Caixa de Entrada

Gestão de Riscos de TI

Andre Pitkowski — Sat, 28 Jan 2012 16:01:16 +0000

Um componente essencial de qualquer programa de Gerenciamento Corporativo de Riscos, ou Enterprise Risk Management (ERM) hoje em dia é o Gerenciamento de Riscos de TI. Existindo cada vez mais ameaças à privacidade e à Segurança da Informação, as empresas estão procurando fortalecer seus processos de Gerenciamento de Riscos de TI de varias formas.

Fazendo uma analise de todos os projetos de consultoria em que participei durante os anos de 2010 e 2011, selecionei as seguintes dez sugestões que os gestores de nível superior da empresa podem implementar de modo a melhorar significativamente a postura de Segurança da Informação e, consequentemente, reduzir o risco que TI representa para o negocio:

1. Estabelecer um comitê de riscos separado do comitê de auditoria e atribuir a ele a responsabilidade pelos riscos corporativos, incluindo aí os riscos de TI. Recrutar diretores com experiência em Governança e em riscos de TI.

2. Garantir que a privacidade e as regras de segurança dentro da organização sejam segregadas, com responsabilidades adequadamente atribuídas. O CIO, CISO/CSO, e o CPO devem se reportar de forma independente para a gerência sênior.

3. Avaliar a estrutura organizacional existente e estabelecer uma equipe interorganizacional que se reuna, pelo menos mensalmente, com as tarefas atribuídas de coordenação e comunicação sobre o assunto privacidade e Segurança da Informação para a empresa. Esta equipe deve incluir membros da gerência sênior de recursos humanos, relações públicas, legais e de aquisição, bem como o CFO, CIO, CISO/CSO (ou CRO), o CPO, bem como executivos de negócios.

4. Revisar as políticas de Segurança da Informação para que suportem a criação e a manutenção de uma cultura de segurança e respeito à privacidade. As organizações podem melhorar a sua reputação, valorizando a Segurança da Informação e a proteção da privacidade.

5. Revisar os componentes do programa de Segurança da Informação e garantir que eles estejam aderentes com as melhores práticas e padrões de mercado, e incluir no programa os processos de resposta a incidentes, continuidade de negócios e recuperação de desastres.

6. Estabelecer para os fornecedores de produtos e serviços de TI, requisitos de privacidade e segurança com base nos aspectos chave de negócios corporativos, incluindo auditorias anuais e revisões periódicas dos requisitos de segurança.

7. Realizar uma auditoria anual do programa de Segurança da Informação, para ser apresentado e revisto pelo comitê de auditoria.

8. Realizar uma revisão anual do programa de Segurança da Informação considerando a efetividade dos controles, para ser apresentado revisto pelo comitê de risco corporativo, e assegurar que todas ameaças e as fraquezas identificadas sejam consideradas.

9. Apresentar periodicamente para a alta administração relatórios relativos à privacidade e os riscos de Segurança da Informação para serem utilizados como base da revisão orçamentaria anual de TI para a gestão de riscos de TI.

10. Realizar auditorias anuais de conformidade e de privacidade e revisão dos planos de resposta a incidente, continuidade de negócios e recuperação de desastres.

Estas sugestões devem ser integradas numa abordagem holística com a gestão de riscos corporativos para fornecer um programa eficaz e contínuo que deve ser difundido em todos os níveis dentro da empresa. O processo de integração eleva o nível de consciência de risco corporativo e de TI da empresa e, como consequencia, garante retornos positivos para os proprietários, investidores e acionistas durante os próximos anos.

ISACA Survey: Bring Your Own Device (BYOD) Trend Heightens

Andre Pitkowski — Tue, 01 Nov 2011 15:48:26 +0000

Online Holiday Shopping Risk

Online shoppers to spend 18 hours shopping on devices also used for work activities

Rolling Meadows, IL, USA (1 November 2011)— Shopping online for the holidays is up this year, with a 15 point increase in the percentage of Americans who say they will spend more time shopping online than they did the previous year. But according to ISACA’s fourth annual Shopping on the Job Survey, more than half the time spent shopping will be done from computing devices also used for work purposes, a practice that can pose significant risk to corporate networks and valuable information.

The “2011 ISACA Shopping on the Job Survey: Online Holiday Shopping and BYOD Security” found that online shoppers plan to spend 32 hours on average shopping online this holiday season, with 18 of those hours on a work-supplied device or a personally owned device also used for work activities—a trend called “BYOD” (bring your own device). People are also becoming increasingly tech-savvy: the use of mobile applications has nearly tripled since last year’s survey, 29 percent click on daily deal sites such as Groupon, and 7 percent scan quick response (QR) codes.

BYOD Is Here to Stay

ISACA, a nonprofit professional association of 95,000 IT audit, security and governance professionals, also conducted a separate survey of more than 4,700 of its members from 84 countries. The member survey results show that these IT professionals believe that their organizations are increasingly challenged to deal with BYOD. In every region except Europe, more respondents say that employees are allowed to use personal devices for work purposes, but members in five of the six regions say that the risk of using a personal mobile device for work purposes still outweighs the benefits.

Use of personally owned PCs or mobile devices–typically more difficult to secure than work-issued devices and used for a wide range of often high-risk online activities–means that sensitive corporate information may be compromised through device theft or loss, or malware attacks.

“The consumer survey shows that two-thirds of employees between the ages of 18 and 34 have a personal device they use for work purposes. BYOD is here to stay. However, the fact that the majority of ISACA members say the risk outweighs the benefits means that education and precautions are strongly needed,” said Robert Stroud, CGEIT, CRISC, past international vice president of ISACA and vice president and service management, cloud computing and governance evangelist at CA Technologies.

User Location Data Tracking a Turn-off

While close to four in 10 consumers surveyed use PayPal or a similar secured service to protect their online transactions, they are concerned about newer features, like their mobile device’s ability to track their location. Fully 74 percent say they would turn off user location tracking because of risks such as stalking or identity theft, and 9 percent would keep it on only because they don’t know how to turn it off. Coupled with this lack of knowledge and concern are risky online behaviors. A third of consumers (34 percent) have clicked on a link in a social media site (up from 19 percent in 2010) and more than 1 in 10 (13 percent) click on e-mail links from someone they do not know.

“For the fourth year in a row, ISACA’s online holiday shopping survey shows that employees are unwittingly risking the introduction of viruses, malware and phishing scams into the workplace. What is new this holiday season is the growing role of BYOD, which demands that organizations be more focused than ever on embracing emerging technology and the benefits it brings, and educating employees about safe practices,” said Ken Vander Wal, CISA, CPA, international president of ISACA.

The consumer survey shows that 16 percent of respondents say their organization does not have a policy prohibiting or limiting personal activities on work devices, and another 20 percent do not know if their enterprise has one.

“There is a distinct gap between what IT departments may do and what employees understand or know about,” said John Pironti, CISA, CISM, CGEIT, CRISC, CISSP, security advisor with ISACA and president of IP Architects. “For example, many employees do not realize that, as part of the process of connecting their personal device to the organization’s corporate network, they may have agreed to allow their personal smartphone or tablet to be remotely or locally wiped clean if they lose it or the organization believes it has become compromised while storing confidential data. Setting a policy for the use of personal smart devices and effectively communicating it to employees are crucial.”

Managing Your “BYOD” Mobile Device: 5 Tips for Employees

ISACA offers these tips to help employees manage their personal smartphones, tablets or notebooks that they also use for work activities:

- Make sure you understand the policies, standards, and guidelines that you agree to comply with when connecting a personal device to your corporate network.

- Understand what happens if your organization believes your device is lost, stolen or represents a security risk.

- Follow ISACA’s five-step “ROUTE” for informed use of geolocation.

- Make sure you have enabled all of the security features on your device, including file and network encryption, passcodes, and device locator capabilities.

- Ensure that your devices are current with the latest operating system and application updates on a regular basis.

The complete survey results are available at www.isaca.org/online-shopping-risk.

About the 2011 ISACA Shopping on the Job Survey: Online Holiday Shopping and BYOD Security

The ISACA Shopping on the Job Survey: Online Holiday Shopping and BYOD Security, now in its fourth year, helps gauge current attitudes and organizational behaviors related to the risk and rewards associated with online shopping, and the blurring boundaries between personal and work devices. The study is based on October 2011 online polling of 4,740 ISACA members from 84 countries, including 1,678 members from the US. A separate online survey was fielded among 1,224 US consumers by M/A/R/C Research between 27 September and 30 September 2011. At a 95 percent confidence level, the margin of error for the total sample is +/- 2.8 percent. To see the full results, visit www.isaca.org/online-shopping-risk.

