Discover millions of ebooks, audiobooks, and so much more with a free trial

Only $11.99/month after trial. Cancel anytime.

Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados
Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados
Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados
Ebook497 pages5 hours

Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados

Rating: 5 out of 5 stars

5/5

()

Read preview

About this ebook

Falar de Segurança da Informação em um mundo em constante transformação é sempre um desafio. De um lado, temos a necessidade de manter os dados protegidos de todas as ameaças que existem e surgem a cada dia. Do outro lado, a preocupação de que essa proteção afete o mínimo possível na usabilidade, performance e experiência do usuário. Apesar de todo o "glamour", o profissional da área muitas vezes é persona non grata no mundo corporativo. Carrega o estigma de ser o pessimista, aquele que atrapalha o negócio, aquele que anuncia uma tragédia que nunca ocorre e que por esse motivo exige a aplicação de uma série de controles e condições para os dados e sistemas. Esse profissional deve saber justificar suas ações através de argumentos baseados em metodologias sólidas. Deve entender e saber explicar os fundamentos técnicos falando a linguagem do negócio. Este livro é composto de uma série de artigos inéditos escritos por profissionais de destaque na área atuando no Brasil e no exterior e que entendem que Segurança da Informação não pode ser um "trilho" de maneira que imobilize a operação das organizações, mas, sim, uma "trilha", na medida em que a proteção é dosada por meio da análise dos riscos no percurso. O leitor poderá usar o conteúdo desta obra de forma não linear, como apoio para decidir qual caminho seguir, aproveitando não somente o conteúdo técnico aqui contido, como também a experiência e as lições aprendidas de cada autor.
LanguagePortuguês
PublisherBRASPORT
Release dateJan 8, 2015
ISBN9788574527178
Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados

Related to Trilhas em Segurança da Informação

Related ebooks

Security For You

View More

Related articles

Reviews for Trilhas em Segurança da Informação

Rating: 5 out of 5 stars
5/5

1 rating0 reviews

What did you think?

Tap to rate

Review must be at least 10 words

    Book preview

    Trilhas em Segurança da Informação - Carlos Cabral

    Copyright© 2015 por Brasport Livros e Multimídia Ltda.

    Todos os direitos reservados. Nenhuma parte deste livro poderá ser reproduzida, sob qualquer meio, especialmente em fotocópia (xerox), sem a permissão, por escrito, da Editora.

    Editor: Sergio Martins de Oliveira

    Diretora: Rosa Maria Oliveira de Queiroz

    Gerente de Produção Editorial: Marina dos Anjos Martins de Oliveira

    Revisão de Texto: Maria Helena A. M. Oliveira

    Editoração Eletrônica: Michelle Paula

    Capa: Use Design

    Produção de ebook: S2 Books

    Técnica e muita atenção foram empregadas na produção deste livro. Porém, erros de digitação e/ou impressão podem ocorrer. Qualquer dúvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport.com.br, para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) não assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.

    BRASPORT Livros e Multimídia Ltda.

    Rua Pardal Mallet, 23 – Tijuca

    20270-280 Rio de Janeiro-RJ

    Tels. Fax: (21)2568.1415/2568.1507

    e-mails: marketing@brasport.com.br

    vendas@brasport.com.br

    editorial@brasport.com.br

    site:       www.brasport.com.br

    Filial SP

    Av. Paulista, 807 – conj. 915

    01311-100 São Paulo-SP

    Tel. Fax (11): 3287.1752

    e-mail: filialsp@brasport.com.br

    Agradecimentos

    Willian Caprino agradece a todos os amigos e familiares que contribuíram de alguma forma para a realização deste projeto. Em especial sua esposa Rebecca, sua filha Priscila, toda a comunidade de segurança da informação, seus companheiros de cerveja, seus parceiros de videogame, seus sócios e amigos de podcasts e eventos Luiz Eduardo e Nelson Murilo e ao Carlos Cabral, idealizador e evangelizador deste projeto literário.

