Você não tem uma ferramenta, como vai desenvolver o plano?

Bom, essa não é das piores, pior é ouvir que é necessário uma ferramenta para elaborar uma política de segurança. Uma ferramenta não impede em nada a implementação de um plano de continuidade de negócios. Ferramenta pode lhe auxiliar na gestão do plano, em cálculos de análise de riscos. Mas, que fique claro que não é mandatório.

12Qual é a melhor metodologia DRII, BCI?

Essa costumo ser curto e grosso. Nenhuma das duas são metodologia e sim áreas de conhecimento, como as de gerenciamento de projetos desenvolvidas pelo PMI.

Por enquanto é só, mas, tenho certeza que esse FAQ pode crescer muito.

BCP FAQ

Por que um FAQ sobre BCP em um blog? Porque durante o longo período que venho estudando, executando projetos e aprendendo com grandes profissionais que tive a oportunidade de trabalhar, sempre ouvi muita bobagem e todo tipo de informação que não colabora em nada com a cultura de continuidade de negócios.


Venho colecionando essas “perolas” há um bom tempo, agora decidi escrever um FAQ para facilitar um pouco a vida de quem ainda não teve a oportunidade de se envolver e estudar a fundo a disciplina de BCP.


1 – Não temos a cultura de BCP porque o índice de desastres naturais em nosso país é muito pequeno?


Muitos países possuem um índice de desastres naturais maiores que o nosso, mas pode acreditar a nossa falta de cultura em BCP é baixa por falta de estudo e desenvolvimento, pois, se não possuímos desastres naturais, temos uma série de eventos que poderiam ser atendidos por um BCP. Afinal, Deus nasceu em Belém, mas, não é brasileiro!



2 – Ontem faltou energia durante 15 minutos e muitas áreas ficaram sem trabalhar e nosso site institucional ficou indisponível! Por que não acionamos o plano?


Aqui podemos ter duas situações, você possui processos críticos que em 15 minutos causaram impactos altíssimos ao seu negócio e o seu site é fundamental para o seu negócio, ai realmente se não ativaram foi por incompetência. Agora se você não possui processos com RTO menores ou iguais há quinze minutos e o seu site não é crítico, o plano não deveria ser acionado. Mas, eu gastei uma bala com o desenvolvimento do plano e ele não é capaz de suprir minhas necessidades a qualquer momento? Um plano é desenvolvido para atuar em situações abruptas onde a indisponibilidade de processos críticos podem causar sérios problemas à empresa. Incidentes comuns devem ser tratados pela operação normal da empresa. Aqui pode ser interessante implementar os processos de gestão de incidentes, gestão de problemas e a função de service desk para atuar integrado com o plano, se extrapolar a ação deles o plano pode ser acionado.



3 – Quem acionará o botão vermelho?


Calma, você desenvolveu um plano de continuidade de negócios, você ainda não tem um telefone vermelho sobre sua mesa e nem é a pessoa mais importante do mundo. Ninguém deve ser responsável sozinho por ativar um plano, o que irá determinar o acionamento do plano é uma matriz de níveis de crises clara que orienta a ativação do plano. Com base na matriz uma equipe previamente definida, comumente chamada de Crises Management Team, é responsável por avaliar os fatos e ativar o plano. Claro, o nome da equipe é o que menos importa, importante é que a decisão seja tomada por pessoas com visão ampla do negócio e de comum acordo com os controladores do negócio.



4 – Por que você não trás um “book” com um plano de continuidade para eu ver?


Você anda com o seu processo de contas a pagar debaixo dos braços? Apesar de existir documentos como resumptiom plan, onde etapas, atividades de recuperação de desastres são documentadas, o plano de continuidade adequado é o que é elaborado e implementado como um processo de negócios e sofre constante atualização e controle, possibilitando o amadurecimento e adequação do processo a necessidade do negócio.



5 – Gastamos uma bala com consultoria durante um ano e você não quer fazer um teste funcional do meu plano?


Um teste funcional só deve ser realizado após um amadurecimento do processo, somente se testes inferiores já foram executados, identificação de eventuais desvios e correções já foram feitas nos procedimentos de recuperação. Antes de um teste funcional você deve realizar testes como walkthrough, tableTop e testes parciais de cada procedimento, ação.



