18 dezembro 2007

Politicas de Segurança



Em toda a Politica de segurança faz-se necessário ter uma ideia clara daquilo que se quer defender, contra quem queremos e quais os entraves que esta politica oferece para o funcionamento normal do sistema. Uma Politica de Segurança de uma empresa define as normas e procedimentos que melhor atendam ao propósito da mesma, minimizados os riscos com perdas e violações de qualquer dos seus bens. Podemos assumir que todos os dados referentes a uma empresa fazem parte do seu patrimonio. Nosso objetivo ao desenvolver esta Politica restringe a defesa das informações e sistemas computacionais de software e hardware da empresa.
Durante o desenvolvimento de uma Politica de Segurança precisamos entrar em contato com os indivíduos na empresa responsáveis pelos dois papeis-chaves para coleta das informações necessárias: os administradores de sistemas (tecnologia aplicada), os diretores da empresa (negocio da empresa). Os demais funcionários são os reais usuários da politica e não podem ser esquecidos quanto as suas necessidades de execução das tarefas - ou seja, estas tarefas não devem ser suprimidas em prol da implementação da politica, sem que ao menos seja-lhe oferecido um caminho alternativo - e quanto as suas reais possibilidades de execução daquela politica - por limitações culturais ou técnicas.
Importante lembrar que o contato com esses personagens precisa ser feito com razoável frequência para que a politica acompanhe as varias mudanças no processo de negocio ou do cunho tecnológico: uma Politica de Segurança é especifica para uma empresa e deve acompanhar o seu desenvolvimento.
Uma Politica de Segurança não pode estar restrita a nenhuma instância de uma provável implementação da mesma. Ela deve ser contruida em forma de procedimentos capazes de serem executados independente da tecnologia aplicada.

Quem faz a politica?

A criação da politica deve ser um esforço associado do pessoal técnico e do pessoal administrativo, que tem o poder de fazer cumprir a politica. Uma politica que não pode ser implementada, nem cumprida, não é útil.
Desde que a politica de segurança pode afetar a todos em uma empresa, tem que se tomar cuidado para se ter certeza de que existe um certo nível de autoridade nas decisões. Embora um grupo particular possa ter a responsabilidade de fazer cumprir a politica, um grupo de mais alto nível pode ter que confirmar e aprovar a politica.

Quem é envolvido?

A politica de segurança, para ser apropriada e efetiva, precisa ter a aceitação e o suporte de todos os indivíduos da empresa. É especialmente importante que os diretores da empresa dêem total apoio ao processo de concepção da politica de segurança, caso contrário, há pouca chance de que ela surta efeito. A lista, a seguir, abrange as pessoas que devem ser envolvidas na criação e revisão dos documentos da politica de segurança:
  • Administrador local de segurança;
  • Administrador de recursos de informática;
  • Staff técnico de recursos tecnológicos;
  • Times de respostas de incidentes de segurança;
  • Representantes de grupos de usuários afetados pela politica de segurança.

Responsabilidades

O elemento chave para uma politica de segurança é a de ser ter certeza de que todo mundo tem conhecimento de suas responsabilidades para manutenção da segurança.

Uma politica de segurança não pode prever todas as possibilidades. Contudo pode garantir (assegurar) que, para cada tipo de problema, existe alguém designado para tratar com ele. Devem existir níveis de responsabilidades associados com a politica de segurança. Em um nível, cada usuário de um recurso computacional deve ter responsabilidade de proteger sua conta. Quando um usuário permite que sua conta seja comprometida, cresce a chance de serem comprometidas outras contas ou recursos.

Gerentes de sistemas podem formar outro nível de responsabilidade. Eles devem ajudar a garantir a segurança do sistema de computação. Gerentes de rede podem ainda pertencer a outro nível.

Comunicação e Politica de Segurança

A politica de segurança, para se tornar efetiva, deve ser comunicada aos usuários do sistema e ao pessoal da manutenção do mesmo. Todos devem assinar um termo indicando que leram, entenderam e concordaram em obedecer a politica. É importante também destacar, que a realização de um forte treinamento com usuários, administradores e demais indivíduos envolvidos e/ou afetados pela politica de segurança, constitui-se em medida fundamental para o sucesso e aceitação dos princípios estabelecidos por tal politica.

Educação do usuário

Usuários devem ser alertados de como o sistema operacional espera ser usado e como protege-lo de usuários não autorizados.