    Carlos Cabral agradece a sua incansável companheira Bianca Garcia, a sua sempre presente familia (Regina, Pablo, Mari, Rosangela, Reinor, Pedro, Gabriel e Vó Maricota). Também é intensamente grato aos amigos de (e para) sempre Leonardo Carvalho, Renata Bichir, Rogerio Schlegel, Isabelle Somma, Rosi Rosendo, Rene Aleves Ferreira, João F. Resende, Kelly Zerbinatti, Luiz Eduardo e Willian Caprino.

    Os organizadores agradecem a todos os autores que acreditaram e contribuíram com esta obra.

    Prefácio

    A internet, rede pujante que conecta o mundo, interagindo culturas e estimulando desafios, é o mote que suscita o debate sobre segurança, em especial a das informações. Fascinados pelas possibilidades despertadas através dos novos meios tecnológicos, lançamos o desafio de como lidar com a obscuridade da web e tratar (ou não) seus riscos. A gestão de tais riscos, tema recente e palpitante, merece destaque ímpar.

    É assim que os organizadores Willian Caprino e Carlos Cabral abordam a importância da elaboração de técnicas e mecanismos para a proteção da informação, de modo a resguardar negócios, instituições e informações.

    O livro proporciona uma sequência de fundamentos imprescindíveis, que se inicia em seu primeiro artigo sobre a instrução de profissionais da segurança da informação, compartilhando segredos para adentrar nesse novo mercado. E termina com o desfecho intuitivo a uma resposta de como seria o futuro dessa abrangente área.

    Abordam, com detalhes profundos, os seguintes temas: hackerismo, métodos de engenharia social, criptografia em todas as suas vertentes, comportamento (passado, presente e futuro), continuidade de negócios e suas métricas, dentre outros.

    Também dissertam sobre a tormentosa e desafiadora questão da privacidade, que, aliada ao fenômeno do big data, tanto nos preocupa. E sobre o tema, não há como deixar de tratar das medidas mínimas para a segurança dos negócios. Os autores incluíram nessa temática os checklists, dinâmicos e necessários.

    Registramos a excelente abordagem didática e, ao mesmo tempo em que se aprofundam nos temas abordados, seduzem o leitor com detalhes técnicos, muitos inéditos.

    É com grande orgulho que apresentamos esta obra que, com espírito moderno, provoca o leitor quanto à importância da segurança da informação em nossos dias. E como não poderia deixar de ser, também instiga o leitor a reflexões comportamentais e legais, tão entrelaçadas ao tema.

    Foi com grande honra e enorme satisfação que recebi a responsabilidade de prefaciar esta obra, que nos engrandece por suas palavras.

    Os meus sinceros cumprimentos a Willian Caprino e Carlos Cabral pela riqueza com que abordam o tema de grande interesse e muito atual.

    Renato Opice Blum

    Advogado e economista; Professor coordenador do MBA em Direito Eletrônico da Escola Paulista de Direito e do 1º curso de Direito Digital da FGV/GVLaw em 2011; Professor da USP (PECE) e Mackenzie; Membro Convidado do Grupo de Cibercrimes do Conselho da Europa; Presidente da Comissão Permanente de Estudos de Tecnologia e Informação do IASP; Presidente do Conselho de Tecnologia da Informação da Federação do Comércio/SP e do Comitê de Direito da Tecnologia da American Chamber of Commerce; Vice-Presidente da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB/SP; Professor/Palestrante Convidado dos Programas/Conferências Internacionais: EUROFORUM – International and European Data Protection Day; LegalTech; Technology Policy Institute; Council of Europe; SEDONA; American Bar Association; International Technology Law Association; High Technology Crime Investigation Association; Information Systems Security Association; International Association of Privacy Professionals; Georgetown Law CLE; International Law Association and Inter-American Bar Association; Profissional reconhecido por dois anos consecutivos em publicações internacionais como Chambers & Partners, Who’s who e Best Lawyers; Coordenador e coautor do livro Manual de Direito Eletrônico e Internet. Twitter: @opiceblum

    Sobre os Autores Colaboradores

    Augusto Paes de Barros

    Atua no campo da segurança da informação há mais de 12 anos, tendo passado por diversas organizações, de consultorias e provedores de serviços a instituições financeiras. Participa ativamente de debates na comunidade de segurança através de artigos em publicações e portais especializados e palestras em eventos dentro e fora do país. Mantém o blog Security Balance (http://blog.securitybalance.com), onde escreve sobre diversos aspectos de gestão de segurança da informação. É certificado CISSP-ISSAP.

