Trilhas em Segurança da Informação: caminhos e ideias para a proteção de dados
5/5
()
About this ebook
Related to Trilhas em Segurança da Informação
Related ebooks
Políticas e Normas para a Segurança da Informação Rating: 0 out of 5 stars0 ratingsPraticando a Segurança da Informação Rating: 3 out of 5 stars3/5Governança de Segurança da Informação: como criar oportunidades para o seu negócio Rating: 0 out of 5 stars0 ratingsFundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002 Rating: 5 out of 5 stars5/5Pentest em aplicações web: Avalie a segurança contra ataques web com testes de invasão no Kali Linux Rating: 5 out of 5 stars5/5Arquitetura de Nuvem - Amazon Web Services (AWS) Rating: 4 out of 5 stars4/5Cibersegurança: Visão Panorâmica Sobre a Segurança da Informação na Internet Rating: 0 out of 5 stars0 ratingsImplantando a Governança de TI - Da estratégia à gestão dos processos e serviços (3ª edição) Rating: 0 out of 5 stars0 ratingsSegurança Da Informação Rating: 0 out of 5 stars0 ratingsCloud Computing - Nova Arquitetura da TI Rating: 4 out of 5 stars4/5Implantando a Governança de TI (4ª edição): da Estratégia à Gestão de Processos e Serviços Rating: 5 out of 5 stars5/5Segurança Da Informação Para Iniciantes Rating: 0 out of 5 stars0 ratingsDescomplicando o Docker 2a edição Rating: 0 out of 5 stars0 ratingsComputação em Nuvem Rating: 5 out of 5 stars5/5ISO/IEC 20000: Gerenciamento de Serviços de Tecnologia da Informação Rating: 5 out of 5 stars5/5Big Data para Executivos e Profissionais de Mercado - Terceira Edição: Big Data Rating: 0 out of 5 stars0 ratingsGestão Na Tecnologia Da Informação Rating: 0 out of 5 stars0 ratingsCrimes Virtuais, Vítimas Reais Rating: 4 out of 5 stars4/5Investigação Digital em Fontes Abertas Rating: 4 out of 5 stars4/5Crimes Cibernéticos: ameaças e procedimentos de investigação Rating: 5 out of 5 stars5/5Big Data Rating: 5 out of 5 stars5/5Lei Geral de Proteção de Dados nas Organizações Rating: 3 out of 5 stars3/5Descomplicando o Docker Rating: 1 out of 5 stars1/5Métodos Ágeis e Gestão de Serviços de TI Rating: 4 out of 5 stars4/5Manual de Investigação Cibernética: À luz do Marco Civil da Internet Rating: 5 out of 5 stars5/5Gestão e Governança de Dados: Promovendo dados como ativo de valor nas empresas Rating: 0 out of 5 stars0 ratingsModernização de Aplicação no Microsoft Azure: Explorando o potencial da nuvem Rating: 0 out of 5 stars0 ratingsVirtualização - Componente Central do Datacenter Rating: 0 out of 5 stars0 ratings
Security For You
Crimes Virtuais, Vítimas Reais Rating: 4 out of 5 stars4/5Bases de Hacking Rating: 4 out of 5 stars4/5HACKED: O Livro Guia Definitivo De Linux Kali E Hacking Sem Fio Com Ferramentas De Testes De Segurança E De Rating: 0 out of 5 stars0 ratingsBitcoin para iniciantes e inexperientes: Criptomoedas e Blockchain Rating: 0 out of 5 stars0 ratingsOAuth 2.0: Proteja suas aplicações com o Spring Security OAuth2 Rating: 0 out of 5 stars0 ratingsInvestigação Digital em Fontes Abertas Rating: 4 out of 5 stars4/5Guia de Segurança & Backup para PCs Rating: 0 out of 5 stars0 ratingsUm Guia para Segurança Cibernética, Segurança na Internet Rating: 0 out of 5 stars0 ratingsContagem Regressiva até Zero Day Rating: 0 out of 5 stars0 ratings
Reviews for Trilhas em Segurança da Informação
1 rating0 reviews
Book preview
Trilhas em Segurança da Informação - Carlos Cabral
Copyright© 2015 por Brasport Livros e Multimídia Ltda.
Todos os direitos reservados. Nenhuma parte deste livro poderá ser reproduzida, sob qualquer meio, especialmente em fotocópia (xerox), sem a permissão, por escrito, da Editora.
