24 de abril de 2006
ISO 17799:2000 x ISO 17799:2005
Planilha
ISO 17799:2000 x ISO 17799:2005
Planilha
20 de abril de 2006
Framework para Assessment
Mais enquanto isso não acontece, de uma olhada nesse documento criado pelo OISSG (Open Information System Security Group). O documento possui 1.236 páginas e está atualizado e baseado em padrões como Cobit, COSO, ISO 27001, SAS70 e sessão 404 da SOX.
Excelente material para quem deseja realizar uma análise em um ambiente e não tem um guide.
ISSAF
http://www.oissg.org/component/option,com_docman/
task,doc_download/gid,4/Itemid,134/
OSSTMM
http://www.isecom.org/osstmm/
OISSG
http://www.oissg.org/
Framework para Assessment
Mas enquanto isso não acontece, de uma olhada nesse documento criado pelo OISSG (Open Information System Security Group). O documento possui 1.236 páginas e está atualizado e baseado em padrões como Cobit, COSO, ISO 27001, SAS70 e sessão 404 da SOX.
Excelente material para quem deseja realizar uma análise em um ambiente e não tem um guide.
ISSAF
http://www.oissg.org/component/option,com_docman/
task,doc_download/gid,4/Itemid,134/
OSSTMM
http://www.isecom.org/osstmm/
OISSG
http://www.oissg.org/
19 de abril de 2006
Uma questão de maturidade
Há algum tempo eu venho estudando e utilizado o framework do Cobit como uma ferramenta para assessent, principalmente projetos buscando a adequação de controles a SOX.
Eu acho o Cobit uma excelente ferramenta, mais não a solução para todos os problemas, até porque muitos controles do Cobit são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: Cobit é somente uma ferramenta, não adianta Zé CSO cobrar adequação ao Cobit em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do Cobit?
Mais o que me levou a tocar no assunto Cobit foi a questão de maturidade, assim como o CMM-I o Cobit também classifica a maturidade dos processo em cinco níveis:
1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado
Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o Cobit propõe.
Olhando para segurança já ficamos bastante desamparados, por isso o título desse post, será que falta maturidade em nosso segmento, para o fortalecimento e reconhecimento de inúmeras iniciativas como a do Cobit? O Cobit endereça muitos controles de segurança, mais esse é o caso, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.
Ainda temos pouquisimos indicadores, métricas em segurança, ou se já temos tudo eles estão espalhados por todo canto, um pouco em documentos do NIST, um pouco no Cobit, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.
Cobit - http://www.isaca.org
Uma questão de maturidade
Há algum tempo eu venho estudando e utilizado o framework do CobiT como uma ferramenta para análise, principalmente projetos buscando a adequação de controles a SOX.
Eu acho o CobiT uma excelente ferramenta, mas não a solução para todos os problemas, até porque muitos controles são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: CobiT é somente uma ferramenta, não adianta Zé CSO cobrar adequação a ele, em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do CobiT?
O que me levou a tocar no assunto foi a questão de maturidade, assim como o CMM-I o CobiT também classifica a maturidade dos processo em cinco níveis:
1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado
Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o CobiT propõe.
Olhando para segurança já ficamos bastante desamparados, por isso o título desse post. Será que falta maturidade em nosso segmento para o fortalecimento e reconhecimento de inúmeras iniciativas que existem relacionadas a Segurança? Pergunto isto pois, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.
Ainda temos pouquíssimos indicadores, métricas em segurança. Elas estão espalhadas por todo canto, um pouco em documentos do NIST, um pouco no CobiT, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.
CobiT - http://www.isaca.org
5 de abril de 2006
VOIP Security
Eu estive dando uma olhada em uma ferramenta chamada SiVuS, ele faz scan de vulnerabilidades em protocolos de VOIP. Em pensar que essa semana vi algumas pessoas falando que desconheciam ataques em VOIP. Essa ferramenta é só mais uma, porque o cain já fazia algumas coisas relacionadas a VOIP.
