Documentação para desenvolvimento em Microsoft Visio
Ferramenta que cria fluxograma automaticamente com dados do excel
Muito material sobre gráficos em excel.
31 de outubro de 2007
links for 2007-10-31
30 de outubro de 2007
links for 2007-10-30
Kit de ferramentas para hacking em aplicações web baseado em Lua.
Metodologia do SEI para Análise de Riscos
Tech-Ed 2007 Segurança no Desenvolvimento de Software
Assim como meu amigo Weber Ress vou estar palestrando no Tech-Ed 2007. Minha palestra será sobre o TopTen do OWASP, além da palestra vou estar junto com o Weber no Ask the Experts.
O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.
Tech-Ed 2007
O Tech-Ed será nos dias 6 e 7 de Dezembro, conto com a presença de todos.
Tech-Ed 2007
29 de outubro de 2007
links for 2007-10-29
Checklist para comunicação em situações de crise
SQL Injection em banco de dados Microsoft Access
Trace Files disponibilizados pelo Packet-Level
Lista de livros recomendados por Rob Slade para cada domínio do CBK
Site com muito conteúdo MOF (Microsoft Operations Framework) em português.
Ferramenta que identifica XSS em código .Net
o ACE Team da Microsoft acaba de disponibilizar um plug-in para identificar XSS (Cross Site Scripting) em códigos .Net.
Pesquisa sobre Continuidade de Negócios
A Daryus buscando desenvolver o mercado de Continuidade de Negócios divulga uma pesquisa para entender o mercado Brasileiro de Continuidade de Negócios.
Pesquisa Daryus
A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.
Pesquisa Daryus
A pesquisa pode ser respondida em apenas 10 Minutos. Quem preencher a pesquisa irá receber em primeira mão o resultado.
26 de outubro de 2007
links for 2007-10-26
Dicionário de termos do ITIL v3 em vários idiomas, incluindo o Português.
Ferramenta para auditoria e teste de firewalls
24 de outubro de 2007
23 de outubro de 2007
links for 2007-10-23
Solução Open Source para gestão de informações de estudantes em instituições de ensino
Artigo interessante que ajuda a identificar quando é recomendado utilizar SPAN Port e quando é recomendado usar TAP para monitoramento de rede.
Artigo que dá uma boa visão sobre a utilização de TAP em monitoramento de redes
Uma descrição ilustrada de um ataque de ARP Poisoning.
Cyber-Crime
Há algum tempo as notícias relacionadas a Cyber-Crime estão em evidência nas discussões sobre segurança.
O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.
Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.
A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.
A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.
O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.
O foco das discussões são os riscos que sistemas como SCADA (Supervisory Control And Data Acquisition) podem oferecer. Há algum tempo atrás eu escrevi um post sobre as características e vulnerabilidades dos sistemas SCADA. O filme Duro de Matar 4 trata a briga entre o governo americano e um hacker que é um ex-funcionário do governo que alertou sobre as falhas de segurança nos sistemas e não foi ouvido.
Se já chegou a tela dos cinemas não é de se espantar que os Estados Unidos já possuem áreas e projetos específicos para tratar e responder a incidentes desta natureza.
A CNN divulgou um vídeo de uma prova de conceito de um projeto chamado Aurora que é conduzido pelo Laboratório do Departamento de Energia de Idaho e acompanhado pelo departamento de Home Land Security dos Estados Unidos. O vídeo mostra o gerador se agitando e soltando parafusos, após isso a fumaça toma conta do ambiente. Tudo isso foi disparado através de um sistema SCADA.
A boa notícia é que o mesmo laboratório já executa estes testes há anos e o governo americano já possui um centro de segurança em SCADA no Sandia Labs.
O artigo da CNN gerou uma discussão no Slashdot que pode ser acompanhada neste link e o site tech-faq dá uma visão geral do que é o SCADA.
22 de outubro de 2007
Personal Information Classification
Estou há algum tempo me organizando e desenvolvendo métodos para classificar e cuidar melhor das informações que eu trabalho e manuseio.
A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.
Dentro do volume criptografado eu criei as seguintes pastas:
Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:
Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:
Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.
Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.
Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!
Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.
A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).
Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.
Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.
A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.
Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.
Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.
