Segurança da Informação

Visão geral sobre “Certified Information Security Manager (CISM)”

Esta certificação é projetada para aqueles que gerenciam, projetam, supervisionam e avaliam a função de segurança da informação de uma empresa.

Elegibilidade – São elegíveis os profissionais com cinco (5) ou mais anos de experiência em gerenciamento de segurança da informação. As dispensas de experiência estão disponíveis por no máximo dois (2) anos. A elegibilidade é estabelecida no momento da inscrição do exame e é válida por doze (12) meses (365 dias). O registro e o pagamento são necessários para que você possa agendar e fazer um exame. Você perderá suas taxas se não agendar e fazer o exame durante o período de elegibilidade de 12 meses. Não são permitidos adiamentos ou extensões de elegibilidade.

(mais…)

Métricas Temporal e Environmental no CVSS 3

Vimos um resumo do entendimento do cálculo Base do CVSS 3.0. Após este cálculo, a pontuação pode ser refinada com a pontuação das métricas Temporal e Environmental para refletir com mais precisão o risco representado por uma vulnerabilidade no ambiente de um usuário. No entanto, elas não são obrigatórias. (mais…)

Padronizando a pontuação das vulnerabilidades com CVSS 3.0

O Common Vulnerability Scoring System (CVSS) é uma forma identificar as principais características de uma vulnerabilidade e calcular uma pontuação numérica que reflita sua gravidade, bem como uma representação textual dessa pontuação. A partir da pontuação numérica, podemos traduzir em uma representação qualitativa (como baixa, média, alta e crítica) para ajudar as organizações a avaliar e priorizar adequadamente seus processos de gerenciamento de vulnerabilidades. (mais…)

Sugestões de livros para a certificação EC-Council CEH

Recentemente consegui obter a certificação CEH da EC-Council no modelo Self-study e muitas pessoas me pediram sugestões de livros para a preparação, então seguem abaixo algumas sugestões: (mais…)

Testando a segurança na nuvem

Então, como você testar a segurança na nuvem? Muitas opções estão disponíveis, tanto as ferramentas manuais, como automatizadas, que você pode usar com aplicações da Web, mas existem outras opções também.

As ferramentas listadas aqui são discutidas em SearchSecurity.com e são uma pequena amostra de ferramentas normais para testes em nuvem:

SOASTA CloudTest Esta suite pode permitir quatro tipos de testes em uma única plataforma web: Testes funcionais e de desempenho móveis e testes funcionais e de desempenho baseados na web. Ele pode simular milhões de usuários concorrentes geograficamente dispersos visitando um site para testar o aplicativo sob cargas enormes. (mais…)

Controles para a segurança na nuvem

Ao trabalhar com a nuvem, você pode implementar muitos controles em resposta às várias ameaças a um ambiente de nuvem: (mais…)

Ataques de computação em nuvem

No mundo da computação em nuvem, vários ataques podem ser empregados contra um alvo. Muitos deles são variações ou são os mesmos que você já viu, mas existem alguns com uma roupagem nova. Muitos dos ataques que exploraremos aqui podem ser executados contra qualquer um dos modelos de serviço em nuvem mencionados anteriormente sem qualquer variação. (mais…)

Ameaças à segurança na nuvem

Os ambientes de nuvem não significam menos problemas relacionados à segurança. Muitas das mesmas questões de ambientes tradicionalmente hospedados existem na nuvem. A segurança na nuvem deve ser tratada com muita seriedade, tão seriamente quanto em qualquer outra situação em que você tenha serviços de críticos, dados importantes e processos de negócios dos quais você depende para manter as coisas em movimento. Para entender os tipos de ameaças que existem na nuvem e como eles podem afetar seu ambiente, veremos uma lista de problemas de segurança que são universalmente reconhecidos como sendo os maiores, mas não os únicos enfrentados pelos ambientes na nuvem: (mais…)

Os diferentes métodos de autenticação de dispositivos

Em um mundo onde as pessoas ficam a maior parte do tempo online, a segurança da informação tem se tornado um assunto cada vez mais presente no dia a dia. Estar seguro enquanto se navega pela internet é a prioridade para muitos. E, mais ainda, para aqueles que trabalham conectados quase que 24 horas por dia, trocando dezenas de e-mails, acessando contas de bancos online, informações confidenciais de projetos e até dados de clientes.

Para manter toda essa informação em sigilo, as empresas têm desenvolvido tecnologias cada vez mais avançadas, como criptografia de senhas. Entretanto, é aí que mora um outro problema da vida digital: com as senhas ficando cada vez mais complexas e com todo o stress diário, memorizar todas essas informações fica quase impossível.

É aí que muita gente opta por anotar as senhas em agendas ou arquivos digitais, abrindo uma brecha enorme na segurança da informação. Conforme as tecnologias avançam, o conhecimento e a audácia também crescem proporcionalmente. Um dos meios mais simples e eficazes de se conseguir uma senha é através da engenharia social, onde alguém tenta obtê-la por meio de uma conversa (muitas vezes se passando por outra pessoa) ou verificando arquivos descartados pelas empresas – em muitos casos, até revirando lixo – a fim de encontrar qualquer pedaço de papel que possa conter dados relevantes.  (mais…)

O que é a nuvem?

Enquanto a computação em nuvem é um termo “novo”, não é um conceito novo e é realmente uma versão madura e mais madura do que costumava ser conhecido como grid computing. Não importa o que você chama, a nuvem é uma maneira de mover serviços, infra-estrutura e plataformas para o novo ambiente. Idealmente, este movimento torna o crescimento e gerenciamento de software e outras tecnologias mais fácil e mais rentável do que antes.

O conceito de nuvem vem evoluindo nas últimas três décadas com muitas idéias diferentes e desenvolvimentos convergentes para tornar a nuvem que conhecemos hoje. É claro que o que inicialmente foi considerado como uma forma de reunir recursos e fornecer armazenamento tornou-se muito mais do que isso nos últimos anos.

Então, o que é a nuvem exatamente, e como podemos defini-la de uma forma que faz sentido? Em geral, podemos dividir a lista de características de uma solução de computação em nuvem em algo bastante simples e sucinta:

  • On-Demand Self-Service – Os usuários de serviços em nuvem têm a capacidade de ajustar, personalizar e configurar os serviços necessários para atender às suas necessidades tanto agora como no futuro.
  • Broad Network Access – Recursos que podem ser acessados a partir de qualquer dispositivo conexão. A nuvem é projetada para ser acessada de qualquer lugar.
  • Pooling de recursos – Os recursos de computação do provedor são agrupados para atender vários usuários usando um modelo multi-tenant, com diferentes recursos físicos e virtuais dinamicamente atribuídos e reatribuídos de acordo com a demanda do usuário.
  • Capacidades de Elasticidade Rápida – A nuvem tem a capacidade de ser expandida e ajustada para adicionar mais desempenho, espaço ou capacidade ao sistema, permitindo que o usuário cresça conforme necessário sem ter que se preocupar com o processo. Na verdade, para eles pode parecer que eles têm espaço e recursos ilimitados.
  • Serviço mensurado – Os sistemas de cloud computing controlam e otimizam automaticamente o uso de recursos alavancando uma capacidade de medição em algum nível de abstração apropriado ao tipo de serviço. O uso de recursos pode ser monitorado, controlado e relatado, proporcionando transparência para o provedor e o usuário.

(mais…)