20 de fevereiro de 2008

O novo cenário do mercado globalizado e a segurança da informação

O incentivo ao avanço tecnológico, assim como a necessidade de renovação processual cumpre um papel essencial na formulação do sistema de formação de quadros que corresponde às necessidades. A nível organizacional, o desenvolvimento contínuo de distintas formas de atuação é uma das consequências das diversas correntes de pensamento. No mundo atual, a consulta aos diversos militantes deve passar por modificações independentemente do processo de comunicação como um todo. Desta maneira, a valorização de fatores subjetivos oferece uma interessante oportunidade para verificação dos níveis de motivação departamental.

A certificação de metodologias que nos auxiliam a lidar com a estrutura atual da organização possibilita uma melhor visão global das condições inegavelmente apropriadas.

Calma pessoal! Não estou ficando louco e estou longe de ser prolixo, apenas estou utilizando uma ferramenta muito usada por consultores, doutores e qualquer tipo de charlatão, o Fabuloso Gerador de Lero-lero v2.0.
"O Fabuloso Gerador de Lero-lero v2.0 é capaz de gerar qualquer quantidade de texto vazio e prolixo, ideal para engrossar uma tese de mestrado, impressionar seu chefe ou preparar discursos capazes de curar a insônia da platéia. Basta informar um título pomposo qualquer (nos moldes do que está sugerido aí embaixo) e a quantidade de frases desejada. Voilá! Em dois nano-segundos você terá um texto - ou mesmo um livro inteiro - pronto para impressão. Ou, se preferir, faça copy/paste para um editor de texto para formatá-lo mais sofisticadamente. Lembre-se: aparência é tudo, conteúdo é nada."

Gerador de Lero-Lero 2.0

SAP Security

Eu nunca tive a oportunidade de desenvolver em ABAP (linguagem utilizada para desenvolvimento em ambiente SAP R-3), por isso uma coisa me deixava curioso. Em ambientes deste tipo é comum o desenvolvedor abrir a suíte de desenvolvimento (IDE) de qualquer máquina. Curioso e questionador como sempre fui, fiquei com uma dúvida durante algum tempo, existe algum tipo de controle na comunicação entre as máquinas que se conectam ao repositório de códigos?

Hoje lembrei e dei uma pesquisada no google. A IDE chamada SAPGui ou o ambiente de desenvolvimento SAP R-3 SAP@Studio Home se conecta a um gateway de serviços chamado ITS (Internet Transaction Server) e a comunicação é toda criptografada usando uma implementação de 3Des.

SAPGui

ITS - SAP

Aos curiosos como eu, segue uma referência.
http://www.erpgenie.com/sap/its/security.htm
http://www.erpgenie.com/sap/its/its_components.htm

Tenho muito interesse sobre segurança em ambientes SAP, quem quiser trocar informações estou a disposição!

14 de fevereiro de 2008

Vazamento de Informação na Petrobras

O roubo de informações confidenciais sobre as operações da Petrobras é um evento que pode trazer inúmeras lições sobre segurança da informação. A Policia Federal trabalha com inúmeras hipóteses, do simples roubo de equipamentos a espionagem industrial envolvendo a Petrobras e a Halliburton.
"PETROBRAS: Tinha reservas estimadas em 14,4 bilhões de barris, o que colocava o Brasil em 24º lugar no ranking das maiores reservas mundiais. Isso até as descobertas de Tupi - a partir da bacia de Santos. Supõe-se que o Brasil salte agora para a 8ª ou 9ª posição neste ranking.

A Petrobras é a quinta empresa do mundo entre as que têm grandes reservas e operam em Bolsas de Valores. Com as descobertas recentes deve saltar para o terceiro lugar.

O lucro da Petrobras em 2006 foi recorde: R$ 25,9 bilhões, um aumento de 9% em relação aos R$ 23,7 bilhões em 2005.

HALLIBURTON: é tida como a maior empresa de serviços em campos de petróleo mundo afora.

Com a Petrobras a Halliburton já assinou um contrato de US$ 2,5 bilhões, considerado, à época, o maior do mundo no setor.

