Wagner Elias - Think Security First

A Creative Commons está tentando junto ao W3C desenvolver um padrão para identificar a licença de uso de conteúdos publicados na internet. Hoje isso é feito pelo autor usando de links e/ou ícones com o tipo de licença escolhido, a idéia é que isto seja automatizado.

A grande sacada na minha opinião está na utilização de Microformats para tornar isso viável. Não sabe o que é Microformats? Aguarde e verás, este padrão será bem mais que o simples hCard utilizado pelo Linkedin e outros recursos de compartilhamento de contatos.

Saiba mais sobre esta iniciativa da Creative Commons e W3C nestes links:

• Projeto
• Artigo da Linux.com

Para saber mais sobre Microformats eu recomendo o tutorial do Henrique C. Pereira do Revolução Etc.

Em algumas situações é interessante manter um repositório de senhas, eu já escrevi sobre isso algum tempo atrás.

Com o crescimento das aplicações Web 2.0 estas soluções começaram a migrar para WEB, vejam uma lista destas ferramentas neste link: List of Free Online Password Managers.

Ou se você é saudosista e jamais irá deixar de anotar de maneira tradicional, que tal comprar um destes: Top Secret Password Notepad?

Pronto, muitos vão achar que eu estou verdadeiramente louco. O que Sócrates tem haver com segurança da informação?

Eu acredito que o tiozinho não tenha nada haver, mas o seu método com certeza pode ser útil em muitas situações. Na minha humilde e questionadora opinião, não é possível responder a muitas das questões relacionadas a gestão de riscos com um checklist, ai que entra o barbudão. Sócrates utilizava um método para tirar as respostas de pessoas que achavam que entendiam algo, mas na verdade eram ignorantes no assunto.

O método socrático consistia em um dialogo onde ele ia fazendo perguntas simples, perguntas quais ele se mostrava estar concordando com as respostas dadas. Ao decorrer do diálogo ele ia fazendo perguntas mais complexas com base no entendimento que ele tinha das respostas dada anteriormente. Ao final do diálogo ele fazia a pessoa entrar em contradição e com argumentos dados por ele ela chegava a conclusão adequada do assunto proposto. Para a parte final Sócrates de o nome de maiêutica, ele fazia nascer as idéias. O nome é homenagem a profissão de sua mãe que era parteira.

Portanto, sempre que você se encontrar em situações onde alguem não tem uma visão clara de assuntos relacionados a gestão de riscos, use o método socrático para faze-la chegar a conclusão e conseguir atingir seus objetivos. Em entrevistas para entendimento de processos ou desenvolvimentos de planos e procedimentos funciona muito bem.

Mas cuidado, tenha pleno conhecimento do tema, como Sócrates tinha e não dê uma de Schopenhauer que quer ter razão a qualquer custo.

O incentivo ao avanço tecnológico, assim como a necessidade de renovação processual cumpre um papel essencial na formulação do sistema de formação de quadros que corresponde às necessidades. A nível organizacional, o desenvolvimento contínuo de distintas formas de atuação é uma das consequências das diversas correntes de pensamento. No mundo atual, a consulta aos diversos militantes deve passar por modificações independentemente do processo de comunicação como um todo. Desta maneira, a valorização de fatores subjetivos oferece uma interessante oportunidade para verificação dos níveis de motivação departamental.

A certificação de metodologias que nos auxiliam a lidar com a estrutura atual da organização possibilita uma melhor visão global das condições inegavelmente apropriadas.

Calma pessoal! Não estou ficando louco e estou longe de ser prolixo, apenas estou utilizando uma ferramenta muito usada por consultores, doutores e qualquer tipo de charlatão, o Fabuloso Gerador de Lero-lero v2.0.