    Adriano Mauro Cansian

    É doutor e livre-docente em Redes de Computadores. Atua há vinte anos no ensino de graduação e pós-graduação em Computação na UNESP (Universidade Estadual Paulista), campus de São José do Rio Preto, SP, onde é o Pesquisador Chefe do Laboratório ACME! de Pesquisa em Segurança desde 1995. Foi o CIO da UNESP de 1997 a 2004. Desde 1998 é coordenador do GTS (Grupo de Trabalho de Segurança de Redes), junto ao Comitê Gestor da Internet no Brasil. Em 2005 recebeu Diploma de Reconhecimento Público do Comitê Gestor da Internet no Brasil (CGI.Br) pelos dez anos de serviços prestados ao desenvolvimento da internet brasileira. É militante voluntário no combate a fraudes digitais e de proteção à privacidade, contribuindo com vários órgãos e instituições.

    Ricardo Castro

    Especialista em Controles Internos de TI, professor e membro consultor da Comissão de Ciência e Tecnologia da OAB-SP. Possui mais de 15 anos de experiência em Segurança da Informação, Gestão de Riscos, Auditoria e Investigação de Fraudes Corporativas. É graduado em Tecnologia em Processamento de Dados e pós-graduado em Análise e Projeto de Sistemas. É palestrante e professor em cursos de MBA da Faculdade Impacta, Ibmec, FIA, Sustentare e Trevisan. Atuou em cargos de destaque nas empresas PwC, Embraer, Banco Safra, Grupo Hamburg-Süd de Navegação e Logística, Grupo Kroton Educacional e Banco Votorantim. É editor do podcast Para sua Segurança e colaborador do portal InformationWeek Brasil em Gestão de Segurança da Informação.

    Wagner Elias

    Possui ampla experiência na condução de projetos em IT Security com projetos desenvolvidos em empresas dos mais diversos segmentos. Em 2006 fundou o capítulo brasileiro da OWASP (Open Web Application Security Project); ocupou o cargo de diretor de conteúdo na gestão 2006-2008 e de eventos da gestão 2008-2010 do capítulo brasileiro da ISSA (Information System Security Association). É cofundador e sócio da Conviso Application Security, na qual atua como CTO (Chief Technical Officer), responsável pela gestão de pesquisa e desenvolvimento de projetos de consultoria em segurança de aplicações.

    Fernando Fonseca

    Diretor de Educação da Antebellum Capacitação Profissional. Consultor de segurança da informação certificado CISSP-ISSAP, CHFI, ACE, ISMAS, ISFS, Security +, MCSO, MCT e MCSE Security. Graduado em processamento de dados e pós-graduado em Multimídia e Internet (UFES), Segurança da Informação (UNIRIO) e Administração de Redes Linux (UFLA). Atua como professor de pós-graduação na Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH. Atuou também como professor de graduação e pós-graduação na Universidade Anhembi-Morumbi e UNIP, Diretor de comunicação do ISSA Brasil Chapter entre 2006 e 2010 e vice-presidente entre 2010 e 2012. Gerente de conteúdo da Módulo Security Solutions, Coordenador de treinamentos na Techbiz Forense Digital, Test engineer e Consultor de segurança na Microsoft, onde foi responsável pelo conteúdo dos programas Academia de Segurança da Informação, Technet Security Experience e do Fast Start Security, da Microsoft.