Todos os usuários devem ser informados sobre o que é considerado uso apropriado de sua conta. Isto pode mais facilmente ser feito, no momento que o usuário recebe sua conta, levando ao seu conhecimento os estatutos da politica. Uma politica de uso apropriado, tipicamente, dita coisas tais como de que forma a conta pode ser usada para atividades pessoais, de lazer ou ganho pessoal.

Analise de riscos

A analise de riscos serve para estimar o potencial de perdas associados as vulnerabilidades do sistema e quantificar o prejuízo que pode ocorrer, caso as ameaças se concretizem. O principal objetivo da analise de riscos é tentar identificar proteções eficientes que reduzirão os riscos a um nível aceitável, de modo que se o site (sistema) for atacado, consiga sobreviver com serviços essenciais.

A analise de riscos deve determinar:

  • O que deve ser protegido;
  • O que é necessário para garantir proteção;
  • Como proteger;

Para isso, a analise de riscos segue duas fases:

  • Identificação dos bens;
  • Identificação das ameaças;

Identificação dos Bens

Considere em identificar todas as coisas que precisam ser protegidas. Em principio os bens podem ser agrupados nas seguintes categorias:

  • Hardware;

CPUs, placas, teclados, terminais, estação de trabalho, computadores pessoais, impressoras, disk drives, linhas de comunicação, servidores, roteadores, hubs, switches, etc.

  • Software;

Programas-fonte, programas-objeto, programas utilitários, programas de diagnósticos, sistemas operacionais e programas de comunicação.

  • Dados;

Durante a execução, armazenamento on-line, arquivamentos off-line, auditoria de logs, banco de dados, em transito nos meios de comunicação.

  • Pessoas;

Usuários, administradores, pessoal de manutenção.

  • Documentação;

Programas, hardware, sistemas, procedimentos de administração local.

  • Suprimentos;

Papeis, formulários, meios magnéticos.

Texto Fonte: Politica de Segurança de Rede; Universidade Federal de Pernambuco; Recife-PE





Treinando macacos, educando pessoas.


Segurança da informação se faz com tecnologia, processos e pessoas, e a formação destas exige mais que uma seqüencia de treinamentos. Porque você treina macacos. Pessoas você educa.

O uso intensivo de computadores pessoais como instrumento de trabalho causou um aumento significativo da preocupação com a Segurança da Informação. Para atingir níveis confiáveis de segurança, o foco de muitas empresas tem sido investir primariamente em tecnologia e processos, esquecendo-se dos recursos humanos que necessariamente trabalharão com estas tecnologias e farão funcionar os processos.
O aumento exponencial da quantidade de conhecimento a ser apreendido - com a contrapartida do aumento exponencial da ignorância -, o crescimento da infra-estrutura e da complexidade das redes e comunicação e do numero de usuários aumenta a importância do fator humano como elemento vulnerável dentro da cadeia de recursos que forma a Segurança da Informação. Mais pessoas, com menos tempo, tem de entrar em contato com equipamentos e programas que funcionam sobre tecnologias que elas mal conhecem, sujeitas a ataques e ameaças que crescem não somente em números mas também em suas diferentes formas de apresentação.
Neste contexto as tecnologias e os processos são insuficientes para garantir a Segurança da Informação. E mais: o simples treinamento dos recursos humanos também se mostra ineficaz, frente à continua desatualização dos conhecimentos ministrados. É necessário educar as pessoas, indo muito além de simplesmente treiná-las.

Texto: MBA em Telecomunicações; Roberto Cunha; Fundação Getulio Vargas (FGV) - São Paulo-SP

13 dezembro 2007

Melhore suas buscas no GOOGLE.