About ISACA

With 95,000 constituents in 160 countries, ISACA^® (www.isaca.org) is a leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit, independent ISACA hosts international conferences, publishes the ISACA^® Journal, and develops international IS auditing and control standards, which help its constituents ensure trust in, and value from, information systems. It also advances and attests IT skills and knowledge through the globally respected Certified Information Systems Auditor^® (CISA^®), Certified Information Security Manager^® (CISM^®), Certified in the Governance of Enterprise IT^® (CGEIT^®) and Certified in Risk and Information Systems Control™ (CRISC™) designations.

ISACA continually updates COBIT^®, which helps IT professionals and enterprise leaders fulfill their IT governance and management responsibilities, particularly in the areas of assurance, security, risk and control, and deliver value to the business.

Follow ISACA on Twitter: http://twitter.com/ISACANews

Join ISACA on LinkedIn: ISACA (Official), http://tinyurl.com/42vbrlz

Like ISACA on Facebook: www.facebook.com/ISACAHQ

Collaborate with ISACA members: www.isaca.org/knowledge-center

Contact:

Kristen Kessinger, +1.847.660.5512, news@isaca.org

Marv Gellman, +1 646.935.3907, marv.gellman@ketchum.com

Note: You are receiving this message because you signed up for ISACA’s news release distribution list. If you wish to be removed, please contactkkessinger@isaca.org.

O Principio de Pareto e sua teoria dos 80/20

Andre Pitkowski — Sat, 01 Oct 2011 21:45:27 +0000

O Gráfico de Pareto, também chamado de diagrama de distribuição de Pareto, é um gráfico de barras (1) verticais onde os valores são plotados em ordem decrescente com frequencia relativa da esquerda para a direita. Os Gráficos de Pareto são extremamente úteis para analisar os problemas que precisam de atenção prioritária porque os pontos mais altos no gráfico, que representam a frequencia da ocorrência do evento, ilustram claramente quais variáveis têm maior efeito cumulativo em um determinado sistema.

O gráfico de Pareto recebe este nome em homenagem ao economista italiano Vilfredo Pareto. Em 1906, Pareto observou que 20% da população na Itália detinha 80% de todas as propriedades imobiliárias. Ele propôs que essa relação poderia ser encontrada em muitos lugares do mundo físico e teorizou que poderia ser uma lei natural, onde 80% dos resultados são determinados por 20% das causas.

Na década de 1940, a teoria de Pareto foi aperfeiçoada pelo Dr. Joseph Juran, um engenheiro elétrico americano o qual é amplamente creditado como sendo o pai do Controle de Qualidade. Foi o Dr. Juran, que decidiu chamar a relação de 80/20 o “Princípio de Pareto”. A aplicação do Princípio de Pareto para métricas de negócio ajuda a separar os “poucos vitais” (os 20% que tem o maior impacto) da ”muitos úteis” (os outros 80%). O gráfico abaixo ilustra o Princípio de Pareto por frequencia de mapeamento, com a suposição de que o algo que acontece com mais frequencia, é o que tem mais impacto sobre o resultado.

O gráfico de Pareto é uma das sete ferramentas básicas de Controle de Qualidade. As variáveis independentes (2) no gráfico são exibidas no eixo horizontal, e as variáveis dependentes )2) são retratadas como as alturas das barras. Um gráfico ponto-a-ponto, que representa a frequencia acumulada relativa, pode ser sobreposta no gráfico de barras. Como os valores das variáveis estatísticas são colocados em ordem de frequencia relativa, o gráfico revela claramente quais são os fatores que têm o maior impacto, e onde se deve prestar atenção para produzir o maior benefício.

Um Exemplo

O Gráfico de Pareto pode ser usado para identificar rapidamente quais as principais questões de negócios que precisam de atenção. Usando dados concretos em vez da intuição, não existem dúvidas sobre quais são os problemas que estão influenciando o resultado. No exemplo abaixo, a loja ACME de comercialização de vestuário estava sofrendo com um declínio constante nas vendas. Antes do gerente realizar uma pesquisa de satisfação com os clientes, ele assumiu que o declínio nas vendas foi devido à insatisfação dos clientes com a linha de roupas que ele estava vendendo, e culpou sua cadeia de abastecimento por seus problemas. Mas então, depois de realizar uma pesquisa de satisfação e mapear a frequencia das respostas, ficou claro que as verdadeiras razões para o declínio do seu negócio não tinha nada a ver com a sua cadeia de abastecimento. Através da tabulação dos dados da pesquisa e a representação num Gráfico de Pareto, o gerente pode conferir quais variáveis estavam tendo maior influência. Neste exemplo, dificuldades de estacionamento, vendedores mal preparados e problemas de iluminação estavam prejudicando o negócio. Seguindo o Princípio de Pareto, essas são as áreas onde devem se concentrar a atenção para as vendas voltarem a crescer.

(1) Um gráfico de barras é a interpretação pictórica de dados estatísticos, em que a variável independente pode atingir somente determinados valores discretos. A variável dependente pode ser discreta ou contínua. A forma mais comum de um gráfico de barras é o gráfico de barras vertical, também chamado de gráfico de colunas.

Em um gráfico de barras verticais, os valores da variável independente são plotados ao longo de um eixo horizontal da esquerda para a direita. Os valores da função são exibidos como barras verticais sombreadas ou coloridas de igual espessura, estendendo-se para cima em várias alturas a partir do eixo horizontal. Em um gráfico de barras horizontais, a variável independente é traçada ao longo de um eixo vertical de baixo para cima. Os valores da função são exibidos como barras horizontais sombreadas ou coloridas de igual espessura estendendo-se para a direita, com sua esquerda terminando alinhada verticalmente.

A figura acima é exemplo de um gráfico de barras verticais representando os resultados de um teste aplicado a uma classe hipotética de alunos. Cada letra (A até F) é representada por uma barra sombreada vertical de uma determinada altura. O total das porcentagens é igual a 100. (Se o total não for 100%, a precisão do gráfico ou os dados de apoio seriam questionáveis!) A percentagem de estudantes que recebem uma nota específica é diretamente proporcional à altura da barra que representa essa categoria. A espessura da barra é determinada apenas para maior clareza de ilustração.

Em um tipo específico de gráfico de barras verticais denominado Gráfico dePareto, os valores das variáveis dependentes são plotados em ordem decrescente de frequencia relativa da esquerda para a direita. Um outro tipo de gráfico de barras denominado de histograma usa retângulos para apresentar a frequencia de itens de dados em sucessivos intervalos numéricos de igual tamanho. Outros tipos de gráficos de barras permitem traçar vários intervalos a partir das variáveis dependentes, múltiplas variáveis independentes, variáveis positivo/negativo e variáveis multi-categoria.

(2) variáveis independentes e dependentes

Uma variável independente é uma variável que é manipulada para determinar o valor de uma variável dependente. A variável dependente é o que está sendo medido em um experimento, ou avaliada em uma equação matemática, e as variáveis independentes são as entradas para a medição.

Em uma simples equação matemática, por exemplo: A=B/C

as variáveis independentes são B e C; determine o valor de A.

Aqui um outro exemplo:
Um professor deseja comparar o número de alunos atrasados vestindo preto com o número de alunos atrasados vestindo azul. Neste cenário, a cor do vestuário é a variável independente, e a diferença entre o número de alunos, classificados pela cor da roupa, é a variável dependente.

Mais um exemplo:

Um fiscal de trânsito precisa comparar o número de motoristas que avançam o semáforo vermelho das 08:00 até às 09:00 com o número de motoristas que o fazem das 09:00 até às10:00. Neste cenário, o intervalo de tempo é a variável independente, e a diferença entre o número de condutores avançando semáforos vermelhos durante esses períodos de tempo é a variável dependente.