    Galeno Garbe

    Profissional com mais de vinte anos de experiência com TI, tendo focado os últimos dez anos em segurança da informação. É presidente e membro fundador do capítulo brasileiro da (ISC)², um dos primeiros no continente. Possui várias certificações em TI e SI, dentre elas: CISSP, MCSE+I, MCSO, Linux+ e OCSE. Já apresentou palestras em diversos eventos de TI e Segurança como FISL, LinuxCon, SecureBrasil, Silver Bullet, entre outros. Possui vasta experiência internacional, já tendo atuado em mais de trinta projetos fora do Brasil, principalmente nos EUA e no Canadá. Já atuou como gestor de segurança em uma grande empresa de internet brasileira e atualmente lidera as iniciativas antipirataria na América do Sul em uma empresa multinacional de segurança, atuando como gerente do programa de ciberssegurança na região. Dentre todos os assuntos e domínios de conhecimento relacionados com Segurança da Informação, Galeno se dedica ao estudo da Criptografia, já tendo produzido um completo curso online sobre o tema.

    Eduardo Vianna de Camargo Neves

    Trabalhando no mercado internacional de Segurança da Informação desde 1997, acumulou experiência como consultor, auditor, gestor em uma empresa Fortune 100. Como empreendedor, fundou uma das primeiras empresas brasileiras especializadas em Segurança de Aplicações e desde 2011 lidera uma consultoria especializada nas disciplinas de Risco Operacional e Continuidade de Negócios. Serviu ainda como voluntário para a ISSA Brasil, OWASP e ISC² e contribui para diversas iniciativas de evangelização nas práticas de proteção da informação no Brasil.

    Anderson Ramos

    Trabalha na área de Segurança da Informação há mais de 15 anos. É sócio fundador da FLIPSIDE Smart Content Provider, empresa especializada em campanhas de conscientização e treinamentos personalizados, Senior Lead Instructor do (ISC)² para Europa e América Latina e vice-presidente da Hackers Construindo Futuros. Trabalhou ainda como Consultor Sênior na ETEK International e Coordenador de Conteúdo Educacional da Módulo. Ao longo da carreira treinou milhares de profissionais em mais de vinte países. Como escritor, foi organizador e coautor dos livros Security Officer 1 e 2, tendo recebido o Prêmio SecMaster 2006 pelo seu trabalho. Publicou ainda um capítulo sobre Deep Packet Inspection no Information Security Management Handbook, obra de referência internacional. Ainda na área editorial, é Associate Editor do Information Security Journal – A Global Perspective. Já fez parte da diretoria da ISSA Brasil, da qual foi um dos fundadores, e do corpo de professores do IBTA/IBMEC. Possui mais de vinte certificações profissionais, incluindo o CISSP (ISSAP/MP) e o CISA. Palestrou em diversos eventos no Brasil e no exterior, incluindo o Infosecurity Europe, H2HC, YSTS, CNASI, SecurityWeek, CSO Meeting, entre outros. Sua formação em curso é um bacharelado em Information Systems and Management pela London School of Economics and Political Science. Com uma rara combinação de conhecimentos técnicos e de negócio, é reconhecido por sua capacidade de conversar com qualquer audiência, de Conselhos de Administração à comunidade hacker, simplificando conceitos complexos de forma divertida, perspicaz e esclarecedora.

    Fábio F. Ramos

    Especialista em Segurança da Informação, certificado internacionalmente pelo ISC² (Framingham, MA) e ISACA (Information System Audit and Control Association – Illinois). Fundador da Axur, atuou nos últimos 15 anos como especialista em segurança da informação em instituições financeiras, indústria química, setor de Gas & Oil e energia elétrica, varejo, indústria marítima e pontocom. Possui as certificações CISSP e CISM.

    Altieres Rohr

    É jornalista especializado em segurança da informação. Criador do site Linha Defensiva, foi parceiro do UOL e é colunista do G1, portal de notícias da Globo, desde 2008. Foi vencedor dos prêmios Internet Segura de Jornalismo (2010), na categoria Tecnologia, e do Prêmio Eset de Jornalismo da América Latina (2012), na categoria Mídia Digital. É criador da ferramenta gratuita de remoção de vírus BankerFix, que já teve mais de três milhões de downloads.