A primeira coisa que eu fiz foi criar um volume criptografado para armazenar as informações que eu trabalho. Criptografar os dados foi na verdade a parte mais simples, o que mais deu trabalho foi criar um método para forçar a classificação e armazenamento de forma organizada e segura.
Dentro do volume criptografado eu criei as seguintes pastas:
- Projetos
- Desenvolvimento
- Comercial
- Diversos
Na pasta projetos eu crio sempre uma pasta para cada projeto que eu estou trabalhando, da seguinte forma:
- Projetos
- - Projeto x
- - Projeto y
Na pasta desenvolvimento eu armazeno trabalhos, projetos que eu estou desenvolvendo. Nesta pasta eu também crio subpastas, da seguinte forma:
- Desenvolvimento
- - Projeto x
- - Projeto y
Na pasta comercial eu armazeno informações comerciais, de pré-venda que estou trabalhando. Está pasta eu não classifico, pois, após a execução da atividade eu apago e mantenho uma cópia no servidor de arquivos.
Na pasta diversos eu coloco tudo que eu considero informação confidencial mas, não se classifica como as pastas Projetos, Desenvolvimento e Comercial.
Eu procuro não granularizar muito as informações, sempre que eu crio sub, da sub, da sub pasta, eu acabo me enrolando e a coisa não flui. Keep It Simple Stupid!
Para criar o volume criptografado eu uso o TrueCrypt, ferramenta que eu já andei falando por aqui quando descrevi o que eu havia feito no pendrive.
A parte que mais me ajudou na verdade foi uma ferramenta que eu encontrei quando decidi que iria adotar o sistema de tags para os meus arquivos na máquina. A idéia veio porque eu me adaptei e uso muito bem os recursos de tags para o meu repositório de sites favoritos (del.icio.us).
Depois de muita pesquisa o LifeHacker acabou me dando a dica que eu precisava. A ferramenta se chama tag2find. A ferramenta possibilita que você crie etiquetas para todos os documentos que você manipular na máquina. Assim eu posso classificar todo arquivo que eu tenho como Restrito, Confidencial ou Público. A ferramenta coloca uma tag com a informação que eu desejar em cada documento, isso me possibilita que eu pesquise e encontre facilmente os documentos classificados.
Feito estes passos o processo já ficou bem mais práticos e usual, mas eu ainda tinha os inúmeros e-mails trocados diariamente e que continham informações que também podem ser críticas e merecem o mesmo tratamento dos outros arquivos.
A solução foi criar a mesma estrutura de pastas do volume criptografado no outlook. Feito isso eu tinha a organização mas os e-mails ainda estavam no meu .pst junto com todos os outros e-mails. Para resolver isso eu configurei para o outlook armazenar diariamente o conteúdo da pasta na respectiva pasta na máquina. Ou seja, todos os dias o conteúdo da pasta projeto do outlook é armazenado na pasta projeto da máquina, pasta esta que está dentro do volume criptografado.
Para fechar o processo faltava um backup, para garantir a restauração dos dados caso aconteça algum incidente. Para isso eu usei uma ferramenta simples e que foi indicado pelo meu amigo Ronaldo Monteiro, a ferramenta chama DSynchronize. Eu configurei a ferramenta para sincronizar com o servidor a cada 30 Minutos.
Bom, cada um se adapta melhor a um tipo de método, mas esse tem sido bastante prático e as minhas informações e de clientes estão bem tratadas.
21 de outubro de 2007
National Response Framework
Infelizmente os últimos posts e fonte de meus estudos são documentos do governo americano. Infelizmente porque, por mais que o Brasil tenha trabalho em inumeras frentes o que eu mais encontro sobre resposta a incidentes, continuidade de negócios é do Governo Americano. E quem acha que é devido a maior exposição do Estados Unidos está enganado. Hoje o Brasil fala tanto quanto eles, mas as informações quase sempre tem um apelo totalmente comercial e sem fundamento.
Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)
O documento está estruturado da seguinte forma:
Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)
O documento está estruturado da seguinte forma:
Capítulo 1 - Papéis e Responsabilidades;
Capítulo 2 - Ações de Resposta;
Capítulo 3 - Gestão de incidentes;
Capítulo 4 - A estratégia fundamental para estar preparado.
