Archive for category Segurança da Informação (SI)

Lidar com os conflitos em Projetos

Publicado por Aldo Silva em Processo de Negócio, Segurança da Informação (SI) em 29/03/2012

Existe muito amadorismo nas relações entre as pessoas envolvidas num projeto quando o assunto é “conflito”. Muitos agem pelo instinto. Não que ele não seja importante, porém, agir apenas instintivamente pode levá-lo a um desgaste muito grande durante o projeto.

 Existem inúmeras maneiras de se lidar com conflitos nos projetos. As mais comuns são:

 1- Negação ou retração – ocorre quando você, submetido a uma situação de conflito, prefere “negar” que ele existe. É um “fazer de conta que”.

 2- Supressão ou apaziguamento – é a técnica que é empregada para “acalmar os ânimos” dos envolvidos no conflito.

 3- Poder ou dominação – é o mecanismo empregado pelo uso de algum tipo de autoridade que se possua: hierárquica, técnica, persuasão, conhecimento de regras e leis, etc.

4- Acordo ou negociação – refere-se à criação de “moedas de troca” que possam ser utilizadas, trocadas por outras “moedas”, na busca por um determinado resultado ou posição.

5- Integração ou colaboração – é a forma de tratar conflitos que procurem fazer com que os envolvidos tenham clareza de posição, tanto do projeto como individual, e possam ajustar os seus encaminhamentos para um ponto que seja comum.

A negação ou retração é aplicada quando você não pode vencer. Desta forma, você “bate de retirada” desta situação. Outras vezes você precisa apenas ganhar mais tempo para analisar determinada demanda. Nesta situação a retração é uma das melhores técnicas a serem aplicadas. O conflito não é dado por encerrado, e enquanto isto você adquire mais informações e argumentos sobre o assunto em pauta. Outras vezes, utiliza-se esta técnica para preservar a sua neutralidade ou reputação – como gestor do projeto ou mesmo como especialista.

A supressão ou apaziguamento é uma técnica empregada no tratamento de conflitos em projetos quando se quer atingir um objetivo extremamente difícil e é preciso contar com o apoio de todos os envolvidos no projeto. Por vezes, é preciso manter a harmonia entre as pessoas e esta técnica é, então, a mais indicada. Por outro lado, quando você vê que vai perder mesmo, empregue esta técnica e mantenha um bom clima de relacionamento dentro do projeto.

O poder ou dominação é uma técnica que você aplica quando cresce o conflito e você sabe que tem razão. A força também é aplicada em situações de “ou ele ou eu”, “tudo ou nada”. Nestas circunstâncias você não pode titubear frente ao seu, então, “oponente”. Uma circunstância onde aplicamos esta técnica é quando estamos frente a uma situação de elevado risco. Ser decisivo, preciso e não deixar nenhuma margem para dúvidas, nestas circunstâncias, passa a ser fundamental para a continuidade do projeto.

O acordo ou negociação é aplicado quando as duas partes precisam vencer. Ambas preparam o que querem, identificam, também, “moedas de troca” para serem utilizadas durante as negociações, pois sabem que terão que “queimá-las” no processo de negociação. Em situações onde você não pode vencer, você abre a negociação com o intuito de permitir que a outra parte crie a condição de arrebatar argumentos que permitam a você vencer a negociação. Outras vezes, você não tem certeza que está com a razão. Aí você abre a negociação para, inclusive, angariar argumentos que dêem sustentação ao seu posicionamento.

A integração ou colaboração, que é a única maneira aonde o conflito realmente é eliminado, é empregada quando existem condições de envolvimento e motivação das pessoas frente ao projeto. Quando o objetivo do projeto é tido como sendo “seu” objetivo. Buscamos este tipo de solução para os conflitos para reduzir custos no projeto ou quando sabemos que as habilidades se complementam e que o sucesso virá apenas com a colaboração das partes. Outra circunstância na qual a busca da colaboração é requerida é quando há confiança na capacidade técnica do outro.

Apenas por meio da integração é que conseguimos, de fato, solucionar o conflito. As outras formas são, entretanto, muito úteis a um projeto, pois permitem dar sequencia às atividades planejadas, buscando o cumprimento dos prazos. É importante lembrar que o papel do gerente nem sempre é o de solucionar os conflitos. Ele o trata para que o projeto continue.

