Não tem nada mais desagradável, do que ter seus dados roubado, não é mesmo? imagine à seguinte situação: você tem seus dados armazenados em qualquer mídia  onde a portabilidade e a agilidade seja um fator primordial para suas prentensões como usuário. E num belo dia, se é que podemos chamar de belo dia, você perde ou lhe roubam um pendriver, hd externo,  . . . enfim, e dentro desses dispositivos estejam armazenados, arquivos contendo conteúdo altamente sigiloso ou até mesmo em momentos íntimos? dá até para imaginar o restante da história . . . esse é um dos cenários mais comuns de encontrarmos. Mais vamos lá.

Como posso fazer para que, caso isso aconteça comigo, eu não tenha minha informações ou arquivos mais sensíveis vazados na internet? Bom, existe uma palavrinha na informática chamada de “Criptografia“. Mais o que vem a ser Criptografia? De acordo com um dos autores mais respeitados e renomados no assunto, o Professor William Stallings, Criptografia é: tem sua origem no Grego kryptos significa oculto, involto, escondido, secreto; graphos significa escrever, grafar. Resumindo, criptografia significa escrita secreta.

Existe um software para criptografia bem conhecido, e utilizado por alguns colegas da área de tecnologia, de nome “TrueCrypt”, bem prático e fácil de usar.

Segue um link contendo um ótimo vídeo explicando como  aplicar criptografia com esse software. É bem legal.

http://www.youtube.com/watch?v=nemmSS5mqDA

Boa sorte e até a próxima.

Na medida que às informações é compreendida como fator preponderante para sua sobrevivência no mercado, as organizações já começam solicitar junto ao seu RH (recursos humanos), que realizem processo seletivo para captar um recurso chamado de Analista de Segurança da Informação, porque não dizer melhor: Security Officer.

Esse profissional, tem como seu principal objetivo minimizar os riscos que são constantemente exploradas pelas ameaças. Mais aqui vai um conselho que trará um grande sucesso para a implementação de um verdadeiro Sistema de Gestão de Segurança da Informação (SGSI); procure o total apoio da alta administração da empresa, isso lhe dará uma maior autonomia na execução de suas atividades.

O próximo passo é; como você deve iniciar seu trabalho, bem como garantir que o sucesso na implementação do SGSI dependa não só desse profissional, mais também, ganhar o apoio de todos os colaboradores que fazem a empresa. É de suma importância que no dia a dia desse profissional, ele permeie dentro da organização como uma célula vivia de um corpo, pois conhecer o negócio da organização é algo de sobrevivência para às suas pretensões como Security Officer.

E para finalizar esse post, vale à pena ressaltar que , o Security Officer precisa ter “Autonomia” e apoio para executar suas atividades, caso contrário, será um forte candidato o não obter êxito em suas atividades.

Dica de Segurança

http://www.youtube.com/watch?v=OAyL6c3qEJQ&feature=related

Segue um link bem interessante de como você pode deixar seu PC menos vulnerável à ataques virtuais.

Abraços à todos que me acompanham nesse blog de Segurança da Informação.

Plano de Continuidade de Negócios ou PCN, ainda é algo muito novo no Brasil, que dirá aqui no nordeste, em especial no Ceará. Mais vamos lá; já algum tempo tenho levantando a bandeira da importância da implementação de um PCN para às empresas. E algumas dizem; mais o que é mesmo um Plano de Continuidade de Negócios? bem, conforme a norma ISO 15999-1:2007, Plano de Continuidade de Negócios (PCN) – documentação de procedimentos e informações desenvolvidas, consolidadas e mantida de forma que esteja basicamente pronta para uso caso ocorra um incidente, de forma a permitir que a organização mantenha suas atividades críticas em um nível aceitável previamente definido.

Esse é um tema que tem uma abrangência de grande proporção e que pretendo aqui esmiuça-la para de forma que todos possam compreender sua importância corporativamente, e que não tem a ver apenas com Tecnologia da Informação, Segurança da Informação, Análise e Avaliação de Riscos, enfim . . . é algo que transcende a TI, ela tem a ver com os negócios da empresa, e é claro que TI é seu core, afinal, processos dependem de tecnologia para sua sobrevivência no mercado tão competitivo e que cada dia exige mais disponibilidade de suas informações tanto  interna como para seus clientes externos.