Entre outros itens, o contrato previa a entrega de dois navios-plataforma para exploração de petróleo na Bacia de Campos.

Houve desentendimentos e o banzé foi bater na Comissão das Nações Unidas para Lei do Comércio Internacional (Uncitral), mas a questão foi resolvida e essa é outra conversa. É aqui relatada de passagem apenas para que se tenha uma dimensão da parceria e dos atores.

Certamente tudo caminha bem, uma vez que, em agosto passado, Petrobras e Halliburton fecharam novo contrato, este na ordem dos US$ 270 milhões."

Fonte: http://terramagazine.terra.com.br/interna/0,,OI2430297-EI6578,00.html

Lições:

1 - Como diria Marcus Ranum, segurança é transitiva. Toda a cadeia deve ser protegida;
2 - Incidentes podem acontecer por mais que todos os controles estejam implementados. Como responder a incidentes destas proporções?
3 - Segurança da Informação é mesmo coisa para ser tratado por tecnologia?

10 de fevereiro de 2008

Controle e Distribuição de Planos (BCP)

No meu último post sobre BCP, algumas considerações apareceram, a primeira delas do meu amigo Paulo Teixeira, tratava da necessidade de se manter planos atualizados e disponíveis. Vou falar um pouco sobre minha experiência em controle e distribuição de planos. O comentário do colega Fabio Urias será respondido em outro post sobre conscientização e treinamento.

A primeira coisa que devemos deixar bem claro quando falamos de controle e distribuição dos planos é a diferença entre documentação física e digital. Vamos começar tratando as características comuns sobre os dois tipos.

Organização

Os planos devem estar disponíveis/acomodados de maneira organizada e com índices/ferramentas que facilitem a pesquisa e consulta.

Controle de Versão e Alteração

A base para um controle eficaz de toda documentação é o controle das alterações e versões de cada documento. É necessário documentar todas as alterações realizadas em cada documento e saber exatamente quais são as versões atuais e que estão em uso no plano.

Granularização dos Planos

Para se obter o sucesso na Resposta a Incidentes é necessário que o Plano de Continuidade de Negócios da organização esteja dividido em vários Planos/Procedimentos que será distribuído a cada responsável. Na minha opinião uma falha grave é distribuir um book (um amontoado de papel descrevendo tudo que está definido como procedimentos de resposta). Cada indivíduo responsável por alguma atividade de resposta deve possuir apenas sua parte do plano e ser gerenciado por um coordenador de posse de um plano macro que irá definir quando cada atividade será executada.

Distribuição Controlada

Como é necessário distribuir vários documentos a indivíduos distintos da organização deve ser implementado um processo onde as alterações dos planos devem ser analisadas, visando a distribuição ou não de novas versões. Estes planos devem estar classificados de acordo com a política de classificação da empresa e sempre que for identificado a necessidade de uma nova versão um procedimento deve ser executado para distribuir estes documentos.

Cópias Alternativas

Cópias alternativas dos planos devem ser mantidas off-site (site ou local alternativo) e um procedimento para facilitar o acesso deve ser de conhecimento de todos. 

Testes dos Planos

Como uma alteração no Plano de Continuidade de Negócios da Organização pode ser demandada por qualquer área/indivíduo é necessário criar gatilhos para identificar a necessidade de testes dos planos. Estes testes são atipicos, portanto são planos extras, além dos testes programados no programa de testes.

Após a definição clara de um processo de Controle e Distribuição de Planos que leve em considerações as características comentadas, devemos ficar atento a características de cada tipo de documento.

Documento Digital

Os documentos digitais (word/excel/pdf/*) são a base para a disponibilização dos documentos físicos. Além de estar atualizados, escritos de forma clara e concisa é necessário que ele esteja disponível e acessível por todos os envolvidos na resposta a incidentes. É imprescindivel que estes documentos possuam um controle de acesso e backups eficazes. Ferramentas de Gestão de Continuidade podem ajudar a organização dos planos digitalmente.