Dez verdades que a TI deve aprender a aceitar

Andre Pitkowski — Wed, 07 Sep 2011 16:11:05 +0000

Dan Tynan, CIO/EUA

Publicada em 06 de setembro de 2011 às 09h34

Em um mundo perfeito, a sua rede não sofreria nenhuma degradação de serviço ou ataque. Você ficaria em conformidade perfeita com todos os regulamentos do governo, e seus usuários seriam todos auto-sustentáveis. A nuvem tomaria conta de quase todas as suas necessidades de infraestrutura, e não haveria um único dispositivo de acesso a rede você não aprovasse primeiro e controlasse.

Você receberia, finalmente, o respeito e a admiração que você realmente merece.

Infelizmente, o fosso entre seus sonhos e a realidade ura e fria só fica maior a cada dia. Isso não significa que você deva desistir, mas que você precisa cair na real sobre o que você pode mudar e o que você deve aceitar.

Aqui estão 10 cenários que os times de TI devem aprender a conviver.

1:: A revolução do iPhone chegou para ficar

Mais e mais nos dias de hoje os locais de trabalho se assemelham a uma festa nerd do tipo BYOD (traga seu próprio dispositivo). O problema? Muitos departamentos de TI nunca receberam um convite ou se dispuseram ao RSVP.

Pesquisas realizada pela IDC para a Unisys, em maio de 2011, descobriu que 95 por cento dos profissionais da informação utilizam tecnologia pessoal no trabalho – ou seja, aproximadamente o dobro do que os executivos das mesmas empresas entrevistadas estimaram. E a IDC prevê que o uso de smartphones de propriedade dos empregados no local de trabalho vai dobrar até 2014.

Nathan Clevenger, arquiteto chefe de software de dispositivos móveis da empresa de gestão ITR e autor ddo livro “iPad na empresa” (Wiley, 2011), diz que o iPhone e iPad são os catalisadores para o consumo de TI. Departamentos de tecnologia podem permitir que eles sejam usados de forma segura ou assumir as conseqüências do risco.

“É melhor que a TI suporte os dispositivos e as tecnologias demandas pelos usuários, porque de qualquer modo eles usarão a tecnologia pessoal para fins comerciais”, diz Clevenger. “Essa é uma situação muito mais perigosa do ponto de vista de segurança do que apoiar a dispositivos de consumo, em primeiro lugar.”

É preciso encontrar um meio termo entre tentar (sem sucesso) manter a tecnologia de consumo fora do local de trabalho, e permitir o acesso irrestrito à rede a partir de qualquer dispositivo, diz Raffi Tchakmakjian, vice-presidente de gerenciamento de produtos da Trellia.

“O BYOD é um cenário com o qual os departamentos de TI estão aprendendo a conviver, mas lutam para gerenciá-los com segurança”, diz ele. “Torna-se muito difícil garantir a conformidade com padrões corporativos e ainda atender às necessidades de negócios. Eles precisam de uma solução de gestão que garanta a segurança dos dados corporativos e permita gerir os custos com um impacto mínimo nas operações de TI e infra-estrutura.”

2:: Você perdeu o controle sobre como sua empresa usa a tecnologia

Não são apenas os dispositivos pessoais de consumo que estão invadindo o local de trabalho. Hoje, um usuário da empresa sem absolutamente nenhum talento para a tecnologia pode contratar serviços de terceiros, na nuvem, com apenas um telefonema e um cartão de crédito ou, em muitos casos, um formulário Web e um clique. A TI perdeu o controle sobre ele.

Isso não é necessariamente uma coisa ruim. O universo crescente de nuvem e aplicativos móveis pode dar aos usuários de negócio acesso rápido aos recursos de tecnologia que precisam, sem criar uma carga adicional sobre a equipe ou os orçamentos de TI.

“Durante anos, a TI tem controlado a cada aplicação, e o processo em torno da tecnologia”, diz Jeff Stepp, diretor da Consultoria Copperport. Agora, seu trabalho não é mais o de fornecer todas as soluções, mas permitir que os usuários de negócios tomem as decisões corretas, diz Scott Goldman, CEO da TextPower, fabricante de plataformas de mensagens de texto para o negócio.

“Em vez de lutar para recuperar o controle, os departamentos de tecnologia devem se esforçar por algo mais valioso: ter influência”, diz ele. “Quando os departamentos de TI passam a tratar seus usuários como clientes em vez de queixosos, ficam mais próximos dos resultados que desejam. Os dias do todo-poderoso departamento de TI se foi. Quanto mais cedo eles percebem isso, mais rápido eles vão realmente recuperar algum nível de controle.”

3:: Você sempre enfrentará algum tempo de inatividade

Eventualmente, até mesmo os data centers com melhor manutenção vão cair. E, nessa hora, se você tiver redundância, perfeito. Você é um dos poucos sortudos a trabalhar em um ambiente ideal.

Em setembro de 2010 , uma pesquisa com mais de 450 gerentes de data center, patrocinada pela Emerson Network Power e realizada pelo Instituto Ponemon, revelou que 95 por cento deles já sofreram pelo menos um desligamento não planejado durante os últimos 24 meses. A duração média do tempo de inatividade: 107 minutos.

Em um mundo perfeito, todos os centros de dados seriam construídos em torno de arquitetura altamente redundante, onde nunca a carga máxima seja superior a 50 por cento, diz Peter Panfil, um vice-presidente de Liebert AC Power, uma divisão da Emerson Network Power. Eles seriam capazes de lidar com cargas de pico, mesmo quando os sistemas críticos falhassem e outros estivessem em manutenção, com a possibilidade de recuperação separada pronta para entrar em operação em caso de um desastre de toda a região.

No mundo real, no entanto, 100 por cento o tempo de atividade só é possível se você estiver disposto a pagar por ele, e a maioria das empresas não é, diz Panfil.

Organizações onde o tempo de atividade é essencial para a sobrevivência estão segmentando seus data centers, acrescenta ele, reservando-se a alta disponibilidade para seus sistemas mais críticos e aceitando menos em outro lugar. Se seu e-mail cai por meia hora, é chato, mas não é fatal. Se o seu sistema de transações em tempo real cai, sua empresa pode perder milhares de dólares por minuto.

“É sempre melhor ter a capacidade e não precisar usá-la e a não ter”, diz ele. “Mas as pessoas que estão assinando os cheques nem sempre fazem essa escolha.”

4:: Seus sistemas nunca serão totalmente compatíveis

Como o tempo de atividade, a adesão 100 por cento é um objetivo nobre, mais teórica do que prática. O seu nível de cumprimento irá variar dependendo de que indústria você está, diz Mike Meikle, CEO do Grupo Hawkthorne. Organizações em áreas fortemente regulamentadas, como as de saúde ou finanças, provavelmente não estarão em plena conformidade porque as regras mudam com muita frequência, assim como as diferentes maneiras que podem ser interpretadas.

“É seguro dizer que, assim como nenhuma rede pode ser 100 por cento segura, nenhuma organização pode ter certeza que é de 100 por cento compliance”, diz ele. “Se um fornecedor está tentando vender um produto que garante o cumprimento perfeito, está mentindo.”

Outro risco é cair na armadilha de conformidade, em que as organizações gastam demasiados recursos tentando ficar em sincronia com os regulamentos, ignorando outras partes mais vitais de suas operações, diz Meikle.

“As organizações que lutam pelo cumprimento de regulamentos, muitas vezes caem em outras áreas”, diz ele. “Estar em conformidade com os regulamentos não significa necessariamente que você está fazendo o que você precisa fazer para o seu negócio. Compliance é realmente apenas um componente de gestão de risco, que é um componente de governança corporativa. É uma questão de negócios abrangente que precisa ser tratada como tal.”

5:: A nuvem não vai resolver tudo (e pode até romper algumas coisas)

Nuvens estão no horizonte das equipes de TI. De acordo com pesquisas do Gartner, mais de 40 por cento dos CIOs esperam executar a maioria das suas operações de TI na nuvem, até 2015.

Mas, mesmo a nuvem não é a solução definitiva. Confiabilidade, segurança e perda de dados continuarão a causar dores de cabeça para os departamentos de TI – eles simplesmente têm menos controle sobre o material que está na nuvem.

“A perda de dados é inevitável em qualquer organização e ainda pode acontecer na nuvem”, diz Abhik Mitra, gerente de produto do Kroll Ontrack, empresa de consultoria especializada em gestão de informações e recuperação de dados. “As empresas devem se preparar para o pior, planejando com o seu fornecedor o tempo de inatividade e de recuperação de dados, de migração e de perda catastrófica. Segurança dos dados será sempre uma preocupação, apesar dos avanços das soluções de cloud.”