    Luiz Eduardo dos Santos

    Com vinte anos de experiência em várias tecnologias de redes e em segurança de setores corporativos e de provedores de serviço. É reconhecido na comunidade de segurança internacional não só por ter participado como palestrante em conferências como CONFidence, DefCon, FIRST, H2HC, HitB Malásia, SOURCE, ThotCon e Toorcon, mas também por ser responsável pela arquitetura das redes sem fio de conferências como BlackHat, CCC, DefCon e Shmoocon. É responsável pelo NOC da DefCon, membro do Global Connections Committee do OWASP e co-organizador das conferências YSTS e Silver Bullet no Brasil.

    Felipe Silva

    CISSP, ISO-27001 e ITIL Service Manager. Formado em Engenharia da Computação pela UNICAMP (Universidade Estadual de Campinas) com pós-graduação em Administração de Empresas pela FGV (Faculdade Getúlio Vargas), vem atuando há mais de dez anos no segmento de Segurança da Informação, com participação em projetos com foco em Gestão de Riscos e Compliance, nas áreas de gestão de identidades e acessos, gestão de informações e eventos de segurança e gestão de vulnerabilidades. Atualmente atua como membro do IBM-Security Tiger Team, tendo passado por empresas como CA e Price Waterhouse.

    Sumário

    Introdução

    Procuram-se Hackers

    Introdução

    Retrospecto

    O que procuram os estudantes

    O que procuram as empresas

    O que procuramos

    Conclusão

    Referências bibliográficas

    Gestão de Risco

    Conceitos

    Controles

    Outros métodos de análise de risco

    Tratamento do risco e fechando o ciclo

    Metodologias e padrões

    Referências bibliográficas

    Conscientização em Segurança da Informação Como Processo

    Introdução

    Planejamento

    Defina objetivos (todos eles)

    Determine um escopo

    Avalie o nível atual de conscientização

    Mapeando papéis e responsabilidades

    Mapeando necessidades de aprendizado

    Mapeando públicos

    Buscando ajuda

    Ferramentas de avaliação

    Palestrantes

    Envolvimento de outras áreas

    Produzindo o conteúdo

    Canais de comunicação

    Mantendo a campanha viva

    Conclusão

    Referências bibliográficas

    Gestão de Identidades e Acessos

    Introdução

    Administração

    Autenticação

    Autorização

    Auditoria

    Conclusão

    Introdução à Criptografia Aplicada

    O começo

    O algoritmo criptográfico

    Cifras de substituição

    Cifra de transposição

    A cifra de César

    A chave criptográfica

    Cifra de Vigenère

    CIFRA de Vernam e One Time Pad (OTP)

    Geração de números aleatórios para criptografia

    A criptografia moderna

    Criptografia simétrica

    Números primos e a criptografia

    Criptografia assimétrica

    Funções de via única, hash

    Criptografia híbrida

    Os principais algoritmos usados atualmente

    Criptoanálise

    A criptografia quântica

    Criptografia homomórfica

    Considerações finais

    Referências bibliográficas

    Melhores Práticas em Segurança de Redes Sem Fio

    Residenciais

    Públicas

    Corporativas e comerciais

    Referências bibliográficas

    Gestão de Vulnerabilidades e Atualizações de Segurança

    Exploração de vulnerabilidades

    Modus operandi dos ataques

    Correndo do leão

    Homologação dos patches

    Dividir para conquistar

    O processo de atualização

    Atualização segura

    Se você não mede, não gerencia

    Como desenvolver um processo de gestão de correções (patch management)

    Conclusão

    Referências bibliográficas

    Segurança no Desenvolvimento de Software

    O processo de desenvolvimento de software

    A segurança e o processo de desenvolvimento de software

    A segurança e as metodologias de desenvolvimento

    Princípios fundamentais para a segurança de software

    As práticas de segurança em desenvolvimento de software

    Papéis e responsabilidades envolvidos com o desenvolvimento e segurança

    Implementando as práticas de segurança em desenvolvimento de software

    Conclusões

    Referências bibliográficas

    O Papel do Usuário

    Limites da educação do usuário

    Análise de risco

    Dimensão do risco

    Desafios para a educação do usuário

    Transferência de responsabilidade e interface

    Estudo de caso: SSL

    Gestalt em interfaces

    EV-SSL: quase padronizando a interface

    Falha nossa

    A sabedoria e a engenharia social

    O ser humano comete erros

    Checklist

    Referências bibliográficas

    Perspectiva, Desafios e Tendências em Auditoria de Tecnologia e Segurança da Informação