6 – A maioria dos meus processos não depende de tecnologia, como você vai fazer um BCP?


BCP é Business Continuity Plan ou Technology Continuity Plan? O plano deve atuar em situações que ofereçam risco ao negócio ou pessoas, sendo ele tecnológico ou não. Ah! Para os processos de negócio que não dependem de recursos de tecnologia você pode utilizar procedimentos de continuidade operacional.



7 – DRP é maior que um BCP?


Não. Disaster Recovery Plan é apenas uma pequena parte de um processo completo de continuidade de negócios.



8 – Por que você quer fazer primeiro a análise de riscos, o ideal não é primeiro fazer a BIA?


O ideal é realizar uma análise de riscos identificando todos os issues e com base nessas informações realizar uma análise de impactos no negócio. Em algumas situações realizamos a BIA para identificar os processos críticos e viabilizar a elaboração de um plano de continuidade de negócios.



9 – Por que você passa um ano fazendo todo tipo de entrevista e estudo para desenvolver um site alternativo? Não é muito mais fácil replicar os servidores principais?


Replicar ativos é contingência e não continuidade de negócios. É necessário avaliar o negócio a relação entre os processos, ativos que suportam os processos, riscos associados a esses ativos e caso seja necessário investir em redundância ou outras soluções para recuperação em um tempo inferior ao RTO do processo.



10 – O que tem a ver SMS com o plano?


As áreas de SMS (Segurança, Saúde e Meio Ambiente) estão completamente ligadas a continuidade de negócios, essas áreas geralmente possuem procedimentos e recursos que devem ser levados em consideração e utilizados na gestão de crises.



11 – Você não tem uma ferramenta, como vai desenvolver o plano?


Bom, essa não é das piores, pior é ouvir que é necessário uma ferramenta para elaborar uma política de segurança. Uma ferramenta não impede em nada a implementação de um plano de continuidade de negócios. Ferramenta pode lhe auxiliar na gestão do plano, em cálculos de análise de riscos. Mas, que fique claro que não é mandatório.




12Qual é a melhor metodologia DRII, BCI?

Essa costumo ser curto e grosso. Nenhuma das duas são metodologia e sim áreas de conhecimento, como as de gerenciamento de projetos desenvolvidas pelo PMI.

Por enquanto é só, mas, tenho certeza que esse FAQ pode crescer muito.

13 de fevereiro de 2007

Hacking HD DVD and Blu-Ray

Segundo o hacker os padrões foram quebrados apenas monitorando a memória, não foi preciso mais nada.

Será que deixaram a "Processing Key" no lugar errado?

Hackers discover HD DVD and Blu-ray
"processing key" -- all HD titles now exposed

Hacking HD DVD and Blu-Ray

Segundo o hacker os padrões foram quebrados apenas monitorando a memória, não foi preciso mais nada.

Será que deixaram a "Processing Key" no lugar errado?
Hackers discover HD DVD and Blu-ray
"processing key" -- all HD titles now exposed

12 de fevereiro de 2007

BCP and Supply Chain

Recentemente o amigo Augusto Paes de Barros comentou um post meu e orientou aos profissionais sobre a necessidade de abrir os olhos sobre os planos de continuidade de negócios dos datacenters. Queria ter escrito sobre isso antes, mas, só agora isso foi possível. A preocupação do Augusto é adequada e muito trabalhada em outros países como os Estados Unidos, que é o estudo do Supply Chain ou cadeia de valores.

Eu sou fã do Cobit, mesmo acompanhando os absurdos cometidos por gestores despreparados e que se deixam levar pelo buzzword do mercado. E um dos controles que eu acho bastante pertinente e adequado para BCM (Business Continuity Management) é o DS2 – Gerenciar Serviços de Terceiros.

O que diz o DS2 do Cobit 4.0?

DS2.1 Identificação de Todos os Relacionamentos com Fornecedores

  • Identificar todos os fornecedores de serviços e categorizá-los de acordo com o tipo de fornecedor, significância e criticidade;
  • Manter documentação formal dos relacionamentos técnicos e organizacional cobrindo os papéis e responsabilidades, objetivos, entregáveis esperados e credenciais dos representantes destes fornecedores.