SiVuS 1.0.9
http://www.vopsecurity.org/sivus-1.09.exe
MD5 Digest 3597881bd3924e1d07d532c8f9134052
Guide
http://www.vopsecurity.org/SiVuS-User-Doc.pdf
Artigo sobre ataque em VOIP (Securityfocus)
http://www.securityfocus.com/infocus/1862/1
VOIP Security
Eu estive dando uma olhada em uma ferramenta chamada SiVuS, ele faz scan de vulnerabilidades em protocolos de VOIP. Em pensar que essa semana vi algumas pessoas falando que desconheciam ataques em VOIP. Essa ferramenta é só mais uma, porque o cain já fazia algumas coisas relacionadas a VOIP.
SiVuS 1.0.9
http://www.vopsecurity.org/sivus-1.09.exe
MD5 Digest 3597881bd3924e1d07d532c8f9134052
Guide
http://www.vopsecurity.org/SiVuS-User-Doc.pdf
Artigo sobre ataque em VOIP (Securityfocus)
http://www.securityfocus.com/infocus/1862/1
4 de abril de 2006
Tom Peltier
Para quem quer saber mais sobre o trabalho dele e de seus associados segue o site e uma newsletter que eu recomendo.
Peltier Assiciates
http://www.peltierassociates.com/
Newsletter
http://www.peltierassociates.com/ccmail/index.php
Arquivos
http://www.peltierassociates.com/newsletter.htm
CMMI Online
CMMI Online - http://www.borland.com/br/services/cmmi.html
Virtual Machine
Mais o que eu quero com uma Virtual Machine? Além de consolidação de servidor eu cito a opção de montar um laboratório de testes, eu já utilizei muitas vezes o virtual PC que possui menos recursos, para testar aplicações em outros sistemas operacionais.
Virtual Server 2005 R2 Enterprise Edition for Free
http://www.microsoft.com/windowsserversystem/
virtualserver/software/default.mspx
Documentação Virtual Server 2005
http://technet2.microsoft.com/WindowsServer/en/Library/
bcc5e200-88af-4a64-963b-55f1efb251d11033.mspx
Tom Peltier
Para quem quer saber mais sobre o trabalho dele e de seus associados segue o site e uma newsletter que eu recomendo.
Peltier Assiciates
http://www.peltierassociates.com/
Newsletter
http://www.peltierassociates.com/ccmail/index.php
Arquivos
http://www.peltierassociates.com/newsletter.htm
CMMI Online
CMMI Online - http://www.borland.com/br/services/cmmi.html
Virtual Machine
Mas o que eu quero com uma Virtual Machine? Além de consolidação de servidor eu cito a opção de montar um laboratório de testes, eu já utilizei muitas vezes o virtual PC que possui menos recursos, para testar aplicações em outros sistemas operacionais.
Virtual Server 2005 R2 Enterprise Edition for Free
http://www.microsoft.com/windowsserversystem/
virtualserver/software/default.mspx
Documentação Virtual Server 2005
http://technet2.microsoft.com/WindowsServer/en/Library/
bcc5e200-88af-4a64-963b-55f1efb251d11033.mspx
3 de abril de 2006
Personal Protection
Ele é simples, mais rápido, leve e a instalação é feito via pacote msi, o que facilita a distribuição em uma rede com Active Directory.
GesWall - http://www.gentlesecurity.com/
Personal Protection
Ele é simples, mais rápido, leve e a instalação é feito via pacote msi, o que facilita a distribuição em uma rede com Active Directory.
GesWall - http://www.gentlesecurity.com/
The Bug Magazine
Foi lançado dia 01 de Abril, e não é mentira, a revista online The Bug Magazine mais voltada ao underground.
The Bug Magazine - http://www.thebugmagazine.org/
The Bug Magazine
Foi lançado dia 01 de Abril, e não é mentira, a revista online The Bug Magazine mais voltada ao underground.
The Bug Magazine - http://www.thebugmagazine.org/