'incidente'

Segurança deixa empresas alerta com migração para nuvem

A falta de confiança na nuvem tem deixado empresas com “pé atrás” na migração para a nuvem, e uma pesquisa divulgada pela Infonetics mostra que por aproveitar essas oportunidades, os serviços de segurança para esse ambiente podem crescer mais de 69% por ano, até 2017.

A segurança é uma alerta para as empresas, e tem desencorajado os empreendedores, e segundo dados divulgados pelo 176 IT security, apenas 46% migraram aplicações de missão crítica e dados sensíveis, por estarem preocupados com segurança. (mais…)

Como escrever relatorios/laudos de Forense Computacional e Análise de Malwares

Muitos analistas e peritos possuem todo o know-how e skill técnico para executar um trabalho de Resposta a Incidentes e Forense Computacional, dominam as ferramentas, as técnicas, e até mesmo os processos e procedimentos necessários para garantir a integridade do processo e a validade das evidências e provas coletadas.

Porém, uma das partes mais importantes neste tipo de atividade é o relatório final, aquele que será escrutinado e atacado por suas possíveis deficiências. São fatores importantes desde a adequação ao público-alvo, organização e apresentação dos achados até a sustentação dos argumentos e hipóteses que levaram às conclusões apresentadas. (mais…)

Política de Segurança da Informação – Como fazer?

O bem mais importante que as empresas possuem, sem dúvida, são as informações gerenciais, sendo muito importantes para a tomada de decisões. Com o crescimento da internet e o uso de dispositivos móveis nas empresas é inevitável a ocorrência de problemas de segurança, é preciso muito planejamento e muito trabalho da equipe de TI para ligar com tudo isso. É importante criar normas rígidas e principalmente treinar toda a equipe interna e externa.

Agora. Quando a concorrência e criminosos conseguem através de meios fraudulentos, ter acesso a essas informações e usá-las para alavancar no mercado, saindo na frente com uma nova linha de produtos – roubada! Esse é só um exemplo. Nesse caso os gerentes de tecnologia da informação devem repensar suas ações, é preciso uma análise completa da área de TI e principalmente uma política de segurança da informação bem formulada e uma equipe bem informada e treinada. (mais…)

6 requisitos para um gerenciamento de projeto eficaz

Mesmo com o alto nível de investimento alocado em iniciativas para desenvolvimento de soluções ou de processos relacionados à TI, grande parte das projetos corporativos falha devido a deficiências na liderança da iniciativa. Para evitar esse tipo de problema e o desperdício de recursos e de horas de trabalho da equipe, o CIO deve seguir algumas indicações:

1. Definição
A etapa mais crítica da elaboração de um projeto é o desenvolvimento de uma base sólida de metas, prioridades e da divisão de tarefas e responsabilidades. Torna-se necessário que o entendimento desses passos seja passado do nível hierárquico mais elevado aos postos operacionais, para que haja o envolvimento do alto comando corporativo com o processo de criação da metodologia que será aplicada para que a iniciativa seja implementada com sucesso. (mais…)

Morte de Chorão vira tema de novo vírus para Facebook

A morte do vocalista da banda Charlie Brown Jr., Chorão, não teve apenas homenagens sinceras de fãs nas redes sociais. Assim como em outras tragédias, ou apenas para soltar informações falsas, pessoas mal intencionadas já estão se aproveitando do incidente para espalhar um novo vírus.

O alvo agora são perfis no Facebook – e a arma usada é uma postagem que mostraria um suposto vídeo gravado pelo cantor pouco antes de sua morte que aumentaria as possibilidades de suicídio. Claro que tudo não passa de mentira, e clicar na publicação traz problemas para o dono da conta. (mais…)

CERT.br faz texto sobre privacidade na web

São Paulo – O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) lançou o fascículo de sua Cartilha de Segurança dedicado aos cuidados que se deve ter para preservar a privacidade na internet.

A publicação foi lançada no dia 5 de fevereiro, Dia Mundial da Internet Segura. O CERT.br é mantido pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br), órgão ligado ao Comitê Gestor da Internet no Brasil (CGI.br).