National Strategy for Homeland Security
A Casa Branca acaba de disponibilizar um overview da Estratégia de Segurança Interna do inglês National Strategy for Homeland Security.
Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.
National Strategy for Homeland Security
Para quem está envolvido em continuidade de negócios é um prato cheio. O maior foco do documento publicado é a garantia da resiliência.
National Strategy for Homeland Security
17 de outubro de 2007
Credibilidade da segurança
O Gustavo Bittencourt escreveu sobre a visão de Linus Torvalds sobre segurança. Resumindo, Linus considera que a métrica mais usada em segurança é o "achômetro".
Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.
Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.
Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.
pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.
Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.
Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.
Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.
Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.
pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.
Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.
16 de outubro de 2007
links for 2007-10-16
Artigo muito didático para quem deseja iniciar em programação (principalmente C)
Security Skill
Uma dúvida constante em listas de discussão é qual capacitação um profissional de segurança deve possuir para exercer determinada função em segurança.
Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.
Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development
Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possui uma base internacional para servir como referência.
Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development
15 de outubro de 2007
links for 2007-10-15
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development
Um modelo de maturidade para engenharia de segurança
Ferramenta freeware da microsoft para garantir a configuração e acesso de máquinas compartilhadas (quiosque, cybercafé, etc...)
14 de outubro de 2007
Web Scraping and Password Cracking
Web scraping é uma técnica que consiste em capturar dados, informações de forma automatizada em sites na internet. Alguém lembra do script criado por Kevin Poulsen para procurar profiles de pessoas que poderiam ser pedófilos? Esse é um bom exemplo de web scraping.
A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.
Mas o que tem a ver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.
Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?
Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.
Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!
Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!
Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.
A técnica de web scraping é geralmente executada utilizando linguagens de script (python, bash, perl, etc...). Utilizando expressões regulares é possível capturar dados em sites web facilmente.
Mas o que tem a ver web scraping com password cracking? Todo mundo sabe que além de uma boa ferramenta de ataque de dicionário é importantíssimo uma boa wordlist (lista de palavras). É ai que entra o web scraping, na criação desta wordlist.
Também não é novidade que geralmente os usuários comuns criam senhas associando coisas de seu cotidiano. Pensando nesta características, já pensou o estrago que podemos fazer se criarmos nossos dicionários com base nas informações que as pessoas disponibilizam em sites de redes sociais (orkut, myspace, 1grau, etc...)?
Se você reclama que as wordlists disponiveis na internet são na sua maioria em inglês e não existe wordlist em português, vou dar uma dica! A maioria esmagadora de usuários do orkut são Brasileiros.
Não conhece muitos sites de redes sociais? O wikipedia dá uma forcinha!
Quer procurar dados sobre uma pessoa especifica? A ferramenta evolution da Paterva dá uma forcinha!
Conhece o NGrep? NGrep é um sniffer que acumula a característica do Grep do Unix (utilizado para encontrar padrões de texto em fluxos de caracteres). Ele também pode ser uma mão na roda para criar sua wordlist.
11 de outubro de 2007
links for 2007-10-11
Tutorial detalhando a instalação de uma solução open-source (PushToTest TestMaker) integrada para testes de software.
o Pessoal do blogsecurity.com criou um plugin que altera o prefixo das tabelas padrão do wordpress. Toda tabela do wordpress tem como inicial do nome o prefixo wp_. Isso pode facilitar ataques de sql injection.
10 de outubro de 2007
links for 2007-10-10
Artigo detalhando como funciona um sistema operacional e como desenvolver um.
Ferramenta que monitora todas as chamadas a API realizadas por uma aplicação
Controle de Versão
Dificuldades em implementar um processo de controle de versões de software? Uma estudada neste post do BetterExplained e neste do Wanderley Caloni vai clarear muito as idéias.
Disaster Recovery Game
A FEMA (Federal Emergency Management Agency) disponibiliza para acesso público um game do tipo perguntas e respostas relacionados a ameaças naturais e recuperação de desastres.
Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.
Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.
9 de outubro de 2007
links for 2007-10-09
Ferramenta de gestão de task list com recursos de rss e grupos
Artigo explcando a funcionalidade da ferramenta open-source WebLOAD. A ferramenta fornece um ambiente de performance e carga.