Documento Físico

Apesar de muitos acharem que tudo se resume ao mundo digital e tecnologia, os planos distribuídos no bom e velho papel cumprem papel importante em muitas situações. Não são poucas as situações onde não vamos dispor de recursos tecnológicos para acessar aquela ferramenta que gastamos uma fortuna ou aquele documento digital disponível em um repositório na rede da organização. Para distribuição destes planos é necessário estabelecer procedimentos formais suportados por formulários específicos para documentar cada ação.

Estes formulários alem de servir como evidência para auditoria tem papel fundamental na troca de versões. O formulário irá documentar a troca e formalizar a destruição física (fragmentação de papel) do documento antigo. Isso irá garantir que apenas versões atuais e funcionais vão estar disponíveis.

Estas são características essenciais para que uma organização possa usar seu Plano de Continuidade de Negócios e consiga responder de forma adequada a incidentes que possam interromper as suas atividades.

4 de fevereiro de 2008

Novidades OWASP

Eu estava esperando algumas coisas se resolverem para eu anunciar algumas novidades sobre o OWASP.

Por problemas de comunicação o owasp.org acabou criando mais um capítulo no Brasil. Antes nós eramos capítulo Brasil, quando percebemos havia sido criado o capítulo São Paulo e nós viramos capítulo Brasília.

O Alfredo Luiz então líder do capítulo São Paulo entrou em contato comigo, conversamos e decidimos entrar em contato com o owasp.org e unir as forças e não criar um novo capítulo. Nosso pedido foi aceito e tudo está resolvido. Agradeço ao Alfredo pela compreensão e agora vamos tocar os trabalhos.

Agora as boas notícias do OWASP:

1 - Recentemente foi finalizado e entregue a tradução do Top Ten 2007;
2 - Foi disponibilizado uma série de livros sobre o OWASP que podem ser baixados gratuitamente.

Quero agradecer ao Rodrigo "Spooker" Montoro que tem dado gás a iniciativa e foi fundamental para a tradução.

Falando em tradução, fica aqui os agradecimentos ao pessoal que participou da tradução:

  • Cleber Brandão “Clebeer”;

  • Fabricio Ataides Braz;

  • Marcos Aurélio Rodrigues;

  • Myke Hamada;

  • Rodrigo “Sp0oKer” Montoro;


Leonardo Cavallari - Organizador e Responsável pela tradução

Convido a todos a apreciar o trabalho e participar da lista de discussão do capítulo.

2 de fevereiro de 2008

Storage Engine MySQL

O banco MySQL é muito usado em projetos web e é base para muitas das novidades da web hoje. Para quem utiliza banco de dados MySQL (Agora SUN) uma boa notícia.

A boa notícia é que, Michael "Monty" Widenius o desenvolvedor e fundador da MySQL, divulgou o lançamento de um novo Storage Engine para o Banco de Dados MySQL. O novo engine se chama Maria, nome da terceira filha de Monty.

Storage Engine é arquitetura responsável por manter o armazenamento dos dados e tabelas do SGBD (Sistema Gerenciador de Banco de Dados).

O MySQL tem dois tipos principais de Storage Engine:

MyISAM antiga ISAM

Storage Engine default do MySQL que tem como característica não ter controle de transações (commit/rollback). Ele vem setado como default por  oferecer mais performance frente ao outro Storage Engine, o InnoDB.

InnoDB

é o Storage Engine para quem necessita de suporte para transações ACID (Atomicidade, Conscistência, Isolamento e Durabilidade). Como é de se esperar ele possui performance inferior ao MyISAM.

Além destes também pode-se optar por outros descritos no próprio site da MySQL.

O Maria vem para suprir um problema sério do MyISAM, a falta de controles contra falhas. Bancos de dados que optam por MyISAM costumam sofrer com paradas abruptas na máquina ou processos que suportam o SGBD. É comum estas tabelas corromperem e dar uma boa dor de cabeça.

Além do controle a falha o MyISAM promete em futuras versões dar suporte a ACID. Veja os detalhes na documentação disponível.

Portanto, após algum tempo de testes sugiro aos desenvolvedores que olhem com mais carinho para seus bancos MySQL.