Segundo o CERT.br, o Brasil é um dos países com o maior número de usuários de internet e de redes sociais. Com o aumento do uso da rede mundial de computadores e da adesão a esses serviços, cresce também a preocupação com a privacidade, não somente no compartilhamento de informações como na manipulação de dados pessoais, de forma geral. (mais…)

Três etapas obrigatórias para a criação de políticas de proteção de dados

Os dados corporativos são atualmente os ativos mais valiosos de uma companhia e, não surpreendentemente, tornaram-se os maiores alvos de ataques e ameaças, na maioria das vezes de origem interna.

O sucesso das políticas de segurança da informação depende de diversos fatores, que vão desde a liberação dos investimentos necessários até a criação de regras voltadas à proteção de dados e à prevenção de incidentes.

Estabelecer e implementar políticas de proteção de informações críticas e confidenciais requer algumas etapas obrigatórias: a definição do problema, o desenvolvimento das regras e, principalmente, o cumprimento das normas. (mais…)

Exame para certificação de segurança da CompTia ganha versão em português

A CompTIA, que fornece certificações para os profissionais de tecnologia da informação (TI) em todo o mundo, passa a oferecer uma versão em português do exame para obtenção de seu selo CompTIA Security+.

Segundo a entidade, a certificação CompTIA Security+ credencia profissionais experientes na área da cyber segurança, um dos campos de crescimento mais rápido da TI. Mais de 230 mil especialistas no mundo todo já receberam esse título.

“O setor de TI no Brasil está crescendo em ritmo acelerado e o número de pessoas com acesso à internet também está aumentando”, afirmou Terry Erdle, vice-presidente executivo de certificação de habilidades da CompTIA.

Ele argumenta que a versão em português da CompTIA Security+ se justifica pelo avanço do mercado brasileiro de TI. O execuivo observa que o setor está em ritmo acelerado de expansão, aumentando também o acesso à internet . Esses fatores, segundo ele, intensificam a necessidade de uma forte vigilância de cyber segurança.

O executivo ressalta que os profissionais que já receberam essa certificação aprenderam a aplicar seu conhecimento de conceitos de segurança, ferramentas e procedimentos para reagir a incidentes. Eles também têm conhecimentos para prever riscos de segurança e de se proteger contra eles.

O exame

Antes de realizar o exame CompTIA Security+, os profissionais precisam obter o certificado CompTIA Network+ ou ter pelo menos dois anos de experiência em rede técnica com ênfase em segurança. O teste contém 100 questões, que devem ser respondidas em 90 minutos. Para ser aprovado, o candidato precisa atingir uma pontuação de, no mínimo, 750 em uma escala de 100-900.

Além da nova versão em português, o exame da CompTIA Security+ está disponível em inglês, alemão, japonês, coreano, mandarim simplificado e mandarim tradicional. Para mais informações, acesse CompTIA Certification.

Exame para certificação de segurança da CompTia ganha versão em português – Carreira – COMPUTERWORLD.

Certificações ITIL voltam a ganhar destaque

Certificações em Information Technology Infrastructure Library, ou ITIL, voltou ao topo de muitas listas de contratação de TI. Métodos ITIL são projetados para ajudar as empresas a identificarem áreas onde eles precisam de melhorias, fornecedores neutros orientando sobre onde e como fazer alterações específicas para reduzir custos e aumentar a produtividade.

Pressionado para comprovar investimentos na área de TI, O CIO parece cada vez mais atento a frameworks de processos para a área de TI. Tais frameworks trazem consistência, habilidade de medir a performance e um rigor científico que muitas vezes a área de TI e seus projetos “intangíveis” não têm.

Frameworks populares como Capability Maturity Model (CMM), Six Sigma e Control Objectives for Information and Related Technology (Cobit) têm, cada um, uma área específica de ênfase. O que diferencia o ITIL das demais é seu foco restrito a operações de TI. O apelo é irresistível: um conjunto de melhores práticas que ajuda a rodar a área de TI como se fosse um negócio, fazendo-a reconhecer seus serviços-chave, saber priorizar as coisas certas e tornar todo o trabalho mais visível e transparente, mais fácil de ser medido.