8 de outubro de 2007
links for 2007-10-08
Plugin do wordpress que implementa uma solução de IDS (Intrusion Detection System) baseado no PHPIDS
Paper do pessoal do BlogSecurity sobre segurança em plataforma wordpress
14 falhas de segurança em implementação de VOIP
Framework para desenvolvimento de soluções JAVA orientado a serviços (SOA)
Evento de segurança
Interessado em participar de um evento de segurança com uma abordagem totalmente nova e com palestrantes de renome no mercado nacional e internacional?
Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade!
Então busque seus convites com os patrocinadores do evento ySts v.1.0 . O evento acontece dia 24 de outubro. Não perca essa oportunidade!
6 de outubro de 2007
links for 2007-10-06
- Artigo detalhando a formação de um time com habilidades complementares para alcançar seus objetivos
- Ferramenta de brute force em SSH que também possui recursos para enumerar usuários via timing attacks
Plano de sucessão
Algumas vezes você já pensou como a sua organização iria se comportar caso uma pessoa chave para o negócio não estivesse mais ocupando a posição que ele ocupa hoje?
Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa.
Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave.
Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar.
Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continuidade de negócios e pode garantir a resiliência da sua empresa em situações adversas.
O portal BNET escreveu um artigo sobre a elaboração de um plano de sucessão: Preparing a Sucession Plan
Essa pessoa chave pode ser desde um técnico que é responsável por uma função chave e na qual a atividade é extremamente complexa e carente de profissionais capacitados até principal executivo ou dono da empresa.
Você pode começar o exercício pensando em uma situação normal, abre um processo de seleção, capacita uma pessoa para assumir a função e após algum tempo, erros e acertos, você substitui a pessoa chave.
Agora vamos ser mais pragmáticos! Por alguma infelicidade a pessoa chave não pode mais exercer sua função hoje, neste exato momento. O que pode acontecer? Sua empresa pode enfrentar uma séria crise e muitas vezes se quer se recuperar.
Portanto, sua organização precisa identificar as pessoas chaves e preparar um plano de sucessão. Isso é parte integrante de um processo de continuidade de negócios e pode garantir a resiliência da sua empresa em situações adversas.
O portal BNET escreveu um artigo sobre a elaboração de um plano de sucessão: Preparing a Sucession Plan
5 de outubro de 2007
links for 2007-10-05
Ferramenta desenvolvido com apoio da FIESP para ajudar na elaboração de Business Plan
Ferramenta Open Source de Gerenciamento de UPS
Site que disponibiliza pacotes de intalações completos para soluções open source.
Ferramenta Web para monitoramento de syslog
Artigo da microsoft sobre segurança em terminal service
Artigo da microsoft sobre sessões e segurança em Terminal Services
ERP Open Source
Aplicação Open Source semelhante ao Webex para video conferência via web.
Framework de segurança para aplicações web desenvolvidas em Java
Portal que busca soluções Open Source para softwares comerciais
Ferramenta de gestão comercial baseado em web e desenvolvido em Ruby
Artigo comentando tendências em programação
4 de outubro de 2007
links for 2007-10-04
Ferramenta para defragmentação de discos que possibilita defragmentar arquivos individualmente.
Tutorial de utilização do Subversion com o cliente Tortoise para controle de versões
Metodologia de gerenciamento de projetos.
FUD 2.0
Um termo bastante conhecido entre os profissionais de segurança é FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida). Este termo é usado pelos profissionais para influenciar decisões de compra ou implementações de serviços de segurança.
Usar FUD como justificativa para implementar segurança é pura incompetência e imaturidade do nosso segmento. Usar argumentos como: "Se você não implementar X, vai parar Y" só mostra nossa incapacidade de gerar valor ao negócio e mostrar métricas tangíveis.
Já que o mercado mostra uma dita WEB 2.0 como uma nova visão da antiga internet, porque nós não podemos criar o FUD 2.0 para nosso segmento.
O FUD 2.0 seria uma visão totalmente nova para conseguir o comprometimento do negócio com nossos objetivos e soluções. O acrônimo FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida) seria substiuído por: FUD (Feasibility, Usability, Dashboard - Praticabilidade, Usabilidade, Dashboard).