Material de estudo – Gerenciamento de Projetos – Catho Executivo

leia também : KPI Gerenciamento de Incidente

,

Deixe um Comentário

Diretrizes Para Um Projeto Seguro

Publicado por Aldo Silva em Segurança da Informação (SI) em 28/03/2012

Existem diretrizes gerais que têm aplicabilidade ampla quando se projetam soluções de proteção de sistema que encapsulam boas práticas de projeto para sistemas seguros. As dez diretrizes de projeto que Sommerville (2007) orienta, tem como objetivo tanto de conscientizar os pontos críticos de segurança, como também ser um checklist de revisão que pode ser usada no processo de validação de sistema. Vamos a elas:

Diretriz 1: Basear as decisões de proteção em uma política de proteção explícita

Uma política de proteção deve definir o “que” da proteção, no lugar de “como”. A política não deve definir mecanismos usados para prover e fazer cumprir a proteção. Os projetistas devem, portanto, consultar a política de proteção quando ela provê um framework para tomar e avaliar decisões de projeto.

Diretriz 2: Evitar um ponto único de falha

Num sistema crítico é uma boa prática evitar um ponto único de falha. Pois  uma falha única, numa parte do sistema, pode resultar na falha geral de sistemas. Em termos de proteção, isso significa que você não deve contar com um único mecanismo para assegurar a proteção, mas deve empregar várias técnicas distintas. Pode-se chamar isso de “defesa em profundidade”.

Para proteger a integridade de dados o sistema, você poderia manter um log de todas as mudanças feitas nos dados, de modo que, se ocorrer uma falha, você poderá examinar o log para recriar o conjunto de dados.

Diretriz 3: Falhar de maneira protegida

Nenhuma falha de sistema deve possibilitar a um agressor acesso aos dados que não seria normalmente permitido. Portanto, embora as falhas de sistema sejam inevitáveis, os sistemas críticos de segurança devem sempre falhar de maneira segura (fail-safe) e sistemas críticos de proteção devem sempre falhar de maneira protegida (fail-secure).

Um uso dessa filosofia seria, por exemplo, a técnica de numa aplicação cliente/servidor deixar um pequeno arquivo no computador cliente para facilitar o acesso aos dados. Uma vez utilizado do serviço, esse arquivo é eliminado. No entanto, em caso de falha esse arquivo poderá ficar inseguro. Uma estratégia seria de manter essa mesma técnica, mas com o arquivo criptografado, impossibilitando a leitura desses dados por pessoas não autorizadas.

Diretriz 4: Equilibrar proteção e facilidade de uso

À medida que um sistema aumenta suas características de proteção, é inevitável que ele se torne menos fácil de usar. Um bom exemplo seria os atuais sistemas bancários na Internet. Exigem tantas chaves para acessarmos os dados, que muitas vezes provocam irritação, e perda de tempo.

Portanto, chega-se a um ponto em que é contraproducente manter a adição de novas características de proteção à custa da facilidade de uso. Por exemplo, se você exigir que os usuários insiram várias senhas ou alterem suas senhas com uma constância muito pequena, eles simplesmente escreverão suas senhas em algum lugar. Um agressor poderá, então, encontrar as senhas e obter acesso ao sistema.

Diretriz 5: Estar ciente da possibilidade de Engenharia Social

Em Segurança da informação, chama-se Engenharia Social as práticas utilizadas para obter acesso à informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações que não necessita da força bruta ou de erros em máquinas. Explora as falhas de segurança das próprias pessoas que, quando não forem devidamente treinadas para esses ataques, podem ser facilmente manipuladas.

Do ponto de vista de projeto, enfrentar a Engenharia Social é muito difícil. Mecanismos de registro que acompanham a localização e a identificação dos usuários e os programas de análise de registros podem também ser úteis, na medida em que permitem detectar brechas de proteção.

Diretriz 6: Usar redundância e diversidade para reduzir riscos

Redundância significa que você mantém mais de uma versão de software ou de dados no sistema. Diversidade, quando aplicada ao software, significa que versões diferentes não devem ser baseadas na mesma plataforma ou usar as mesmas tecnologias. Portanto, uma vulnerabilidade de plataforma ou de tecnologia não afetará todas versões e, dessa maneira, conduzirá a falhas de modo comum.

Um aplicação dessa diretriz seria utilizar sistemas operacionais diferentes no cliente e no servidor (por exemplo Linux no servidor e Windows no cliente). De modo a assegurar que um ataque baseado na vulnerabilidade de algum desses sistemas operacionais não afete o servidor e o cliente simultaneamente.

Diretriz 7: Validar todas as entradas

Um ataque comum ao sistema envolve o fornecimento de entradas inesperadas ao sistema que causam um comportamento imprevisto.  Pode-se evitar muito desses problemas ao se projetar uma validação de entradas no sistema. Essencialmente, nunca deve-se aceitar nenhuma entrada sem aplicar alguma verificação sobre ela.