O exemplo mais triste e real que a humanidade assitiu foi o fatídico 11 de setembro de 2001 (queda das torres gêmeas). Dai você pode estar se perguntando: mais aqui no Brasil não temos ataques terroristas . . . mais eu te digo que temos catástrofes naturais. Vamos discuti-las em maiores detalhes em outros posts.

Participe, pergunte, você também faz parte desse post que envolve assuntos muito interessantes dentro da Segurança da Informação.

Novos campos profissionais são propostos a partir de novas carreiras que surgem de forma e solucionar casos que necessitam de aprofundamento e inteligência para atuar na perícia de crimes que são supostamente sem solução no que se refere às descobertas de seus mandantes ou feitores.

Por isto, neste ínterim, enquadramos o perito forense computacional como pessoa que tem no seu perfil profissional as características necessárias para dar respostas à Justiça enquanto observador e perscrutador de fatos e ações criminosas reais e/ou virtuais que podem levar à descrição e identificação referente a vítimas ou ao criminoso.

Esse é um dos tópicos do meu livro: “Investigação e Perícia Forense Computacional“, que foi lançado a um ano, mais que traz um conteúdo bem atual para nossa realidade digital. Esse, vocês podem encontrar na livraria Brasport (www.brasport.com.br) ou em outros sites que vendam livros de informática. Essa literatura é bem difundida no meio de profissionais que querem se tornar verdadeiros detetives digitais ou mesmo para quem trabalha com respostas a incidentes em TI.

O backup na realidade é um procedimento onde se realiza a cópia de alguns dados de um lugar para outro, de forma que posteriormente essas informações possam ser acessadas de forma simples e segura. O processo de realizar cópias de segurança é bem simples, mais requer alguns cuidados, tais como: em que mídia você realizará sua cópia de segurança? Qual sua frequência quanto aos acessos às suas cópias de segurança? Enfim . . . não basta apenas realizar os backups, é preciso testá-las para saber se as mesmas estão em seu formato original e sem defeitos.

Quando falo desse assunto para meus alunos, gosto sempre de citar sempre àquele velho exemplo: um determinado aluno que está com sua monografia quase pronta, tem o disco rígido de seu computador danificado por algum problema técnico, e ai vem a máxima das perguntas para essa ocasião: você tem as cópias de segurança armazenadas em outro local? E a resposta são sempre as mesmas: não.

Sempre aconselho a fazer essas cópias de segurança em HD externos ou mesmo HDs portáteis. Mais vale uma ressalva: caso você salve em HDs portáteis ou pendrivers e as colocou dentro de sua mochila e foi para o trabalho ou faculdade, por acaso tem uma cópia em casa?

Por isso, assim que você terminar de ler esse post, pergunte a sim mesmo: eu fiz hoje minha cópia de segurança?

As compras por meio da Internet tem dado um grande salto nos últimos 2anos, em aproximadamente em 65%. De acordo com a Câmara Brasileira do Comércio Eletrônico (câmara-e.net), o e-comerce nacional fechou 2011 com aproxidamente R$ 18,7 bilhões em vendas, crescimento de 26% em relação a 2010.

Nesse cenário e como usuário, temos que nos preocupar em que ou em quais sites devemos realizar transações de forma segura. E olha que isso não é tarefa nada fácil, mais ai vai uma dica: no site www.internetsegura.org, da Câmara Brasileira de Comércio Eletrônico, existe um guia que dá ótimas dicas de como navegar e comprar com segurança.

Vale à pena conferir.

Algumas pessoas me perguntam: como devo escolher minha senha? E eu sempre respondo: uma boa escolha deve ser aquela onde você não esqueça facilmente, mais que seja difícil que outra pessoa saiba da maneira mais fácil. Vamos lá: a grande maioria dos usuários escolhem para suas senhas, como; data de aniversário, nome do pai ou da mãe, nome do namorado ou namorada com datas de aniversários, enfim. Esse tipo de senha são as mais comuns de serem escolhidas pelos usuários e fáceis de serem descobertas por espertinhos.