Editor: Sergio Martins de Oliveira
Diretora: Rosa Maria Oliveira de Queiroz
Gerente de Produção Editorial: Marina dos Anjos Martins de Oliveira
Revisão de Texto: Maria Helena A. M. Oliveira
Editoração Eletrônica: Michelle Paula
Capa: Use Design
Produção de ebook: S2 Books
Técnica e muita atenção foram empregadas na produção deste livro. Porém, erros de digitação e/ou impressão podem ocorrer. Qualquer dúvida, inclusive de conceito, solicitamos enviar mensagem para editorial@brasport.com.br, para que nossa equipe, juntamente com o autor, possa esclarecer. A Brasport e o(s) autor(es) não assumem qualquer responsabilidade por eventuais danos ou perdas a pessoas ou bens, originados do uso deste livro.
BRASPORT Livros e Multimídia Ltda.
Rua Pardal Mallet, 23 – Tijuca
20270-280 Rio de Janeiro-RJ
Tels. Fax: (21)2568.1415/2568.1507
e-mails: marketing@brasport.com.br
vendas@brasport.com.br
editorial@brasport.com.br
site: www.brasport.com.br
Filial SP
Av. Paulista, 807 – conj. 915
01311-100 São Paulo-SP
Tel. Fax (11): 3287.1752
e-mail: filialsp@brasport.com.br
Agradecimentos
Willian Caprino agradece a todos os amigos e familiares que contribuíram de alguma forma para a realização deste projeto. Em especial sua esposa Rebecca, sua filha Priscila, toda a comunidade de segurança da informação, seus companheiros de cerveja, seus parceiros de videogame, seus sócios e amigos de podcasts e eventos Luiz Eduardo e Nelson Murilo e ao Carlos Cabral, idealizador e evangelizador deste projeto literário.
Carlos Cabral agradece a sua incansável companheira Bianca Garcia, a sua sempre presente familia (Regina, Pablo, Mari, Rosangela, Reinor, Pedro, Gabriel e Vó Maricota). Também é intensamente grato aos amigos de (e para) sempre Leonardo Carvalho, Renata Bichir, Rogerio Schlegel, Isabelle Somma, Rosi Rosendo, Rene Aleves Ferreira, João F. Resende, Kelly Zerbinatti, Luiz Eduardo e Willian Caprino.
Os organizadores agradecem a todos os autores que acreditaram e contribuíram com esta obra.
Prefácio
A internet, rede pujante que conecta o mundo, interagindo culturas e estimulando desafios, é o mote que suscita o debate sobre segurança, em especial a das informações. Fascinados pelas possibilidades despertadas através dos novos meios tecnológicos, lançamos o desafio de como lidar com a obscuridade da web e tratar (ou não) seus riscos. A gestão de tais riscos, tema recente e palpitante, merece destaque ímpar.
É assim que os organizadores Willian Caprino e Carlos Cabral abordam a importância da elaboração de técnicas e mecanismos para a proteção da informação, de modo a resguardar negócios, instituições e informações.
O livro proporciona uma sequência de fundamentos imprescindíveis, que se inicia em seu primeiro artigo sobre a instrução de profissionais da segurança da informação, compartilhando segredos
para adentrar nesse novo mercado. E termina com o desfecho intuitivo a uma resposta de como seria o futuro dessa abrangente área.
Abordam, com detalhes profundos, os seguintes temas: hackerismo, métodos de engenharia social, criptografia em todas as suas vertentes, comportamento (passado, presente e futuro), continuidade de negócios e suas métricas, dentre outros.
Também dissertam sobre a tormentosa e desafiadora questão da privacidade, que, aliada ao fenômeno do big data, tanto nos preocupa. E sobre o tema, não há como deixar de tratar das medidas mínimas para a segurança dos negócios. Os autores incluíram nessa temática os checklists, dinâmicos e necessários.
Registramos a excelente abordagem didática e, ao mesmo tempo em que se aprofundam nos temas abordados, seduzem o leitor com detalhes técnicos, muitos inéditos.
É com grande orgulho que apresentamos esta obra que, com espírito moderno, provoca o leitor quanto à importância da segurança da informação em nossos dias. E como não poderia deixar de ser, também instiga o leitor a reflexões comportamentais e legais, tão entrelaçadas ao tema.
Foi com grande honra e enorme satisfação que recebi a responsabilidade de prefaciar esta obra, que nos engrandece por suas palavras.
Os meus sinceros cumprimentos a Willian Caprino e Carlos Cabral pela riqueza com que abordam o tema de grande interesse e muito atual.