Por exemplo, ninguém possui um sobrenome com mais de 70 caracteres e nenhum endereço é maior do que 100 caracteres. Se usar menus para apresentar as entradas permitidas, pode-se evitar alguns dos problemas de validação de entradas.

Diretriz 8: Compartilhar seus ativos

Deve-se organizar a informação no sistema de modo que os usuários somente tenham acesso à informação de que necessitam, no lugar de toda a informação do sistema. Pode-se também precisar de mecanismos no sistema para conceder acessos inesperados. Nessas circunstâncias, pode-se usar um mecanismo de proteção alternativo para ignorar a compartimentalização do sistema.

Diretriz 9: Projetar para implantação

Muitos dos problemas de proteção surgem porque o sistema não está configurado corretamente quando é implantado no seu ambiente operacional. Deve-se, portanto, projetar sempre os sistemas de modo que os recursos sejam incluídos para simplificar a implantação e para verificar erros potenciais de configuração e omissões do sistema implantado.

Diretriz 10: Projetar para capacidade de recuperação

Independentemente de quanto esforço você dispense na manutenção de proteção do sistema, você deve sempre projetar o seu sistema com a hipótese de que uma falha de proteção possa ocorrer. Portanto, você deve pensar em como se recuperar de possíveis falhas e restaurar o sistema para um estado operacional seguro.

Por exemplo, suponhamos um ataque externo aonde uma pessoa não autorizada tenha obtido uma combinação válida de login e senha. Você precisa, portanto, projetar seu sistema para negar acesso a qualquer pessoa até que todos usuários tenham alterado suas senhas e autenticar usuários reais. Uma maneira de fazer isso seria usar um mecanismo do tipo desafio/resposta, no qual os usuários precisam responder a questões para as quais possuam respostas pré-registradas. Isso seria invocado somente quando as senhas fossem alteradas.

Material Engenharia de Software no MBA – Esab

leia também Protegendo seu Servidor de Banco de Dados

,

1 Comentário

Análise de Risco

Publicado por Aldo Silva em Segurança da Informação (SI) em 24/01/2012

Análise de Risco é uma medida que busca avaliar qual a real probabilidade de que ameaças se concretizem utilizando as vulnerabilidades existentes, além de identificar os possíveis impactos que possam ser causados. A análise de riscos tem como resultado uma lista de problemas que devem ser priorizados, uns dos principais objetivos é diagnosticar a situação da segurança da informação na organização e recomendar ações para cada vulnerabilidade mapeada.

metodologias de análise de riscoUma Análise de Risco bem realizada poderá garantir a confidencialidade, a disponibilidade e a integridade das informações nas empresas.

A tarefa da análise de riscos é identificar os processos comerciais da organização em que se deseja implementar ou analisar o nível de segurança da informação. Na definição do escopo do projeto de análise de riscos, delimita-se o universo dos ativos sobre os quais oferecerão suas recomendações, com base na relevância do processo para a empresa no intuito de alcançar os objetivos da organização. De acordo com (Sêmola , 2003), fazem parte de uma análise de risco:

  • Processos de Negócio: Identificar junto aos gestores e colaboradores os Processos de Negócio existentes na Empresa.
  • Ativos: Identificar os ativos que serão considerados na Análise de Risco: Pessoas,Infra-estrutura, Aplicações, Tecnologia e informações.
  • Vulnerabilidades: Identificar as vulnerabilidades existentes nos ativos que possam causar indisponibilidade dos serviços ou serem utilizadas para roubo das suas informações.
  • Ameaças: Identificar os agentes que podem vir a ameaçar a empresa.
  • Impacto: tendo identificado as vulnerabilidades e ameaças, identificamos o impacto que estes podem causar na Empresa. Como roubo de informação, paralisação de serviços, perdas financeiras entre outros.

Ao definir o escopo, é importante considerar que os processos podem ser uma atuação da organização frente ao mercado, uma funcionalidade interna e externa, uma atividade exercida, ou um produto elaborado, precisando de toda a organização para se tornar viáveis.

A seguir será abordada a análise técnica de segurança, que é realizada na análise de riscos.

1 – Análise técnica de segurança

A análise técnica de segurança representa um dos pontos-chave na análise de riscos da empresa. Como já mencionado anteriormente, as informações são, hoje em dia, um dos principais ativos nas empresas, e, deste modo essa análise indicará o nível de segurança com o qual se conta dentro da empresa atualmente.

Por meio desse check-up, que é um dos passos mais importantes da análise de riscos, são feitas coletas de informações sobre a forma em que os ativos foram configurados e como são administrados por seus responsáveis e também de como foram estruturados na rede de comunicação.

No processo de análise técnica de segurança busca-se identificar vulnerabilidades de segurança na utilização e manipulação dos ativos da empresa e neste processo são considerados diversos tipos de ativos.