Para o ITIL dar certo, é preciso analisar os processos internos, mapeá-los, identificar o que é ou não crítico. É preciso também zelar pela gestão da configuração da base de dados, o fator técnico crucial em um projeto desses. Trata-se, essencialmente, de um mapeamento de cada pedaço de tecnologia que a empresa possui – sistemas, roteadores, servidores, PCs etc. As informações de cada mudança realizada em cada ativo se relacionam com os incidentes relacionados a esses ativos e com todo o ambiente tecnológico.

Quando utilizado apropriadamente, ITIL ajuda o departamento a melhorar sua qualidade de serviço, como resolução mais rápida de problemas e maior segurança.

Por exemplo, você pode usar práticas de ITIL para reduzir as chamadas para o helpdesk através da implementação de seções de auto-ajuda no site de sua empresa ou usar as orientações do ITIL para decidir se determinada tarefa deve ser executada em casa ou pode ser delegada a um terceiro.

A História da ITIL

Antes de nos aprofundarmos se você deve implementar metodologias ITIL, vamos voltar e olhar para as raízes da ITIL.

Na década de 1980, Agência Central de Computação e Telecomunicações do governo britânico (CCTA) formulou um conjunto de recomendações projetadas para servir como um catálogo de melhores práticas para os departamentos de TI dos órgãos governamentais.  Não demorou para que o setor privado inglês demonstrasse simpatia pelo conceito, ainda mais por ter nascido com o ponto de vista do usuário, não de fornecedor.

Portanto, a ITIL começou como uma biblioteca composta de livros que discutia práticas específicas de serviços de TI, com base nas recomendações do CCTA.

A primeira versão do ITIL consistia em mais de 30 volumes, escritos entre 1986 e 1996. Em 2000/2001, a segunda versão foi consolidada em oito conjuntos de livros com orientações relacionadas a vários aspectos da TI, incluindo aplicativos e gestão. Em abril de 2001, o CCTA foi incorporado ao Office of Government Commerce (OGC).

Em 2007, o OGC anunciou a terceira versão do ITIL –  conhecida hoje como a edição de 2007. Ela consistia de 26 processos e funções abordadas em cinco publicações principais:

1 – Estratégia de Serviço

2 – Design de Serviços

3 – Transição de Serviço

4 – Operação de Serviço

5 – Melhoria de Serviço Continuada

Com a introdução dessa terceira versão, ITIL deixa de ser mais centrado na operação e passa a explicar todas as fases do ciclo de vida de serviços, incluindo aqueles relacionados com a área de desenvolvimento. Passa a ser preciso educar os profissionais de desenvolvimento e operações a identificarem como ferramentas de automação de serviços podem colaborar para a implantação dos processos de TI e usá-las.

A abordagem certa deve levar o pessoal de desenvolvimento a desejar ter um papel em ITIL e não se sentirem forçados a isso.

Em julho de 2011, a biblioteca da ITIL V3 sofreu uma atualização para corrigir informações, esclarecer conceitos e acrescentar novas práticas dentro do Ciclo de Vida do Serviço. Tais mudanças foram orientadas e sugeridas pela própria comunidade ITSM, em busca do avanço das melhores práticas.

Atualmente a ITIL é mantida pelo OGC (Office Government Commerce), do Reino Unido, e seus usuários são representados pelo ITSM Fórum.  Desde  31 de janeiro de 2012, todos exames de certificação ITIL têm enfocado na versão de 2011.  Para prestar este exame de certificação o candidato não é obrigado a participar de um treinamento oficial. É possível obter o conhecimento através de auto-estudo. Os exames são oferecidos por vários institutos de exames autorizados.

Exames de ITIL são fornecidos em três níveis: Foundation Practitioner e Manager.

A certificação Foundation provê uma avaliação dos fundamentos no Gerenciamento de Serviços em TI. Ela ajudará você a ter uma familiaridade com as melhores práticas para Gerenciamento de Serviços em TI e entender a terminologia da ITIL.

Nos níveis Practitioner e Manager o candidato deve deverá fazer um curso em instituições credenciadas pelo EXIN ou ISEB, e o teste será aplicado pela mesma instituição. O candidato também já ter a certificação Foundation. No nível Practitioner o candidato ainda fará um curso de especialização em dois processos, a escolher e o exame será realizado durante o curso.

Razões para adoção

Uma das razões pelas quais os gerentes querem ter ITIL na empresa é a eficiência. E para provar mais eficiência, departamentos de TI devem medir a eficácia dos processos antes e depois de ITIL.