DS2.2 Gestão de Relacionamento do Fornecedor

  • Formalizar o processo de gestão de fornecedores para cada fornecedor;
  • Um responsável deverá mediar as questões entre o cliente interno e o fornecedor e garantir a qualidade deste relacionamento baseado na confiança e transparência (isto é, por meio de SLA).

DS2.3 Gestão de Risco do Fornecedor

  • Identificar e mitigar os riscos relacionados à capacidade dos fornecedores continuarem a efetivamente entregar o serviço de forma segura e eficiente;
  • Garantir que os contratos cumpram padrões universais de negócio em acordo com requerimentos legais e regulatórios;
  • Gestão de risco devem considerar acordos de confidencialidade ou NDAs (non-disclosure agreements), contratos de consignação, viabilidade continuada do fornecedor;
  • Cumprimento com requerimentos de segurança, fornecedores alternativos, penalidades e recompensas, etc...

DS2.4 Monitoramento do Desempenho do Fornecedor

  • Estabelecer um processo para monitorar a entrega do serviço para garantir que o fornecedor está atingindo os requerimentos do negócio e está continuamente aderente ao acordo contratual e acordo de nível de serviço e que o desempenho está competitivo com os fornecedores alternativos e condições de marcado.

Esses objetivos de controle tratam perfeitamente a necessidade de mapear e acompanhar os riscos da cadeia de valor que é parte do seu negócio.

BCP and Supply Chain

Recentemente o amigo Augusto Paes de Barros comentou um post meu e orientou aos profissionais sobre a necessidade de abrir os olhos sobre os planos de continuidade de negócios dos datacenters. Queria ter escrito sobre isso antes, mas, só agora isso foi possível. A preocupação do Augusto é adequada e muito trabalhada em outros países como os Estados Unidos, que é o estudo do Supply Chain ou cadeia de valores.


Eu sou fã do Cobit, mesmo acompanhando os absurdos cometidos por gestores despreparados e que se deixam levar pelo buzzword do mercado. E um dos controles que eu acho bastante pertinente e adequado para BCM (Business Continuity Management) é o DS2 – Gerenciar Serviços de Terceiros.


O que diz o DS2 do Cobit 4.0?


DS2.1 Identificação de Todos os Relacionamentos com Fornecedores




  • Identificar todos os fornecedores de serviços e categorizá-los de acordo com o tipo de fornecedor, significância e criticidade;



  • Manter documentação formal dos relacionamentos técnicos e organizacional cobrindo os papéis e responsabilidades, objetivos, entregáveis esperados e credenciais dos representantes destes fornecedores.



DS2.2 Gestão de Relacionamento do Fornecedor




  • Formalizar o processo de gestão de fornecedores para cada fornecedor;



  • Um responsável deverá mediar as questões entre o cliente interno e o fornecedor e garantir a qualidade deste relacionamento baseado na confiança e transparência (isto é, por meio de SLA).


DS2.3 Gestão de Risco do Fornecedor




  • Identificar e mitigar os riscos relacionados � capacidade dos fornecedores continuarem a efetivamente entregar o serviço de forma segura e eficiente;



  • Garantir que os contratos cumpram padrões universais de negócio em acordo com requerimentos legais e regulatórios;



  • Gestão de risco devem considerar acordos de confidencialidade ou NDAs (non-disclosure agreements), contratos de consignação, viabilidade continuada do fornecedor;



  • Cumprimento com requerimentos de segurança, fornecedores alternativos, penalidades e recompensas, etc...


DS2.4 Monitoramento do Desempenho do Fornecedor




  • Estabelecer um processo para monitorar a entrega do serviço para garantir que o fornecedor está atingindo os requerimentos do negócio e está continuamente aderente ao acordo contratual e acordo de nível de serviço e que o desempenho está competitivo com os fornecedores alternativos e condições de marcado.




Esses objetivos de controle tratam perfeitamente a necessidade de mapear e acompanhar os riscos da cadeia de valor que é parte do seu negócio.