A nuvem também introduz um novo problema: como as organizações podem medir com precisão os gastos com TI, especialmente porque os usuários de negócios contratam seus serviços em nuvem sem supervisão de TI. O chamado “shadow IT” pode causar dores de cabeça para empresas e departamentos de tecnologia forçando-os a valorizarem mais os serviços que prestam, diz Chris Pick, diretor de marketing da Apptio, fornecedora de soluções de tecnologia de gestão de negócios.

“Pela primeira vez, os usuários de negócios têm uma escolha entre as ofertas do departamento de TI e as que os usuários podem contratar por conta própria”, diz ele.

6:: Você nunca terá o suficiente

Os departamentos de TI muitas vezes querem o mais justo quando se trata de terceirização, mas não é provável obtê-lo, diz Meikle.

A indústria de terceirização de tecnologia é muito mais madura do que, digamos, a de terceirização de serviços de RH. A solução para os problemas de mão de obra de TI, diz Meikle, é aproveitar os terceirizados e integrar com eles, tanto quanto possível.

“Os profissionais de TI precisam entender que eles trabalham para eles mesmos primeiro, e depois para a organização”, diz ele. “Eles precisam continuar desenvolvendo sua rede de contactos e de marketing, e desenvolver uma marca pessoal, mesmo quando eles são empregados. Goste ou não, os profissionais de TI podem ter que desembolsar algum dinheiro, pessoalmente, para pagar a sua educação, lembrando que isso pode render dividendos quando a situação fica ruim.”

7:: A sua rede já foi comprometida

Todo mundo quer que as suas redes para sejam fáceis de gerenciar e de difícil violação. De acordo com a pesquisa mais recente do Computer Security Institute, 4 em cada 10 organizações experientes já sofreram com infecção por malware, ataques de bot nets, ou foram alvo de alguma tentativa de invação em 2010. Outros 10% sequer sabiam se as suas redes tinham sido violadas.

Uma abordagem mais inteligente é começar com a suposição de sua rede já foi comprometido e projetar a segurança em torno disso, diz Wade Williamson, analista sênior da ameaça a segurança da rede da empresa Palo Alto Networks.

8:: Os segredos mais profundos da sua empresa estão a apenas um tweet de distância

Seus funcionários estão usando redes sociais no trabalho, seja isso permitido ou não. O problema? De acordo com pesquisas da Panda Software, um terço das pequenas e médias empresas sucumbiram às infecções de malware distribuídas através de redes sociais, enquanto que quase um aem cada quatro organizações enfrentaram vazamentos de dados confidenciais.

“O comportamento de pessoas usando a mídia social é como o seu comportamento através de e-mail há 10 anos”, diz Rene Bonvanie, vice-presidente de marketing mundial da Palo Alto Networks. “Com o e-mail, nós aprendemos a nunca clicar em nada. Mas por dentro da mídia social, as pessoas clicam em cada URL porque confiam no remetente. É por isso que botnets controladas há cinco anos estão voltando à ativa agora, via redes sociais. É um grande risco.”

Mesmo as organizações que usam soluções de segurança para mídias sociais ou ferramentas de prevenção de perda de dados não podem impedir que os fãs do Facebook ou do Twitter vazem segredos da empresa ou outros fatos embaraçosos para o mundo, diz Sarah Carter, vice-presidente de marketing da Actiance, fabricante ferramentas de segurança Web 2.0.

“O mais importante é a educação”, diz Carter. “Educar, reeducar e educar novamente. Coloque a tecnologia de treinamento de soluções no lugar, onde você pode lembrar os usuários sobre os riscos e também sobre a política da empresa para uso de sites não são relevantes para os negócios.”

9:: Seus usuários nunca deixarão de precisar de suporte

É o sonho de qualquer departamento de TI. Se eles pudessem tirar os usuários carentes das suas costas, poderiam ter mai tempo para se dedicar a outras tarefas mais nobres. Mas apesar dos investimentos em bases de conhecimento on-line e soluções de suporte automatizado, a noção de que as organizações podem abandonar o suporte presencial é ainda a coisa de ficção científica, diz Nathan McNeill, diretor de estratégia da Bomgar, fabricante de aparelhos de suporte remoto.

“A TI pode tratar de vários problemas comuns nos ambientes de auto-suporte – como redefinições de senhas, etc – mas sempre será mais fácil o contato pessoal para lidar com as questões pontuais e mais complexas”, diz ele. “Mesmo que a tecnologia milagrosamente funcione 100 por cento do tempo, os usuários não serão capazes de descobrir o que precisam nelas 100 por cento do tempo.”

Em vez do suporte self-service, as organizações fariam melhor se investissem em soluções de assistência remota, diz Chris Stephenson, co-fundador da empresa de consultoria de gestão Arryve.

10:: Você nunca vai ter o respeito que você merece

Não importa o quanto sua equipe trabalhe e como é vital para a existência de uma empresa. Os profissionais de TI não devem esperar obter respeito fora de suas próprias fileiras.

“O que o pessoal de TI quer é ser apreciado, valorizado e entendido”, diz Steve Lowe, fundador e CEO da Innovator, desenvolvedora de software personalizado. “E isso acontece tão raramente.”

A melhor maneira de conseguir algum respeito? Conquistá-la todos os dias, diz Lowe.

“A principal coisa que os líderes de TI podem fazer para combater esses equívocos é o foco na prestação de serviços de extraordinário valor para a empresa”, diz Lowe. “Encontre um lugar onde um pouco de tecnologia terá um retorno enorme. Se você puder demonstrar que a TI faz a diferença, que torna as tarefas mais fáceis para os executivos, estará a um passo de dar à equipes de TI o respeito que merece .”

ISACA Certifies 10,000th CRISC

Andre Pitkowski — Tue, 19 Jul 2011 22:45:54 +0000

Designation Recognizes Experienced Risk and Control Professionals

Rolling Meadows, IL, USA (19 July 2011)—At the closing of ISACA’s rigorous grandfathering program for the Certified in Risk and Information Systems Control (CRISC) designation, more than 10,000 professionals have demonstrated their knowledge and experience in the areas of risk and control and earned the CRISC credential.

ISACA is a nonprofit association of more than 95,000 IT professionals worldwide. The domain areas of CRISC (pronounced “see risk”) in which candidates were required to demonstrate experience included:

Risk identification, assessment and evaluation
Risk response
Risk monitoring
IS control design and implementation
IS control monitoring and maintenance

“The CRISC designation was created in response to a significant market demand for a credential that recognizes the skills of experienced risk and control professionals,” said Urs Fischer, CISA, CRISC, chair of the CRISC Certification Committee. “ISACA requires individuals seeking the CRISC designation to demonstrate a proven ability to design, implement, monitor and maintain effective risk-based information systems controls. The designation helps these certificate holders stand out to employers and among peers.”

Since 1 April 2010, candidates from more than 121 countries have applied for CRISC certification. The first CRISC exam was administered in June 2011. The next exam will be held in December 2011 and study materials are available from ISACA for preparation.

“The number of those who have already applied for the CRISC credential during the grandfathering period shows that it is well on its way to being recognized and respected globally for risk management,” said Ken Vander Wal, CISA, CPA, international president of ISACA. “Effective management of risks is valuable to enterprises and finding the most qualified candidates for this responsibility is becoming increasingly critical. The CRISC designation makes it clear to employers that a candidate who has earned it can excel at these responsibilities.”

ISACA also administers the following three certifications, which are globally recognized by many industries, government entities and professionals:

Certified Information Systems Auditor (CISA), earned by more than 87,000 professionals since 1978
Certified Information Security Manager (CISM), earned by more than 16,500 professionals since 2002
Certified in the Governance of Enterprise IT (CGEIT), earned by more than 4,500 professionals since 2007

Additional information about ISACA certifications is available at www.isaca.org/certification.

About ISACA

With 95,000 constituents in 160 countries, ISACA^® is a leading global provider of knowledge, certifications, community, advocacy, and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit, independent ISACA hosts international conferences, publishes the ISACA^® Journal, and develops international IS auditing and control standards, which help its constituents ensure trust in, and value from, information systems. It also advances and attests IT skills and knowledge through the globally respected Certified Information Systems Auditor^®(CISA^®), Certified Information Security Manager^® (CISM^®), Certified in the Governance of Enterprise IT^® (CGEIT^®) and Certified in Risk and Information Systems Control™ (CRISC™) designations. ISACA continually updates COBIT^®, which helps IT professionals and enterprise leaders fulfill their IT governance and management responsibilities, particularly in the areas of assurance, security, risk and control, and deliver value to the business.