Qualquer iniciativa de segurança deve no mínimo ter o FUD 2.0, que seria as seguintes características:
Praticabilidade: conceitualmente o melhor dos mundos é uma gestão de alto nível com uma visão estratégica, tática e operacional, mas, antes de qualquer coisa, uma implementação deve ser prática e viável para a organização. Muitas vezes precisamos abrir mão do certo pelo justo. Isto é gestão de riscos. Quando colocamos todos os pontos necessários como mandatório estamos fazendo Compliance e não gestão de riscos.
Usabilidade: de nada adianta implementar vários controles se a organização não se adaptar e não se tornar parte da cultura da organização.
Dashboard: sim, segurança também deve mostrar seus indicadores, métricas comprovando a eficácia dos controles implementados. É necessário mostrar o valor que se criou ao negócio após a implementação de segurança.
Alguém deve estar se perguntando, qual é a grande novidade do FUD 2.0? Nenhuma! Existe alguma novidade na Web 2.0? Também não. Assim como a web 2.0 o FUD 2.0 é apenas uma visão mais adequada e buscando resultados melhores.
Usar FUD como justificativa para implementar segurança é pura incompetência e imaturidade do nosso segmento. Usar argumentos como: "Se você não implementar X, vai parar Y" só mostra nossa incapacidade de gerar valor ao negócio e mostrar métricas tangíveis.
Já que o mercado mostra uma dita WEB 2.0 como uma nova visão da antiga internet, porque nós não podemos criar o FUD 2.0 para nosso segmento.
O FUD 2.0 seria uma visão totalmente nova para conseguir o comprometimento do negócio com nossos objetivos e soluções. O acrônimo FUD (Fear, uncertainty and doubt - Medo, Incerteza, Dúvida) seria substiuído por: FUD (Feasibility, Usability, Dashboard - Praticabilidade, Usabilidade, Dashboard).
Qualquer iniciativa de segurança deve no mínimo ter o FUD 2.0, que seria as seguintes características:
Praticabilidade: conceitualmente o melhor dos mundos é uma gestão de alto nível com uma visão estratégica, tática e operacional, mas, antes de qualquer coisa, uma implementação deve ser prática e viável para a organização. Muitas vezes precisamos abrir mão do certo pelo justo. Isto é gestão de riscos. Quando colocamos todos os pontos necessários como mandatório estamos fazendo Compliance e não gestão de riscos.
Usabilidade: de nada adianta implementar vários controles se a organização não se adaptar e não se tornar parte da cultura da organização.
Dashboard: sim, segurança também deve mostrar seus indicadores, métricas comprovando a eficácia dos controles implementados. É necessário mostrar o valor que se criou ao negócio após a implementação de segurança.
Alguém deve estar se perguntando, qual é a grande novidade do FUD 2.0? Nenhuma! Existe alguma novidade na Web 2.0? Também não. Assim como a web 2.0 o FUD 2.0 é apenas uma visão mais adequada e buscando resultados melhores.
3 de outubro de 2007
links for 2007-10-03
Glossário de termos sobre Socket Programming
Extensão do firefox para realizar back-up de todas as configurações do Firefox
Preparando aulas
O site BetterExplained é uma excelente ferramenta para quem possui facilidade em aprender com imagens.
A maioria dos posts são relacionados a desenvolvimento de software, mas o site trata outros assuntos. Eu acho uma excelente fonte para desenvolver materiais de aula.
Um exemplo de um post sobre MVC (Model, View, Controller).
A maioria dos posts são relacionados a desenvolvimento de software, mas o site trata outros assuntos. Eu acho uma excelente fonte para desenvolver materiais de aula.
Um exemplo de um post sobre MVC (Model, View, Controller).
2 de outubro de 2007
links for 2007-10-02
API do PHP para implementar internacionalização de aplicações.
Artigo explicando o funcionamento do PHPsurveyor. Projeto open source de criação de formulários de pesquisas
1 de outubro de 2007
links for 2007-10-01
Site que gera um relatório de análise de DNS.
Um artigo comentando uma falha no excel 2007 devido uma falha na apresentação de resultados de cáculos com base na IEEE 754 (padrão para pontos flutuantes)
Versão Beta do MSDN Library em português. A tradução é automatica, mas já ajuda quem não domina o inglês.
Como utilizar o DBdesigners para projetar e gerenciar bases de dados MySQL
Assinar:
Postagens (Atom)