    O complicado cenário de riscos

    Ameaças à segurança de dados e à reputação

    O posicionamento de auditoria no contexto da governança corporativa

    A auditoria em TI

    Elementos da auditoria de TI

    Abordagem baseada em riscos

    A governança de segurança da informação

    O profissional de auditoria em TI

    Tendências emergentes em auditoria de tecnologia e segurança da informação

    Referências bibliográficas

    Estabelecendo a Resiliência Operacional: Definindo e Construindo uma Estratégia para a Continuidade dos Negócios

    O papel da resiliência operacional

    A composição da estratégia para continuidade dos negócios

    O que esperar deste capítulo

    Definindo as necessidades para continuidade

    Entendendo os processos

    Mantendo o controle da modelagem

    A análise de impacto nos negócios

    Antes do RPO, o backup

    Calculando o RPO

    Estabelecendo o RTO

    O Work Recovery Time

    Cálculo de perdas potenciais

    Equalizando a criticidade

    Apresentando os resultados

    Observações sobre a análise de riscos

    Desenvolvendo o processo de resposta

    Definição para recuperação

    Infraestrutura externa

    Base de continuidade

    Priorização de restauração

    Arquivos vitais

    Desenvolvendo os planos

    O formato dos planos

    O programa de testes e melhorias

    Concluindo o tema

    Referências bibliográficas

    Derivações para o Futuro da Segurança da Informação

    Introdução

    Quem inventará o futuro?

    O hacker no futuro – 2010 a 2060

    Conclusão

    Referências bibliográficas

    Introdução

    Certa vez um filósofo[1] disse que um homem nunca passa pelo mesmo rio duas vezes, pois ao voltar para o rio o homem não seria o mesmo homem e muito menos o rio seria o mesmo rio. Por mais que nós humanos buscássemos construir coisas ou ideias que resistissem ao tempo, estaria na natureza de todas as coisas a transformação, a impermanência. O que esse raciocínio discute não é somente sobre natureza material das coisas, mas também sobre aquilo que é criado pela humanidade no constante diálogo entre o intelecto e o meio que o cerca; é sobre a cultura.

    A revolução tecnológica do século XX geriu em seu ventre uma nova era da história da humanidade. A Era da Informação se desenvolve no momento em que é estabelecida uma plataforma por meio da qual se torna possível a todos os indivíduos com acesso a ela, independentemente de onde estejam, trocar experiências, compartilhar formas diferentes de fazer as coisas, comprar, vender e criar coletivamente.

    Mas outra característica desses tempos é o rápido ciclo de produção e consumo presente na economia. A inovação é a regra do sucesso e saber jogar com a obsolescência programada é uma necessidade para manter a sobrevivência. A mercadoria é produzida com qualidade suficiente para sobreviver até o próximo ciclo, no qual outro produto, com características inovadoras, a substituirá. Consumidores ávidos por novas características abandonam o antigo para estar sempre ligados ao glamour do novo, e assim o sistema ganha sobrevida e o processo segue. O tempo dos ciclos, orientado pela a ganância dos mercados, é cada vez mais curto, de maneira que dar destino certo para o lixo e outros substratos desse modo de vida se tornou uma questão de sobrevivência para a espécie humana.

    Em meio a este rápido bailado da existência no qual a música impõe um ritmo cada vez mais rápido, a informação se torna um bem precioso. Ser competitivo nesse novo cenário depende também do compartilhamento de informações entre diversas entidades: produtores, fornecedores, parceiros e clientes. Não é mais possível estar na corrida por inovações e guardar as informações em gavetas e trancá-las à chave; é necessário conceder acesso para ser eficaz e se manter no jogo. No âmbito governamental é ainda mais complexo, pois há por um lado a necessidade de divulgação de informações seguindo o princípio da transparência e ao mesmo tempo a proteção de dados por meio do princípio da segurança e defesa nacional.