Follow ISACA on Twitter: http://twitter.com/ISACANews

Join ISACA on LinkedIn: ISACA (Official)

Like ISACA on Facebook: www.facebook.com/ISACAHQ

Contact:

Kristen Kessinger, +1.847.660.5512, news@isaca.org

Joanne Duffer, +1.847.660.5564, news@isaca.org

Os Domínios da Gestão de Riscos

Andre Pitkowski — Tue, 21 Jun 2011 02:30:00 +0000

Pode parecer obvio o desejo de qualquer empresa em desenvolver sua estrutura de gerenciamento de riscos, porem, como diz Galvão Bueno enquanto narra corridas de Formula 1, chegar é uma coisa, passar é outra. Completar este processo com sucesso requer a execução de uma grande quantidade de tarefas detalhadas e complicadas. Enquanto as necessidades de confidencialidade, integridade e disponibilidade (segurança) são determinadas pelas áreas de negocio, há que se considerar também pessoas, processos e tecnologia para o sucesso desta empreitada.

Sem pessoas não dá!

Para os CISOs (Chief Information Security Officers) e suas empresas, os funcionários podem ser os ativos mais importantes ou de maior responsabilidade quando se fala em gerenciar riscos de TI. O ideal é que os CISOs trabalhem junto aos funcionários para desenvolver uma cultura de segurança da informação contemplando a estrutura de três pilares:

Gestão de Acessos e Gestão de Identidades: Definir funções para diferentes usuários no ambiente de trabalho, desde assistentes administrativos até o executivo chefe de finanças, e especificar privilégios de acesso físicos e lógicos para todos os funcionários. Uma vez que estas regras estejam definidas, garantir que todos possuam os acessos apropriados, de acordo com suas funções.
Organização da Segurança da Informação: A idéia é tornar todos responsáveis pela segurança da informação. Os CISOs bem sucedidos entendem que a empresa necessita considerar muito mais do que simplesmente atacar apenas os problemas de segurança em TI. Devem também gerenciar os riscos inerentes à proteção da informação corporativa em todas as suas formas.
Treinamento e conscientização: Desenvolver a imagem e o plano de marketing para a segurança da informação. Os funcionários que não atuam diretamente com segurança e privacidade de dados não tem idéia do que seja gestão de riscos da informação. E é função do CISO mantê-los informados e interessados no assunto segurança da informação.

Controle sobre a tecnologia cria eficiência e economiza tempo

Seres humanos são muito mais espertos do que computadores, mas computadores são muito melhores em executar tarefas repetitivas e que consomem tempo. Assim sendo, tarefas de monitoração, garantia de execução, respostas, métricas e reportes sobre controles de segurança da informação são os candidatos primários para automação (ou automatização), mas somente depois que todos os funcionários foram treinados e os processos foram especificados e detalhados. Se as pessoas e os elementos de processos forem negligenciados, todo trabalho será inevitavelmente perdido. Podemos dividir a área de Tecnologia em sete domínios de riscos.

Rede: Use a tecnologia para tornar sua rede inteligente. Segurança de rede significa manter a informação segura contra aqueles de fora da empresa, protegida contra acesso não autorizado daqueles de dentro da empresa e também segura enquanto em transito.
Banco de Dados: Criptografar os dados, preferencialmente de forma corporativa fazendo uso de uma ferramenta de gestão centralizada. Mantenha controle sobre os bancos de dados com monitoramento ativo, gestão de vulnerabilidade e segurança de dados quando em transito.
Aplicativos: Definir estratégias corporativas para proteger sistemas aplicativos. Tal como a proteção de um banco de dados, mantenha autenticação de acesso aos dispositivos de armazenamento e criptografe os dados contidos nestes dispositivos quando apropriado.
Dispositivos: Primeira linha de defesa. Proteção para as estações de trabalho, notebooks e dispositivos moveis como PDAs e SmartPhones. Normalmente são estes dispositivos que, por falha ou negligencia de atualização, são os primeiros a serem infectados e introduzem pedaços de códigos danosos (malware) no ambiente corporativo. Existem tecnologias de antivírus, antispam, criptografia de disco, gestão de configuração, firewall/IPS e fatores de autenticação para proteger estes elos mais fracos da corrente de trabalho.
Infraestrutura: Reduza sua superfície de ataque. 69% de todas as vulnerabilidades documentadas em 2006 referiam-se a aplicações baseadas em Web. Para reduzir a superfície de ataque use ferramentas com tecnologia para analise de código e instale um firewall especifico para servidores Web, de forma a defender seu aplicativo de requests inapropriados.
Conteúdo: Proteção para a troca de informações de negocio. O CISO deve garantir que toda informação sensível ao negocio está criptografada e que todo trafego de entrada e saída, Web, e-mail e IMs esta sendo filtrado de acordo (em conformidade = compliance) com as políticas corporativas.
Criptografia de dados: Simplesmente ou meramente criptografar dados não oferece proteção adequada. É necessária a elaboração e implementação de uma estratégia corporativa com critérios estritos de autorização de acesso para manter os dados seguros e a salvo de acessos não autorizados, desde os dados armazenados até os dados em transito.

Processos é a cola que une Pessoas e Tecnologia

Até a melhor estrutura de gerenciamento de riscos torna-se inútil se não existirem processos por detrás das políticas. Para manter a numerologia vamos dividir processos em sete domínios:

Gestão de Riscos: Significa reduzir, transferir ou aceitar os riscos. Introduza processos para identificar, avaliar e mitigar os riscos relacionados à segurança da informação. Depois crie processos para priorizar, monitorar e acompanhar os riscos. Possuir um processo formal de gerenciamento de riscos garante que a gestão do negocio esta consciente de quais são os riscos críticos e assim pode tomar as ações apropriadas para mitigar, reduzir, aceitar ou transferir estes riscos.
Estrutura de Políticas e Compliance: Providenciar guias e normas concretas sobre o assunto para os usuários. Produzir políticas de segurança é apenas o primeiro passo. As políticas necessitam ser convertidas em padrões, procedimentos e guias técnicos de implementação.
Gerenciamento de ativos de Informação: Muitas empresas têm dificuldade em manter seus ativos de informação porque estes estão suportados por processamento de dados. Para tentar resolver este problema a construção dos processos envolve especificar quem é o proprietário daquela informação, classificar os ativos, gerenciar estes ativos através do seu ciclo de vida e garantir de forma apropriada a retenção e a destruição destes ativos.
Continuidade de Negocio e Recuperação de Desastres: A idéia é reduzir substancialmente o impacto das interrupções e desastres de negocio – ou em alguns casos até evitá-los – atuando com rigor nos processos de Continuidade de Negócios e Recuperação de Desastres. O CISO necessita desenvolver um conjunto de processos para manter, treinar e gerenciar os riscos de negocio, garantir que os sistemas estejam redundantes e criar disponibilidade de pessoal se e quando for necessário.
Gerenciamento de Ameaças e Incidentes: Novamente, processos bem estabelecidos são essenciais para garantir que todas as ameaças sejam pesquisadas, planejadas e respondidas de forma apropriadas. Muitos CISOs permanecem focados nas ameaças à infraestrutura de TI, a despeito do fato de que a maioria das ameaças tem origem em vulnerabilidades que existem em aplicações.
Segurança Física e ambiental: Não importa o quão sofisticada seja sua segurança digital; se os seguranças (Pessoas) que ficam na entrada da empresa ou nas catracas não controlam o acesso ao ambiente físico corporativo de forma consistente, sua empresa nunca estará segura. Pensando adiante, varias empresas estão pensando na convergência da segurança física e lógica, colaborando em processos e pessoal, utilizando diferentes conjuntos de tecnologia para compartilhar informações e melhorar a eficiência geral da segurança. Equipamentos e locais necessitam manutenção regular e controles ambientais adequados, tais como aquecimento, ar condicionado, geradores para manterem a continuidade das operações.
Gerenciamento das Operações e Desenvolvimento de Sistemas: Não deixe a segurança chegar a um ponto em que problemas podem ser explicados, mas não justificados. Envolvendo-se com a segurança desde o primeiro dia, a empresa economizara tempo, recursos e dinheiro. Gerenciamento de mudanças, revisões periódicas da arquitetura, garantia de qualidade e controle de acesso para desenvolvimento, homologação e produção garantem que sistemas e aplicações estão adequadamente protegidos.