O ITIL impulsiona a necessidade de medir e reportar a qualidade do serviço. Existem coisas que precisam mesmo ser medidas. Um exemplo é estar apto a medir e reportar a qualidade do serviço de uma forma razoável para provar aos consumidores que você está entregando serviços de TI como o esperado. E, se os serviços melhoram, a medição vai mostrar à companhia que TI merece ser recompensada por seus esforços e melhorias.

O que o ITIL não faz

Implementar ITIL não é fácil. Os especialistas dizem que a mudança de processos que o conceito requer é tão substancial que os CIOs deveriam tratar um projeto de ITIL da mesma maneira que lidam com implementações de ERP (sistemas de gestão integrada), medindo o progresso em anos, não em meses.

As expectativas dos CIOs de encontrar respostas fáceis para suas perguntas sempre “cabeludas” costumam ser desapontadas: o ITIL não aconselha sobre como implementar as melhores práticas catalogadas, uma lacuna que pode entrar em choque com o hábito dos CIOs de contar com detalhadas metodologias de desenvolvimento de software.

ITIL é uma maneira de ajudar a criar uma mudança organizacional. Ou seja, não oferece uma resposta sobre como colocar em prática o que está escrito nos livros; cada empresa deve planejar seus próprios processos com base nos princípios do ITIL.

Certificações complementares

O Sistema de Créditos da certificação ITIL oferece créditos também para outras certificações de TI (chamadas de Qualificações ITIL complementares) ao candidato tiver sido aprovado, incluindo:

1 – Analista de problema, uma qualificação da APMG-Internacional que ensina aos candidatos como evitar problemas e incidentes. Esta qualificação vale 1,5 créditos.

2 – Lean IT, uma qualificação APMG-Internacional, uma extensão do Lean Principles aplicado a um ambiente de TI centrado no cliente. A abordagem é um modo de pensar e agir. Muitas organizações tem adotado o Lean IT para aumentar a satisfação do cliente e alcançar um maior valor estratégico e financeiro. Esta qualificação vale 0,5 créditos.

3 – ISO / IEC 20000, um certificado APMG-Internacional que permite que as empresas demonstrem excelência e provem aplicar as melhores práticas em gestão de TI. Vale  1,5 créditos.

4 – Catálogo de Serviços é uma certificação APMG-International para aqueles que já possuem um certificado ITIL Foundation. Ensina os candidatos a controlar a demanda, publicar e controlar os preços de serviços e os  custos, bem como automatizar a gestão de solicitação e satisfação de serviço. Esta qualificação vale 1,5 créditos.

5 – IT Service Management Foundation, que concentra-se nas práticas e processos de uma abordagem de qualidade ITSM (IT Service Management) e vale um crédito.

6 – Certified Engineer Design Process (CPDE), uma certificação LCS centrada na avaliação, projeto, implementação, integração e gerenciamento de processos de TI. Esta qualificação vale 1,5 créditos.

7 – Qualificações Especialista BCS em Gerenciamento de Serviços abrange uma ampla gama de práticas da indústria, incluindo ITIL, COBIT, ISO / IEC 20000 e SFIA / SFIA. São seis qualificações ao todo. Cada uma desas  ganha 1,5 créditos.

8 – Configuration Management Database, outra certificação APMG-Internacional. Aporta 1,5 créditos.

Certificações ITIL voltam a ganhar destaque – Tecnologia – CIO.

Pequenas e médias empresas estão mais vulneráveis a ataques, alerta pesquisa

O relatório Global IT Security Risk, realizado recentemente pela consultoria B2B Internacional a pedido da Kaspersky Lab, que desenvolve soluções de gerenciamento de ameaças e conteúdo seguro, identificou que as pequenas e médias empresas (PMEs) são tipicamente mais vulneráveis a vírus, worms, spyware e outros programas maliciosos.

O levantamento, que ouviu 3,3 mil profissionais de segurança em 22 países, aponta que 63% das pequenas empresas e 60% das médias têm lidado com malware em suas redes nos últimos 12 meses. Grandes companhias tendem a sofrer com outras ameaças, como espionagem, phising e ataques de DDoS (do inglês distributed denial-of-service). (mais…)