Você saberia me responder qual é o grande oráculo da internet ? Descubra você mesmo.Isto é uma verdade, pois tudo que deseja saber ou pesquisar o Google te responde.
Hoje em dia a meio a tanto informações que absorvermos todos os dias, os buscadores são de vital importância para quem utiliza a internet, seja para consulta, trabalho, lazer, etc. Você pode imaginar qual é um dos sites mais acessado todos os dias no Brasil ? Sim, é o Google !
Desde que me entendo por pessoa internauta sempre utilizei a ferramenta de busca, e sem dúvida nenhuma passaria por grandes apuros se a mesma não existisse.
Dicas, ai vem elas…
O intuito deste artigo é mostrar de forma simples e objetiva algumas dicas de como buscar melhor no Google, se alguém souber de mais alguma dica que não está no artigo por favor deixe sua contribuição.
1. OR: Uma coisa ou Outra
Normalmente quando você faz uma busca no google ele realiza uma varredura por páginas que contenha todas as palavras digitadas. Você pode pesquisar utilizar a opção OR para pesquisar sites que tenham uma palavra OU a outra, está dica funciona também com “”” (sem aspas).
Exemplos:dinheiro OR investimentoamor paixao
2. Citações entre Aspas
O Google realizará a busca utilizando todas as palavras pela qual você buscou, se utilizar aspas, ele vai procurar exatamente o que está dentro delas.
Exemplos:Vencedor Aprendiz 4“Vencedor Aprendiz 4″
3. NOT: Negação
Se quiser procurar por uma página e deseja que nela não contenha uma palavra específica, use o símbolo de menos “-”
Exemplo:-motorola modelos celulares
Exibirá páginas que contém modelos de celulares, porém não exibira nenhum que contenha a palavra motorola
4. Termos Similares
Para trazar páginas com contéudo semalhantes utilize o simbolo “~” (til).
Exemplo:~tecnologia faculdade
5. Wildcard: caractere curinga
Utilizado para encontrar pedaços de texto que não recorda, ou mesmo uma música, nome de site na internet. Use o asterisco (*) para especificar qualquer coisa entre as palavras.
Exemplos:mundo * tribosh* potter
6. Busca avançada
Quando necessário, a busca avançada fornece comandos extras, utilize está opção na home do Google (pesquisa avançada)
7. Definições
Essa eu particularmente gosto bastante, não sabe o que significa alguma coisa? utilize define:oquerosaber para aprender mais uma com o oráculo.
Exemplo:define:iphonedefine:mulheres (resposta muito boa no Google)
8. Calculadora
Isso mesmo, você pode realizar somas, subtrações, multiplicaçõs e divisões, usando +,-,* e /.
Exemplo:50 * 599
9. Número intermediário
Retorna valores especificados entre o valor inicial e final. Utilize dois pontos (”..”) entre um número e outro, e o Google vai trazer apenas resultados que tenham números dentro do intervalo que você definiu
Exemplo:oscar 2005..2007
Retorna páginas com contéudo faladno do Oscar entre os anso de 2005 e 2007
10. Site específico
Busca por alguma termo dentro do site, a maioria dos sites oferece busca interna, mais para aqueles que não possuem utilize o comando “site:” junto do domínio onde você deseja buscar
Exemplo:site:sixsideweb.com.br11. Encontre páginas que fazem link para uma outra
Imagine que você encontrou um texto bem interessante, e deseja saber se outros sites fazem link para esta. O Google irá mostrar o contéudo relacionado ao dela.
Exemplo:link:google.com.br
12. Busca direcionada
O Google procura encontrar somente contéudo do assunto escolhido. é útil quando sabe-se o que procura.
Exemplos:Busca por Livros - http://www.google.com.br/booksBusca por Imagens - http://images.google.com.br/Busca por Blogs - http://www.google.com.br/blogsearch
13. Filmes, Músicas
O Google tem a possibilidade de realizar buscas especificas por filmes, músicas.
Exemplos:
movie:harry potermusic:the tears of the dragon
15. Encontre determinados tipos de arquivos
Este também é um dos meus preferidos, utilize o comando “filetype:” acompanhado da extensão que deseja encontrar, documentos em PDF, documentos do Word, planilhas do Excel são algumas das extensões suportados pelo Google.
Exemplos:curriculo filetype:docinvestimentos filetype:xls
16. Especifique em que parte deseja buscar
É possível buscar pelas palavras em determinadas partes de uma página específica, ajudando a filtrar os resultados na busca.Utilize “inurl:” (apenas no endereço das páginas), “intitle:” (apenas no título), “intext:” (apenas no texto) e “inachor:” (apenas nos marcadores do corpo do texto).
Exemplos:intitle:pan 2007fotos inurl:passaros
17. Utilize o cache do Google
Você pode usar deste recurso para encontrar contéudos que já não existe mais nas páginas, porém nos servidores do Google ainda estão em cache, são página que são salvas pelo Google de tempso em tempos.
Exemplo:cache:www.sixsideweb.com.br
18. Pergunte que o oráculo responde
Não sabe sobre um assunto ? faça a pergunta ao Google, provavelmente ele terá a resposta. Não hesite em colocar frases completas, pois a resposta pode estar mais próxima do que você imagina.
Exemplos:
Por que a terra é redonda?como colocar um video no youtube?
Por equanto é isso, espero que gostem das dicas, se tiver alguma mais alguma dica, deixe seu comentário para que todos possam aprender com ela ! http://www.sixsideweb.com.br/.

WEB 2.0 - Uma ferramenta ou um conceito?