Abordagem de cima para baixo (top-down)

Segurança é um negocio complicado, então descobrir um meio simples de gerenciar e reportar riscos onde as prioridades de negocio são mandatórias, é a única forma de controlar seu trabalho (CISO) e convencer os gestores do negocio de que este trabalho será realmente efetivo, isto é, produzirá resultados positivos para o negocio. Juntando as pessoas, tecnologia e processos de segurança em políticas, as empresas podem estabelecer uma estrutura que efetivamente monitora, mede e reporta (controles) os riscos tornando a empresa conforme com as políticas de segurança.

Ranking de risco indica países mais expostos a catástrofes naturais

Andre Pitkowski — Sat, 18 Jun 2011 11:15:53 +0000

Terremoto e tsunami devastaram parte do Japão

Criado pelo Instituto de Meio Ambiente e Segurança Humana da Universidade das Nações Unidas, índice alia exposição a acidentes naturais e aspectos humanos. Brasil é considerado país que oferece pouco perigo.

Pequenas, idílicas e desprotegidas: Vanatu e Tonga, ilhas localizadas no Pacífico, são também os dois países mais expostos ao risco de acidentes naturais trazido pelas mudanças do clima. O dado consta no novo Relatório de Risco Mundial, um índice criado pelo Instituto de Meio Ambiente e Segurança Humana da Universidade das Nações Unidas, apresentando em Bonn nesta quarta-feira (15/06).

O estudo analisou 173 países e considerou aspectos ambientais e humanos, como exposição a catástrofes naturais provocadas pelo clima e vulnerabilidade social. O índice também avaliou fatores econômicos, assim como aspectos governamentais, todos considerados decisivos para evitar que um evento natural, como terremoto ou enchente, se transforme numa catástrofe.

Segundo o ranking, as Filipinas são o terceiro país com risco mais elevado. Já a ilha de Malta e o Catar aparecem como locais menos expostos ao perigo. Numa escala de cinco níveis que vai de risco “muito elevado” (grau 5) a “muito baixo” (grau 1), a situação no Brasil é tida como de pouco perigo – grau 4. Já os demais países da América Latina foram classificados como nações que oferecem risco “muito elevado” ou “elevado”.

Despreparo: terremoto matou mais de 200 mil pessoas no HaitiAspecto humano

O ranking do Relatório de Risco Mundial foi feito com base numa combinação de diferentes itens avaliados. Primeiramente, considera-se o quão expostos estão os países a uma ameaça natural: terremotos, tornados, inundações, seca e elevação do nível do mar. No quesito vulnerabilidade, entram aspectos como infraestrutura oferecida pelo país, situação das moradias, alimentação, parcela de pobreza da população e ganho salarial.

A estrutura governamental, assim como o serviço médico, a organização social e o sistema de alerta contra catástrofes são itens considerados como capacidade de responder a um evento natural. Por último, a capacidade de adaptação leva em conta a dedicação à pesquisa, o nível de formação escolar dos países, proteção climática, estratégias e investimentos.

“Eventos naturais extremos não precisam se tornar, necessariamente, uma catástrofe. O risco não depende apenas da ameaça natural, mas os fatores sociais e econômicos são determinantes”, comenta Peter Mucke, diretor da associação Entwickung Hilft (Desenvolvimento Ajuda), organização que trabalhou na pesquisa.

Dois acontecimentos recentes ilustram bem a avaliação feita no relatório. O Japão, por exemplo, é um país bastante exposto a riscos de acidentes naturais numa comparação global – até mais que o Haiti. Abalado por um dos terremotos mais violentos da história, o país registrou 28 mil mortos, enquanto que, na ilha caribenha, o número de vítimas fatais chegou a 220 mil.

“Essa diferença na dimensão dos efeitos catastróficos de tais eventos naturais revelam os diferentes tipos de vulnerabilidade dos países, que é um importante item considerado no índice”, diz o relatório. No ranking, o risco no Haiti é considerado “muito elevado” e no Japão “alto”.

Chile: terremoto de 8,8 graus provocou 562 mortesUm exemplo latino

Posicionado como o 25º país mais expostos a riscos, o Chile sofreu com o abalo sísmico de fevereiro de 2010. Apesar da magnitude de 8,8 graus na escala Richter, o terremoto tirou a vida de 562 cidadãos. Segundo o Relatório, nesse caso, a administração federal teve um papel importante na reação rápida ao evento natural devido à eficiência do setor público e à política anticorrupção do governo, considerada boa.

Os autores do estudo afirmam que, desde os anos de 1960, as instituições governamentais chilenas se preocupam em melhorar o setor da construção civil. “As estruturas dos prédios mais estáveis, pelo menos nas novas construções, devem ter sido um motivo importante para que o número de mortos fosse pequeno”, conclui o texto. As tecnologias inovadoras contra catástrofes e a aplicação regular de treinamentos também são pontos ressaltados.

Autora: Nádia Pontes
Revisão: Carlos Albuquerque

Só não entendi o risco Brasil: entendo que deveria ser UM. Abraços, Andre Pitkowski

Cinco pontos a considerar na avaliação dos controles

Andre Pitkowski — Tue, 14 Jun 2011 10:46:48 +0000

As ferramentas de avaliação de riscos e de controles são consideradas como as básicas neste assunto. Todo mundo que eu conheço, mais luta com elas do que as usa. Num congresso que participei, perguntei a alguns colegas consultores o que eles pensavam a respeito, e até mesmo o nome ou designação do que é a ferramenta foi motivo de discordia: Auto avaliação de riscos e controles, auto avaliação de controles de riscos, auto avaliação de controles… E estas avaliações podem rapidamente se tornar inúteis se alguns pré-requisitos fundamentais não forem cumpridos:

Será que “Conhecemos o negócio” do cliente na qual vamos realizar uma avaliação de riscos? muitas avaliações estão focados apenas naqueles riscos declaradamente conhecidos, bem como seus controles e suas fraquezas (“É o que eu chamo de pescar num aquário”). Estas avaliações deixam passar pontos fracos que estão menos evidentes nos processos , mas que são conectores com o(s) processo(s) seguinte(s).

Como soa para você uma avaliação de riscos que produzirá os controles a serem concebidos e implementados na empresa? estas avaliações, para serem devidamente concluídas, dependem de etapas anteriores à avaliação dos riscos e suas respectivas respostas, incluindo considerar o ambiente da empresa, de avaliação da capacidade (plano de capacidade de ti), análise de cenários, análise de causa raiz, análise de causa e efeito, portfolio de projetos, controles internos de processos e da implementação destes controles. Se as premissas não forem consideradas de forma acertada, é provável que os controles serão erroneamente concebidos, implementados e o pior: Avaliados! e que os resultados terão pouco valor para suportar os objetivos do negocio.

Será que o ciclo do processo de avaliação acompanha a evolução do mundo real em que a empresa realiza seus negocios? se a mudança nos riscos (ambiente, processo, e/ou controles) é mais frequente do que o ciclo do processo de avaliação, a avaliação vai expressar o risco real. Por exemplo, se o seu ambiente de ti muda a cada poucos meses por conta de inclusão de uma nova tecnologia, fusão ou aquisição de uma empresa, criação de um novo negocio e outras situações de mercado ou de ti, os ciclos de teste de continuidade de negócios devem no mínimo corresponder ao ciclo do processo de avaliação de riscos – ou você será responsável por exibir uma falsa sensação de confiança.

E então? é para fazer as avaliações de controle com o foco em controles ou no conjunto de políticas, procedimentos e regras? classificar as politicas em escalas de conformidade ou até de sustentabilidade é um longo caminho no processo de análise das políticas. Um controle pode detectar um “Ponto fora da curva” mais facilmente, oferecendo melhores condições de atuação e decisão sobre esta informação.

Também ouvi durante o papo que fazer as avaliações é desviar a atenção do trato diário na gestão de riscos. Eu digo que tanto o tempo de latência como da ênfase no controle (ao invés de recursos do ambiente ou de negócios) tem a tendência de fazer com que as empresas encarem a gestão de risco apenas como uma função de garantia “Curativa”, ao invés de uma função de gestão de avaliação de riscos, que previna e corrija as causas dos riscos.