A seguir são apresentados os ativos tecnológicos a serem analisados quando se deseja monitorar as vulnerabilidades presentes através de erros de configuração ou desconhecimento das possibilidades de ataque:

a) Estações de trabalho

Dependem da forma como estão configuradas para evitar que os usuários (com freqüência de forma inconsciente) permitam a ocorrência das ameaças. Entre os exemplos de vulnerabilidades comuns desse tipo de ativos estão:

  • Ausência de protetor de telas bloqueado por senha, permitindo que as máquinas deixadas sozinhas sejam utilizadas por pessoas não-autorizadas;
  • Ausência de configurações de segurança permitindo a instalação ou execução de arquivos maliciosos;
  • Periodicidade de atualização dos programas antivírus, presença ou ausência de documentos confidenciais;
  • Forma de utilização da estrutura de servidores de arquivos, que garantam de uma maneira mais eficiente o backup dos dados, ou seja, sua disponibilidade.

b) Conexões

As conexões de comunicação entre as redes devem estar seguras: fibra óptica, satélite, rádio, antenas, etc. Para isso, é importante realizar atividades de análise sobre a forma com que as conexões estão configuradas e dispostas na representação topológica da rede. Isso garante que a comunicação seja realizada em um meio seguro, criptografada, se for necessário, livre de possibilidades de rastreamento de pacotes ou mensagens, e também desvio de tráfego para outros destinos indesejados.

c) Aplicativos

Os aplicativos são os elementos que fazem a leitura das informações de um processo de negócio ou de uma organização. Dessa forma, constituem um elemento muito importante, pois fazem a interface entre diversos usuários e diversos tipos de informação no que se refere a confidencialidade, integridade e disponibilidade. Dessa forma, os aplicativos devem garantir um acesso restritivo, com base nos privilégios de cada usuário e às informações que eles manipulam. Além disso, devem garantir também que suas configurações estejam de acordo com os princípios de segurança estabelecidos (muitos dos quais são reconhecidos por organismos internacionais) com relação à disponibilidade das informações, à forma como o aplicativo às lê, guarda e transmite, até à maneira como o aplicativo foi desenvolvido, como suas fontes são atualizadas e armazenadas, entre outros.

Abraços

leia também : Catálogo de Fraudes

, , ,

Deixe um Comentário

Os números de 2011

Publicado por Aldo Silva em Segurança da Informação (SI) em 02/01/2012

Os duendes de estatísticas do WordPress.com prepararam um relatório para o ano de 2011 deste blog.

Aqui está um resumo:

O Madison Square Garden, em Nova Iorque, senta 20.000 pessoas por concerto. Este blog foi visitado cerca de 65.000 vezes em 2011. Se fosse um concerto, eram precisos 3 eventos esgotados para sentar essas pessoas todas.

Clique aqui para ver o relatório completo

Deixe um Comentário

Erros que o CHEFE comete…

Publicado por Aldo Silva em ITIL, Segurança da Informação (SI) em 29/12/2011

Texto Original Max Gehringer

1.Chefe não é Pajé – achar que só porque assumiu a responsabilidade sobre uma equipe, pode falar e fazer tudo com seus subordinados é ser pretensioso demais. Ser chefe é temporário e provisório.

2.Não ter responsabilidade – transferir o problema para os subordinados resolverem não é a saída. O time tem que jogar junto

3.Assume tudo – outro ponto é aquele chefe que assume a missão de resolver todos os problemas e não resolve nada.

4.Síndrome do tudo feito – dizer por aí que as coisas já estão feitas, resolvidas e os problemas eliminados quando não estão, joga a credibilidade para o fundo do poço.

5.Contratar “amigos” – trazer os conhecidos de empresas anteriores, as vezes com salários maiores que os da equipe, pode causar desmotivação dos que não conseguiram espaço para demonstrar suas habilidades.

6.Não cumprir o que prometeu – a equipe deixa de acreditar nas novas estratégias, com medo de apostar no duvidoso.

7.Não defender os subordinados – Chefe precisa ouvir as críticas, entender, filtrar e defender a equipe. Não pode simplesmente ser cúmplice das críticas externas.

8.Reconhecimento – chefe que não reconhece perde aliados.

9.Centralizador – chefe que centraliza, demonstra que não confia 100% na equipe, sem mencionar o fato que as coisas não andam como deveriam.

10.Foco no micro – focar em micro problemas deixam os maiores problemas sem solução.

fonte : http://blog.coaching-futuro.com.br/?p=19

Leia também : Liderança é isso ai

1 Comentário

Seguir

Get every new post delivered to your Inbox.

Junte-se a 251 outros seguidores