    O momento da história em que vivemos é aquele no qual o ciclo rápido mencionado antes impede não só que tenhamos produtos que durem muito, mas também produtos que protejam as informações e adequadamente. Conviver com vulnerabilidades em hardware e software é uma característica dessa realidade, pois dedicar todo o tempo para se fazer o que é necessário para a segurança antes de colocar o produto à venda pode inviabilizar o projeto. Caso o problema seja descoberto, faça-se un recall.

    E esses nossos dias estão nos porporcionando eventos cibernéticos que antes somente figuravam nos roteiros de cinema. Por um lado, o uso da rede proporciona a forma de comunicação inédita que torna possível um singelo contato entre familiares distantes que os rumos de sua biografia os separou há anos ou também a união de milhares de pessoas em protestos que derrubaram governos ditatoriais. Mas, por outro lado, o território da rede também proporciona roubos de informações e fraudes envolvendo milhões de portadores de cartões ou a estratégia de defesa nacional que envolve o contínuo e sismemático monitoramento do comportamento online de boa parte da população mundial. Seja para o bem ou para o mal, a revolução tecnológica permitiu que o intelecto humano fosse abstraído na rede, sendo necessária a elaboração de técnicas e mecanismos para a proteção da informação de modo a resguardar negócios, instituições do Estado e também os dados pessoais.

    Esse é o tempo em que não existem receitas fáceis para todos os casos ou remédios que curem todas as doenças de segurança das informações, dada a complexidade do emaranhado de conexões que tecem a vida humana na era da informação. Seguindo esse pressuposto, este livro não possui a pretensão de ser uma obra definitiva sobre o assunto, pois os homens mudam na mesma medida que os rios. No entanto, ele tem o objetivo de apontar caminhos ou trilhas que ajudem o leitor em seu percurso de proteger as informações.

    O livro, em seu primeiro artigo (Procuram-se Hackers, de Adriano Mauro Cansian), discute a questão da formação de profissionais de segurança da informação e os diversos caminhos pelos quais se chega a esse mercado.

    Mais à frente, Augusto Paes de Barros apresenta os fundamentos da gestão de risco, disciplina essencial que direciona todo o esforço das organizações em segurança da informação. Também essencial para a proteção das informações nas organizações é a garantia de que todas as pessoas envolvidas no dia a dia da organização estejam conscientizadas sobre o tema. Em Conscientização em Segurança da Informação como Processo, Anderson Ramos aponta formas de manter essa atividade nas organizações. Seu texto é seguido por Gestão de Identidades e Acessos, de Felipe Silva, que ajuda o leitor a organizar credenciais de acessos e suas permissões.

    Na sequência, o livro passa por um adensamento técnico, onde Galeno Garbe fornece ao leitor um panorama sobre a história e as técnicas atuais de criptografia, Luis Eduardo desvenda as vulnerabilidades e melhores práticas para a implementação de redes sem fio, Fernando Fonseca explora a gestão de vulnerabilidades e atualizações de segurança e Wagner Elias aborda o tema da segurança no desenvolvimento de software.

    Após esse percurso, Altieres Rohr problematiza a questão da responsabilização do usuário pela maioria dos incidentes e argumenta sobre o quanto essa culpa não estaria no lado dos fabricantes de tecnologia. Seu texto é seguido por uma abordagem de Ricardo Castro sobre as questões envolvendo a auditoria de tecnologia e a segurança da informação. Manter a operação das organizações ativa em situações de ataques ou outros incidentes é o tema de Eduardo Vianna de Camargo Neves em seu artigo Estabelecendo a Resiliência Operacional, e o livro é finalizado com uma abordagem de Fábio Ramos sobre qual seria o futuro da segurança da informação.