Conlcuindo, mesmo porque o coffee break acabou, é facil cair nas armadilhas apontadas aqui. Concordo que as avaliações de risco ou de controle desviam recursos de atividades mais úteis no gerenciamento de risco e criam uma falsa sensação de segurança. Estas armadilhas têm resultado em prejuízos para as empresas. Considere também, por exemplo, as violações de dados, fraudes, falhas de rede, softwares maliciosos e outros problemas que ocorreram quando os controles foram, apenas no papel, aceitáveis. Naturalmente, as avaliações e os testes devem ser aplicados com rigor adequado para produzir uma atuação significativa.

Quer saber? a boa notícia é que esses problemas ainda são relativamente fáceis de corrigir.

Até,

Andre Pitkowski

Chega de alinhar TI e negócios

Andre Pitkowski — Mon, 23 May 2011 14:51:43 +0000

16 Mai 2011| FONTE - Computerworld

Isso não está mais sob discussão. TI e negócios estão juntas no jogo do mercado.

“Estou cansado dessa história de alinhamento [de TI e negócios]“, declarou um dos CIOs participantes do CIO Persectives, evento realizado em Nova York há algumas semanas. “Isso não está mais sob discussão. TI e negócios estão juntas no jogo do mercado. Ponto final.”

Para minha surpresa, a opinião desse CIO era compartilhada por muitos outros líders de TI presentes ao evento, alguns deles das principais empresas dos EUA. Depois de muito tempo, os CIOs evoluíram em suas discussões.

O que a declaração representa? Que os CIOs têm de trabalhar com relacionamentos, com aceleração e otimização em vez de alinhamento. Esses verbos são todos sinais que a tão almejada parceria TI/Negócios é fato. “Alinhar” significa ordenar o que está desordenado e buscar entender de estratégias de negócios que ainda não são entendidas. E tentar chegar à sala de tomada de decisões, algo que muitos já conseguiram.

A declarção do CIO da empresa química Air Products and Chemicals, Richard Boocock, representa todo o espírito que o líder deve assumir hoje: “Vivemos ou morremos na criação de valores para os clientes e para os acionistas. Essa é a única forma de criar valor para os negócios”.

Diante disso, só uma conclusão é possível: a única maneira de medir o real valor para a TI é avaliar o retorno que ela proporciona para os negócios. Logo, acompanhar essas métricas de perto, de forma bem estruturada, também é questão de sobrevivência.

De acordo com o vice-presidente do grupo de pesquisas da Gartner para CIOs, Dave Aron, a linguagem do alinhamento também pode ser contraproducente, porque denota que a TI é algo a parte do restante da empresa.

Mesmo assim, as pessoas continuarão a questionar o valor da TI, que sempre está entre os primeiros na lista de maiores gastadores no orçamento de uma empresa.

Calcular o valor que a tecnologia entrega é, por essa razão, uma arte em desenvolvimento. E, nesse sentido, quase todos os CIOs concordam.
O melhor conselho para quem está no mercado e busca esse ideal? Começar. Começar de algum ponto, e o mais breve possível.

Segundo o CIO da Chevron, Louie Ehrlich, o profissional nunca vai encontrar uma forma perfeita de medir valores. “Eles mudam constantemente e esse é um trabalho sem fim”, conclui.

Esta é a opinião de CIOs nos Estados Unidos. Nós, aqui no Brasil, nos encontramos correndo atras do negócio, lutando por uma cadeira no Board. Eu conheço poucas empresas em que o CIO fala Governança de TI com o negocio e Gestão de TI com sua área de responsabilidade.

Mas SIM, esta postura existe (a noticia acima existe) e é a vontade de todos.

Abraços

Andre Pitkowski

Notícias relevantes sobre Auditoria, Gestão de Riscos, Governança em TI e Segurança da Informação divulgadas no mês de Abril de 2011

Andre Pitkowski — Tue, 17 May 2011 18:44:57 +0000

Cartões podem enfrentar US$ 300 mi em custos por roubo na Sony – G1 – 29/04/2011

http://g1.globo.com/tecnologia/noticia/2011/04/cartoes-podem-enfrentar-us-300-mi-em-custos-por-roubo-na-sony.html

Cada cliente que tiver de substituir seu cartão poderá custar até US$ 5. Operadoras podem perder negócios de consumidores afetados pelo roubo.

As operadoras de cartões de crédito podem enfrentar mais de US$ 300 milhões em custos de substituição se os clientes afetados pela violação de dados na Sony decidirem solicitar a substituição de seus cartões.

____________________________________________________________________________________________

Novo método de codificação protege senhas de forma mais eficiente – Infosec – 29/04/2011

http://infosec.online.pt/infosec/article.php?article_id=1508

O novo mecanismo conecta a senha tradicional à combinação aleatória que deve ser interpretada pelo usuário para evitar ataques de força bruta. Pesquisadores dos institutos Max-Planck e Axioma Research desenvolveram um novo método para criar senhas que são mais difíceis de serem descobertas, mas fáceis de serem lembradas.

____________________________________________________________________________________________

Um clique. E dados de 18 mil clientes são distribuídos em newsletter – IDGNOW – 29/04/2011

http://idgnow.uol.com.br/seguranca/2011/04/29/um-clique-e-dados-de-18-mil-clientes-sao-distribuidos-em-newsletter/

Clube de beisebol dos EUA confirma que planilha com dados pessoais de 18 mil compradores de ingressos foi anexada a boletim enviado por e-mail.

Um operador do serviço de atendimento ao cliente que trabalha para o time americano de beisebol New York Yankees enviou acidentalmente, por e-mail, dados pessoais de quase 18 mil compradores de ingressos para a atual temporada. A informação foi confirmada na quinta-feira (28/4) pelo clube.

____________________________________________________________________________________________

Hacker do PS3 culpa “arrogância da Sony” por vazamento de dados da PSN – IDGNOW – 29/04/2011

http://idgnow.uol.com.br/seguranca/2011/04/29/hacker-do-ps3-culpa-arrogancia-da-sony-por-vazamento-de-dados-da-psn/

Em post em seu blog oficial, GeoHot condena ataque e afirma que executivos da empresa pagaram o preço por não entender cultura hacker.

Após ser processado pela Sony por postar um código que permite o “desbloqueio” do PlayStation 3, o hacker GeoHot culpou a arrogância dos executivos da empresa pelo recente vazamento de dados dos usuários da rede PlayStation Network (PSN).

____________________________________________________________________________________________

Smartphone vira rastreador de funcionários nas empresas – CIO – 28/04/2011

http://cio.uol.com.br/tecnologia/2011/04/28/smartphone-vira-rastreador-de-funcionarios-nas-empresas/

Os smartphones estão sendo usados pelos departamentos de TI para saber por ondem andam os funcionários. O recurso vem sendo usado há algum tempo e o iPhone não é o único “informante”.

Vamos supor que você foi escalado para uma viagem de negócios e, ao invés disso, saiu “de fininho” para um parque de diversões com a família ou disse ao chefe que tinha que ir ao dentista e, na verdade, foi fazer um happy hour com os amigos. Se você carrega um iPhone, Android BlackBerry ou Windows Phone 7, o setor de TI rastrear seus movimentos.

____________________________________________________________________________________________

Fabricante de GPS admite ter vendido dados de usuários à polícia – IDGNOW- 28/04/2011

http://idgnow.uol.com.br/seguranca/2011/04/28/fabricante-de-gps-admite-ter-vendido-dados-de-usuarios-a-policia/

Informações fornecidas pela TomTom ajudaram polícia holandesa a criar armadilhas para motoristas; empresa afirma que desconhecia a aplicação.

A fabricante de aparelhos de GPS TomTom admitiu ter ajudado a polícia da Holanda a criar armadilhas para controle de velocidade vendendo dados anônimos.

____________________________________________________________________________________________

Há um trem-bala no caminho da rede de fibra óptica no Brasil – CIO – 28/04/2011

http://cio.uol.com.br/tecnologia/2011/04/28/ha-um-trem-bala-no-caminho-da-rede-de-fibra-optica-no-brasil/

O ministro das Comunicações, Paulo Bernardo, afirmou que a iniciativa pode ser implementada por meio de decreto.

