domingo, 31 de julho de 2011

UMA HISTORIA REAL

Resultados alarmantes foram anunciadas depois de uma recente pesquisa realizada pelo Ponemon Institute Research  e Juniper Networks. O resultado tem relação com o que temos visto na mídia recentemente; hackers são quase sempre bem sucedidos em seus esforços para invadir um site, e pará-los não é tarefa fácil.
A noticia mostra que 90% das empresas sofreram algum tipo de ataque nos últimos 12 meses. Mais de 77% que sofreram ataques tiveram realmente problemas internos devido ao sucesso dos hackers na invasão.
Os entrevistados relataram ter uma confiança muito baixa na sua capacidade em evitar ataques. Muitos acreditam que simplesmente não estão preparados.
53% também acreditam que vão enfrentar algum tipo de ataque nos próximos 12 meses.
Ataques a sites são muitas vezes utilizando vulnerabilidades clássicas como  “SQL Injection e Cross Site Scripting (XSS). “
Quais são as maiores barreiras à implementação de uma estratégia de segurança eficaz?

Quase metade (48%) das empresas pesquisadas disseram que encontraram os procedimentos de segurança muito complexo de implementar. Outros 48% também mencionaram a falta de recursos. As empresas estão observando os custos de procedimentos de segurança e práticas complexas  e, analisando-os como caros de implementar.
Desta forma passam a verificar possibilidades mais baratas.
Scanners de vulnerabilidade estão se tornando uma forma cada vez mais eficazes em  detectar falhas e tomar medidas corretivas com custo reduzido.
Quanto às conseqüências destes ataques, as empresas estão vendo que o roubo de informação e interrupções de negócios são as perdas mais graves. Com tanto dinheiro sendo perdido em violações, as empresas precisam investir mais dinheiro em mais medidas de segurança preventiva mesmo com custo reduzido.
“O que se vê, é que no ambiente de hoje, sistemas “hackeados” é quase uma certeza estatística”.

Um fato real

Ele avisou que haveria uma invasão nos sites da corporação, mas ninguém tomou atitude.

Por varias vezes o analista de SI informou a TI que havia vulnerabilidades nos desenvolvimentos de web sites da corporação. Ele analisou, identificou, reportou e apontou que deveriam ser levados em consideração para acerto, no entanto não foi atendido.

Meses se passaram e atualizações de patches foram instaladas, novos dispositivos foram colocados para melhorar a segurança do perímetro, no entanto a aplicação não havia uma única linha de código atualizada para proteção, somente linhas para melhorar o atendimento ao cliente e agilizar o negócio.

Quantos de vocês já ouviram esta história?

Quando isto ocorre, a própria TI perde, junto com a corporação, ela leva a culpa por não observar diretrizes e parâmetros de segurança em seu desenvolvimento interno.

Uma notificação de segurança em pró-atividade é melhor que uma invasão e conseqüente pichação do site desenvolvido, Seja ele terceirizado ou de desenvolvimento interno, o papel da SI tambem é analisar vulnerabilidades possíveis e passiveis.

Um exemplo digno de acerto ocorreu em certa ocasião, quando uma analise feita em um  site brasileiro nos EUA. A analise demonstrou mais vulnerabilidades no site do que buracos em um queijo suíço. Uma notificação enviada aos detentores do site neste país alertou o problema que para maior surpresa, foi resolvida em pouco mais de duas semanas. Impressionante a preocupação e melhor para a Corporação como a situação foi resolvida em tempo hábil.

A mesma situação ocorrida na corporação com um site disponível somente no Brasil não teve a mesma atenção e resolução de suas vulnerabilidades. Adivinha o que aconteceu com este site?

Estava La uma pichação brasileira aos modos tradicionais dos usuais invasores.

sexta-feira, 1 de julho de 2011

INVEST IN INFORMATION SECURITY

One of the most problematic areas in IT Information Security when it comes to IT-related area. In fact there are complications when the SI has to monitor and restrict the area of ​​IT activity in favor of a clean and without detours. The fact is that there is no conflict of interest in terms of databases and tied with strong passwords, the corporation can be said that information security is well with life and IT.
But this only occurs in companies that value the security posture of information and counts on his fingers which ones are. Take the example of a corporation where control of access is not tied to a Single Sign On, or even the control profiles. This corporation brings with it problems of hacking and fraud consequently indisputable. All this is due to the simple fact of investments in the SI and the control of the CIO. Investments of this size for tasks should be directed to the area to protect the corporation itself. In fact what is being proposed to ensure better control how users today in many companies is to invest in the correct timing.
Some companies spend time on investments that should have run. A project this takes about 1 ½ years to close, if indeed there are many stones on the road. Most stone will be one in which the database must contain a connector where it manages some tables whose owner will not want to use it ...
It seems a little problem, which will make a big problem.
The Project Management must determine all the guidelines of the deployment process before someone gets up in the middle of the road trying to block or add items not postulates. Yes, there are always new features to include, but should evaluate the cost-benefit, align deadlines in areas and complete a project as successful.
The various players in the market is becoming increasingly upgraded this type of project designing the new Information Security and quick control methods to prevent certain actions excuses apply after termination of contract is a third-party provider or employee.
In the digital world is connected to the SI is to understand how to support, protect and add context information which turns as a demand to the corporation where mandatory audits based on international, national and internal are fully in compliance with business goals.
It is not easy to adjust these items to IT to be completely linked with the SI, but without specific criteria aligned with the best design concepts using appropriate tools and completing a good relationship between all areas of clouds problems become solutions.
It is necessary to review the relationships between areas, so that all work on the basis of one mind;
Helping the company to grow and grow as a result the corporation.
The interest in the project, providing services to the premises of the IS and the functional relationships should be aligned to a single goal;
Ensure business to win other business.

INVESTIR EM SI

Agora como articulista tambem em www.tiespecialistas.com.br

SKIMLINKS