    A composição desta obra contou com profissionais de destaque na área de Segurança da Informação que atuam no Brasil e no exterior e que entendem assim como nós, organizadores deste livro, que Segurança da Informação não pode ser um trilho de maneira que imobilize a operação das organizações, mas, sim, uma trilha na medida em que a proteção é dosada por meio da análise dos riscos no percurso. Se o leitor usar o conteúdo desta obra como apoio para decidir qual caminho seguir dentre as várias trilhas do curso de proteção da informação, teremos cumprindo o nosso objetivo.

    Bom caminho.

    Carlos Cabral e Willian Caprino

    Procuram-se Hackers

    Adriano Mauro Cansian

    Introdução

    Inicialmente, antes mesmo que alguém mais incauto julgue que estou fazendo uma apologia ao hacking, gostaria de esclarecer que neste artigo não me refiro a criminosos eletrônicos ou a pessoas que cometem ações ilícitas ou mesmo antiéticas, ainda que não sejam criminosas. É bem sabido que o termo hacker sofreu várias interpretações e usos ao longo do tempo e, na maioria das vezes, principalmente na mídia, recebe uma conotação pejorativa. Mas, ao consultar o dicionário Merriam-Webster[2], temos:

    hack·er: noun \’ha-kar\

    one that hacks.

    a person who is experienced or skilled at a particular activity.

    an expert at programming and solving problems with a computer.

    a person who illegally gains access to and sometimes tampers with information in a computer system.

    Portanto, neste artigo, quando me refiro a hacker, remeto-me às acepções 2 e 3 citadas, ou seja, numa tradução livre: 2: uma pessoa que é experiente ou habilidosa em uma atividade particular e 3: um programador especializado em resolver problemas com um computador. Não discutirei as questões ligadas à acepção número 4 e não será feito juízo de valor sobre esses aspectos, pois eles já foram longamente discutidos por vários autores ao longo dos tempos.

    Feito esse esclarecimento, devo dizer que, quando fui convidado para escrever este artigo, pensei em fazer uma análise comparativa a respeito de como é realizada a formação de recursos humanos para atuar em segurança da informação no Brasil. Sendo um acadêmico, atuando há pouco mais de vinte anos numa universidade pública, com a missão específica de formar recursos humanos e fomentar a pesquisa científica, meu primeiro pensamento foi desenvolver uma análise acadêmica sobre o tema, apresentando gráficos, tabelas, pesquisas, questionários de opinião, diagramas e linhas do tempo, e mais todas aquelas outras informações e parâmetros que muito bem ilustram os trabalhos técnicos, científicos e acadêmicos.

    Assim, nos últimos meses passei um tempo considerável buscando parâmetros e dados nos quais eu pudesse embasar minhas considerações. Tudo em vão. Após uma pesquisa extensa, e também após conversar com diversos colegas tanto do lado da academia, como do lado do mercado, acabei chegando à curiosa e talvez até preocupante conclusão de que, atualmente, não existem dados conclusivos que possam dar suporte a um trabalho desse tipo. Universidades, faculdades, entidades de classe, instituições públicas ou privadas, dentre outros consultados, afirmam não possuir uma política bem estabelecida e escrita sobre currículo mínimo exigido para avaliar formação específica que seja aplicada para contratação em segurança de TI. Também não existem políticas escritas a respeito de habilidades e personalidades a serem buscadas.

    Tendo uma experiência considerável em metodologia de pesquisa, espero não estar cometendo aqui nenhuma injustiça, mas também não encontrei teses, monografias ou outros artigos que tratem especificamente do tema que tenham sido feitos no Brasil ou por autores brasileiros, ou então que retratem especificamente o cenário brasileiro. Se eles existem, não estão indexados nas principais revistas e bases de dados de publicações e nos mecanismos de busca tradicionais. Trabalhos existem especificamente sobre a formação em Ciências da Computação e Engenharia da Computação, mas não especificamente em Segurança de TI ou similar.

    Como já mencionado, durante a fase de pesquisa tive a oportunidade de conversar com diversos colegas professores universitários e pesquisadores, todos com ampla experiência na formação universitária, e com diversos ex-alunos e amigos que ocupam posições de liderança no mercado de TI, com forte experiência na contratação e no gerenciamento de pessoas.

    Enjoying the preview?
    Page 1 of 1