O governo brasileiro anunciou hoje (28/4) intenções de aproveitar as grandes obras, como o projeto de Transporte de Alta Velocidade (TAV), para ampliar a rede de fibra óptica do País.

____________________________________________________________________________________________

Hacker acessou dados de 77 milhões de usuários de Playstation, diz Sony – Estado de Minas – 27/04/2011

http://www.em.com.br/app/noticia/internacional/2011/04/27/interna_internacional,223927/hacker-acessou-dados-de-77-milhoes-de-usuarios-de-playstation-diz-sony.shtml

A Sony divulgou nesta quarta-feira que informações pessoais de mais de 77 milhões de usuários de vários países dos serviços online do Playstation Network foram acessados por um hacker.

A empresa japonesa não descartou o roubo de dados de cartão de crédito e, por isso, pediu para que os usuários monitorem suas contas e verifiquem se houve transações não realizadas, mas cobradas.

____________________________________________________________________________________________

Microsoft diz coletar dados de localização apenas com permissão de usuários – IDGNOW – 26/04/2011

http://idgnow.uol.com.br/seguranca/2011/04/26/microsoft-diz-coletar-dados-de-localizacao-apenas-com-permissao-de-usuarios/

Empresa do sistema Windows Phone 7 explica sua prática após rivais Apple e Google serem criticados por armazenarem tais informações.

Em meio ao grande barulho causado pelas maneiras como a Apple e a Google coletam e armazenam as informações de localização de seus smartphones, a Microsoft decidiu contar alguns detalhes sobre suas políticas de coleta de dados em aparelhos com o sistema Windows Phone 7.

____________________________________________________________________________________________

Onda de ataques de phishing ‘clona’ sites de 16 bancos brasileiros – IDGNOW – 19/04/2011

http://idgnow.uol.com.br/seguranca/2011/04/19/onda-de-ataque-de-phishing-clona-sites-de-16-bancos-brasileiros/

Pesquisa revela que três servidores estão sendo utilizados na disseminação desse ataque, que gerou 63 sites falsos, com terminações .br, .com e .gov.br.

Pesquisa da empresa de segurança digital ESET revela que 16 bancos brasileiros tiveram seus sites falsificados em uma recente onda de ataques virtuais do tipo “phishing”.

____________________________________________________________________________________________

Para profissionais de TI, segurança ainda é barreira na nuvem – CIO – 19/04/2011

http://cio.uol.com.br/tecnologia/2011/04/19/para-profissionais-de-ti-seguranca-ainda-e-barreira-na-nuvem/

Estudo realizado pela Accenture aponta que área de negócios não possui a mesma visão. Ao contrário: executivos acreditam que segurança e privacidade não são problemas na cloud.

Cloud computing ainda gera desconfiança entre profissionais de TI. A conclusão é do estudo Cloud and the Future of Business: From Costs to Innovation, realizado pela Accenture em conjunto com a unidade de outsourcing da London School of Economics and Political Science.

____________________________________________________________________________________________

Legislação brasileira é eficiente, mas falta “educação digital”, alerta especialista – UOL TECNOLOGIA – 14/04/2011

http://noticias.uol.com.br/cotidiano/2011/04/14/legislacao-brasileira-e-eficiente-mas-falta-educacao-digital-alerta-especialista-em-direito-eletronico.jhtm

Tão ofensivas quanto defensoras de atitudes violentas, as comunidades virtuais que fazem apologia ao crime são gerenciadas por autores cuja identidade é falsa ou anônima.

Segundo um especialista em Direito Eletrônico ouvido pelo UOL Notícias, no entanto, a legislação existente no Brasil para identificar essas pessoas costuma ser eficiente e obter respostas rápidas da Justiça.

____________________________________________________________________________________________

Ataques sufocam dissidência política na Internet Russa – G1 – 13/04/2011

http://g1.globo.com/tecnologia/noticia/2011/04/ataques-sufocam-dissidencia-politica-na-internet-russa.html

Os ataques de hackers russos ao maior site de blogs do país e um alerta de uma agência de espionagem ao Gmail e Skype despertaram o temor de que as autoridades da Rússia estejam reforçando seu controle sobre os dissidentes, em uma campanha contra a liberdade de expressão semelhante à executada pela China.

Tendo em vista a inquietação no mundo árabe que derrubou dois líderes norte-africanos e provocou intervenção militar ocidental na Líbia, Moscou está ansiosa para evitar possíveis tumultos antes das eleições legislativas de dezembro e da eleição presidencial de 2012.

____________________________________________________________________________________________

Caso gaúcho expõe risco da troca de conteúdo sexual via celular - UOL – 13/04/2011

http://tecnologia.uol.com.br/ultimas-noticias/redacao/2011/04/13/caso-gaucho-expoe-perigos-da-troca-de-conteudo-sexual-via-celular-entenda-o-sexting.jhtm

Antes restrito às manchetes internacionais, os casos de sexting – quando vídeos e imagens com conteúdo sexual vazam na internet ou via celulares – crescem entre adolescentes brasileiros.

Um caso recente, registrado na pequena cidade gaúcha de Bom Retiro do Sul, com cerca de 12 mil habitantes, mostra que pais e educadores devem ficar atentos ao problema, com graves consequências psicológicas para as vítimas.

____________________________________________________________________________________________

Apreensões de programas piratas crescem 81% no 1º tri, mostra Abes – G1 – 12/04/2011

http://g1.globo.com/tecnologia/noticia/2011/04/apreensoes-de-programas-piratas-crescem-81-no-1-tri-mostra-abes.html

Na internet, 86 sites de vendas ilegais foram retirados do ar. EUA retirou Brasil da lista de países desafiadores em pirataria e contrabando

As operações de combate à pirataria no Brasil durante o primeiro trimestre resultaram na captura de 759,2 mil CDs de programas de computadores falsificados. As apreensões representam um salto de 81% em relação ao mesmo período do ano passado. Os dados configuram no levantamento da Associação Brasileira das Empresas de Software (ABES) e a Entertainment Software Association (ESA).

____________________________________________________________________________________________

Pequenas empresas perdem US$ 14,5 mil ao dia com incidentes – Computerworld – 06/04/2011

http://computerworld.uol.com.br/seguranca/2011/04/06/pequenas-empresas-perdem-us-14-5-mil-ao-dia-com-incidentes/

De acordo com pesquisa, falta de preparo para imprevistos, como desastres e falta de eletricidade, coloca em risco operações de pequenas e médias empresas.

Quando os desastres atacam e causam interrupções nos negócios, as pequenas e médias empresas são geralmente as mais atingidas, com perdas diárias médias de 14,5 mil dólares, de acordo com um estudo recente conduzido pela Applied Research e financiado pela empresa de segurança de TI Symantec.

____________________________________________________________________________________________

Metade das empresas de saúde não protege dados de pacientes nos EUA – IDGNOW – 04/04/2011

http://idgnow.uol.com.br/seguranca/2011/04/04/metade-das-empresas-de-saude-nao-protege-dados-de-pacientes-nos-eua/

Pesquisa divulgada pela Informatica Corporation alerta sobre a fragilidade dos dados de pacientes em ambientes de teste e desenvolvimento.

Informações confidenciais de pacientes não estão adequadamente protegidas contra roubo ou perda de dados, aponta pesquisa feita pelo Ponemon Institute sob encomenda da Informatica Corporation.

____________________________________________________________________________________________

Empresas descobrem os benefícios das redes sociais – CIO – 05/04/2011

http://cio.uol.com.br/tecnologia/2011/04/05/empresas-descobrem-os-beneficios-das-redes-sociais/

O mix de tecnologia e marketing é uma combinação explosiva, que desperta a atenção das corporações. O avanço das redes sociais em atividades como colaboração, troca de informações e fonte de pesquisas esgueirou-se com facilidade no seio das empresas e sua aceitação rápida e estrondosa pegou todos de surpresa.

____________________________________________________________________________________________

Prorrogado debate sobre PL de proteção de dados pessoais – IDGNOW – 31/03/2011

http://idgnow.uol.com.br/seguranca/2011/03/31/prorrogado-debate-sobre-pl-de-protecao-de-dados-pessoais/

Sociedade tem mais um mês para opinar sobre o texto do anteprojeto de Lei sobre privacidade elaborado pelo Ministério da Justiça. O Ministério da Justiça prorrogou por um mês o debate público sobre o anteprojeto de lei de proteção de dados pessoais.