Então deixa eu te dar uma dica. Escolha um cantor que você goste, depois escolha uma frase de uma música dele, em seguida para cada início da frase escolha a primeira letra e coloque-a de forma maiúscula. Veja o exemplo a seguir:

Frase: tire suas mãos de mim, eu nao pertenço a você . . . da Banda Legião Urbana. Agora veja como vai ficar sua senha: TiSuMaMiEuNaPeVcRussoRenato1984.

. . . complicado? Que nada, é só uma questão de você se acostumar a criar senhas seguras.

É claro que existe outras infinitas formas de se criar senhas fortes. Qualquer dúvida post aqui em meu Blog.

O Exército Brasileiro, está se preparando para o combate aos Cyber Crimes.

Vale à pena conferir.

http://g1.globo.com/brasil/noticia/2012/02/exercito-brasileiro-prepara-sistema-de-prevencao-contra-ataques-ciberneticos.html

Esse é um clássico na literatura em Segurança da Informação. Escrito por um dos maiores Engenheiros Sociais do mundo, e porque não dizer o maior: Kevin David Mitnick. Essa é uma técnica infalível, pois contra usuários desavisados não há o que fazer.Nas palestras corporativas em que ministro ou mesmo dentro de sala de aula, digo aos meus alunos que essa técnica é praticamente infalível quando bem aplicada. E como isso funciona. Vamos lá: o engenheiro social é um “Especialista” com poderes de persuasão fora do normal.Ele se faz passar por alguém que não é, e procura obter vantagens por meios de informações anteriormente colhidas, seja ela uma vítima usuário final, seja ela uma vítima usuário(a) de uma empresa. O intuito é obter informação privilegiada, que por meio dessa o mesmo possa realizar chantagens, seja por brincadeira de mal gosto, seja para obter ganhos financeiros, e porque não dizer roubar segredos estratégicos das empresas.Existe como se precaver quanto a um ataque de um Engenheiro Social? tem sim. Campanhas de divulgação ministradas por especialistas na área de segurança da informação tem ajudado muito às empresas a diminuir as investidas do infrator social.Quanto mais os colaboradores estiverem cientes dos perigos que rodam as informações pessoais e corporativas,melhor será as precauções quanto aos cuidados com as informações, seja ela de cunho pessoal ou corporativa.

As armas de um Engenheiro Social? sim, um telefone e um usuário desavisado.

Deixo aqui duas excelentes indicações quanto ao que acabamos de falar: o filme Caçada Virtual (TakeDown – em inglês) e o livro A Arte de Enganar, ambos narram histórias fantásticas sobre esse mago da Engenharia Social; Kevin David Mintnick.

Sugira em sua empresa uma Campanha/Palestra sobre “As armadilhas da Engenharia Social”.

Forte abraço à todos e até a próxima.

Com o crescimento exponencial das redes sociais, usuários tendem a permanecerem por horas conectados atrás de informações ou mesmo estar atualizado com o que está acontecendo a sua volta(cyber espaço). Mais essa febre atinge em cheio os princípios da segurança da informação. Como? te digo agora: imagine o seguinte cenário; você é um Analista de Segurança da Informação (Security Officer) de uma determinada empresa, procura diariamente por meios de ferramentas e outros para ajudar a blindar ao máximo acessos não autorizados a arquivos de donos de processos e até mesmo ficar naquela paranóia de estar diretamente em observação ao Firewall e torcendo para que o mesmo esteja correndo conforme o seu ideal. Num belo dia, o setor de RH(pode ser qualquer setor da empresa) liga informando que apartir daquele dia a Diretoria aprovou sem lhe(analista de segurança) consultar, o acesso livre as redes sociais para os profissionais do recursos humanos. Dá para imaginar o resto da estória né? Fica aqui uma pergunta: Você acha que as pessoas da sua organização estão cientes do risco que o acesso a um determinado site pode trazer sérias consequências a rede da empresa? Em breve, estaremos falando sobre alguns aspectos que ajudarão aos usuários finais, a serem orientados quanto aos riscos que ele pode expor a rede da empresa devido a acessos deliberados determinadas categorias de sites.