"O Fabuloso Gerador de Lero-lero v2.0 é capaz de gerar qualquer quantidade de texto vazio e prolixo, ideal para engrossar uma tese de mestrado, impressionar seu chefe ou preparar discursos capazes de curar a insônia da platéia. Basta informar um título pomposo qualquer (nos moldes do que está sugerido aí embaixo) e a quantidade de frases desejada. Voilá! Em dois nano-segundos você terá um texto - ou mesmo um livro inteiro - pronto para impressão. Ou, se preferir, faça copy/paste para um editor de texto para formatá-lo mais sofisticadamente. Lembre-se: aparência é tudo, conteúdo é nada."

Gerador de Lero-Lero 2.0

Resolvi criar uma página exclusiva para compartilhar vídeos relacionados a segurança que encontra na internet.
A lista ainda é pequena, quem quiser compartilhar com alguns links é só usar os comentários.

Infelizmente os últimos posts e fonte de meus estudos são documentos do governo americano. Infelizmente porque, por mais que o Brasil tenha trabalho em inumeras frentes o que eu mais encontro sobre resposta a incidentes, continuidade de negócios é do Governo Americano. E quem acha que é devido a maior exposição do Estados Unidos está enganado. Hoje o Brasil fala tanto quanto eles, mas as informações quase sempre tem um apelo totalmente comercial e sem fundamento.

Mais um exemplo de maturidade em segurança é apresentado pelos Estados Unidos. Está aberto para revisão pública e comentários o National Response Framework (Estrutura de Resposta Nacional)

O documento está estruturado da seguinte forma:

Capítulo 1 - Papéis e Responsabilidades;
Capítulo 2 - Ações de Resposta;
Capítulo 3 - Gestão de incidentes;
Capítulo 4 - A estratégia fundamental para estar preparado.

O Gustavo Bittencourt escreveu sobre a visão de Linus Torvalds sobre segurança. Resumindo, Linus considera que a métrica mais usada em segurança é o "achômetro".

Eu concordo em partes, eu não diria que segurança é "achometrô", pois existe uma ciência chamada gestão de riscos que é amparada matematicamente. O que leva Linus a pensar assim é que boa parte do mercado/profissionais tem uma visão equivocada. O mercado vem querendo tratar riscos de natureza humana com ciências exatas.

Como assim? Os usuários sem a visão dos riscos, sem preparo, sem motivação, é negligente com informações de todo gênero e o mercado quer resolver com "senha forte" e criptografia. Sim, eu sei que os controles servem para trazer os riscos a níveis aceitáveis, mas tecnologia como essas não vão resolver os problemas de natureza não exata.

Para quem acha que eu estou errado, a quem tente provar por A mais B o ROSI (Return Of Security Investment) em segurança. Como mostrar números para uma ciência fortemente amparada por ciências exatas (financeiro) de algo que é incerto por natureza? Sim, segurança é incerto por natureza! A fórmula básica de análise de riscos é: R = Probabilidade x Impacto.

pro.ba.bi.li.da.de
s. f. 1. Qualidade de provável. 2. Indício que deixa presumir a verdade ou a possibilidade de um fato; verossimilhança. 3. Evento, circunstância, ocorrência etc., provável. 4. Teol. Razão sobre que os moralistas fundamentam a doutrina do probabilismo. 5. Medida baseada na relação entre o número de casos favoráveis e o número total dos casos possíveis.

Probablidade que é originada dos jogos de azar pode até ser calculada, mas o máximo que se chega é: "A probababilidade de acontecer é 56%". Portanto, segurança não é "achometrô", porém não consegue ser binário como muitos desejam.

Uma dúvida constante em listas de discussão é qual capacitação um profissional de segurança deve possuir para exercer determinada função em segurança.

Meu amigo Eduardo Neves fez um trabalho muito bom e com a nossa realidade, mas agora ele possuí uma base internacional para servir como referência.

Leitura altamente recomendada!
IT Security Essential Body of Knowledge (EBK):
A Competency and Functional Framework for IT Security Workforce Development

A FEMA (Federal Emergency Management Agency) disponibiliza para acesso público um game do tipo perguntas e respostas relacionados a ameaças naturais e recuperação de desastres.

Detalhe, o que para eles é um game "for kids" é mais conhecimento que muitos analistas, consultores de continuidade de negócios e CIO tem no Brasil.