Responda rápido: o que têm em comum os sites/serviços GMail, BitTorrent, Delicious, FlickR e YouTube, todos já abordados em nossos tutoriais? Acertou quem respondeu que são representantes célebres da chamada Web 2.0, uma nova encarnação da Internet que tem recebido tanta atenção da mídia e de investidores que já começa a ser tratada como uma segunda “bolha”.
É importante não confundir Web 2.0 com a tão falada e tão pouco vista Internet 2 – a rede super-rápida que interliga instituições acadêmicas e governamentais e eventualmente substituiria a infraestrutura atual. A Internet 2 é isso: infra-estrutura. A Web 2.0 é um conceito, uma série de princípios que definem um novo tipo de site, de serviço, de experiência online.
A origem do termo remonta a 2004, quando representantes da editora O'Reilly e da promotora de eventos MediaLive realizaram uma sessão de “brainstorming” para conceber um congresso sobre Internet. Dale Dougherty, vice-presidente da O'Reilly, teria então saído com a idéia da Web 2.0. A primeira conferência, realizada em outubro daquele ano, foi um sucesso – assim como as edições de 2005 e 2006. Mas o que “pegou” mesmo foi o nome, que já aparece mais de 100 milhões de vezes no Google!
“A rede é o computador”
A primeira definição do que seria a Web 2.0 dizia que ela é “a web como plataforma”. Em outras palavras, que os programas passam a rodar na própria Internet (na verdade, nos servidores das empresas que os desenvolveram), e não mais nos computadores dos internautas. Quem abandonou o Outlook Express ou equivalente depois que começou a usar o Gmail sabe do que estamos falando.
O já mencionado serviço de armazenamento remoto de listas de favoritos Del.icio.us é um exemplo ainda melhor: em vez de guardar seus bookmarks no navegador, ele os armazena nos servidores da empresa, tornando-os disponíveis em qualquer computador do mundo conectado à Internet. Em 2004, só isso bastaria para que fosse classificado como um produto Web 2.0.
Quase um ano depois da realização da primeira conferência, no entanto, Tim O'Reilly, presidente da empresa que leva seu sobrenome, publicou um artigo que expande o conceito de Web 2.0. (Para quem tem dificuldade com o inglês, aqui está “O que é a Web 2.0” em português” em português). O texto é, até hoje, o primeiro resultado que o Google apresenta quando buscamos pela expressão “Web 2.0”.
Nele, Tim lista exemplos de tecnologias e ferramentas da Web tradicional e suas equivalentes na Web 2.0. Ficando apenas com os mais conhecidos do internauta amador, temos exemplos como as duplas Ofoto e FlickR, mp3.com e Napster, Britannica Online e Wikipedia e sites pessoais e blogs – onde o primeiro é sempre Web 1.0 e o segundo, 2.0.
Questão de princípios
Todos os exemplos listados acima permitem bastante participação dos usuários. Etiquetando e comentando fotos no FlickR, sendo eles mesmos os repositórios de músicas no finado Napster, escrevendo e editando os verbetes da Wikipedia e alimentando seus blogs com links para outros blogs, onde também podem deixar comentários.
A possibilidade dos usuários adicionarem valor é apenas um dos oito padrões de desenvolvimento Web 2.0 que Tim listou. O fato do valor da participação do usuário e dos “efeitos de rede” serem acumulado “por default”, sem que necessariamente nos demos conta, é um segundo ponto. A cooperação entre os próprios serviços, permitindo a criação dos chamados “mashups”, é um terceiro, e a geração de grandes bancos de dados que podem alimentar tanto os seus serviços, quanto os dos outros, é o quarto.
Os serviços da nova Web devem também contemplar a “Cauda Longa” (pequenos nichos de mercado que, juntos, representam um enorme volume), ser pouco restritivos nas licenças aplicadas ao seu conteúdo, oferecer software que rode em mais de uma plataforma e atualizar constantemente os programas, que jamais deixariam a “versão beta”. É só analisar os exemplos que listamos no primeiro parágrafo para concluir que quase tudo isso está presente em cada um deles.
Se a definição original da Web 2.0 lhe parecer muito simplista e a lista de princípios de Tim O'Reilly, muito complicada, talvez dê para resumir o conceito pelas palavras do programador Paul Graham. Num artigo publicado no fim de 2005, Graham enumerou três pontos que, em sua opinião, definiam a Web 2.0: Ajax (Asynchronous Javascript and XML, sobre a qual já falamos aqui), democracia e “não maltrate os usuários”. Nós, usuários, agradecemos!
Fonte: Julio Preuss - http://www.uol.com.br/