Renato Opice Blum
Advogado e economista; Professor coordenador do MBA em Direito Eletrônico da Escola Paulista de Direito e do 1º curso de Direito Digital da FGV/GVLaw em 2011; Professor da USP (PECE) e Mackenzie; Membro Convidado do Grupo de Cibercrimes do Conselho da Europa; Presidente da Comissão Permanente de Estudos de Tecnologia e Informação do IASP; Presidente do Conselho de Tecnologia da Informação da Federação do Comércio/SP e do Comitê de Direito da Tecnologia da American Chamber of Commerce; Vice-Presidente da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB/SP; Professor/Palestrante Convidado dos Programas/Conferências Internacionais: EUROFORUM – International and European Data Protection Day; LegalTech; Technology Policy Institute; Council of Europe; SEDONA; American Bar Association; International Technology Law Association; High Technology Crime Investigation Association; Information Systems Security Association; International Association of Privacy Professionals; Georgetown Law CLE; International Law Association and Inter-American Bar Association; Profissional reconhecido por dois anos consecutivos em publicações internacionais como Chambers & Partners, Who’s who e Best Lawyers; Coordenador e coautor do livro Manual de Direito Eletrônico e Internet
. Twitter: @opiceblum
Sobre os Autores Colaboradores
Augusto Paes de Barros
Atua no campo da segurança da informação há mais de 12 anos, tendo passado por diversas organizações, de consultorias e provedores de serviços a instituições financeiras. Participa ativamente de debates na comunidade de segurança através de artigos em publicações e portais especializados e palestras em eventos dentro e fora do país. Mantém o blog Security Balance (http://blog.securitybalance.com), onde escreve sobre diversos aspectos de gestão de segurança da informação. É certificado CISSP-ISSAP.
Adriano Mauro Cansian
É doutor e livre-docente em Redes de Computadores. Atua há vinte anos no ensino de graduação e pós-graduação em Computação na UNESP (Universidade Estadual Paulista), campus de São José do Rio Preto, SP, onde é o Pesquisador Chefe do Laboratório ACME! de Pesquisa em Segurança desde 1995. Foi o CIO da UNESP de 1997 a 2004. Desde 1998 é coordenador do GTS (Grupo de Trabalho de Segurança de Redes), junto ao Comitê Gestor da Internet no Brasil. Em 2005 recebeu Diploma de Reconhecimento Público do Comitê Gestor da Internet no Brasil (CGI.Br) pelos dez anos de serviços prestados ao desenvolvimento da internet brasileira. É militante voluntário no combate a fraudes digitais e de proteção à privacidade, contribuindo com vários órgãos e instituições.
Ricardo Castro
Especialista em Controles Internos de TI, professor e membro consultor da Comissão de Ciência e Tecnologia da OAB-SP. Possui mais de 15 anos de experiência em Segurança da Informação, Gestão de Riscos, Auditoria e Investigação de Fraudes Corporativas. É graduado em Tecnologia em Processamento de Dados e pós-graduado em Análise e Projeto de Sistemas. É palestrante e professor em cursos de MBA da Faculdade Impacta, Ibmec, FIA, Sustentare e Trevisan. Atuou em cargos de destaque nas empresas PwC, Embraer, Banco Safra, Grupo Hamburg-Süd de Navegação e Logística, Grupo Kroton Educacional e Banco Votorantim. É editor do podcast Para sua Segurança
e colaborador do portal InformationWeek Brasil em Gestão de Segurança da Informação.
Wagner Elias
Possui ampla experiência na condução de projetos em IT Security com projetos desenvolvidos em empresas dos mais diversos segmentos. Em 2006 fundou o capítulo brasileiro da OWASP (Open Web Application Security Project); ocupou o cargo de diretor de conteúdo na gestão 2006-2008 e de eventos da gestão 2008-2010 do capítulo brasileiro da ISSA (Information System Security Association). É cofundador e sócio da Conviso Application Security, na qual atua como CTO (Chief Technical Officer), responsável pela gestão de pesquisa e desenvolvimento de projetos de consultoria em segurança de aplicações.
Fernando Fonseca
Diretor de Educação da Antebellum Capacitação Profissional. Consultor de segurança da informação certificado CISSP-ISSAP, CHFI, ACE, ISMAS, ISFS, Security +, MCSO, MCT e MCSE Security. Graduado em processamento de dados e pós-graduado em Multimídia e Internet (UFES), Segurança da Informação (UNIRIO) e Administração de Redes Linux (UFLA). Atua como professor de pós-graduação na Faculdade Impacta de Tecnologia, Escola Paulista de Direito e UNI-BH. Atuou também como professor de graduação e pós-graduação na Universidade Anhembi-Morumbi e UNIP, Diretor de comunicação do ISSA Brasil Chapter entre 2006 e 2010 e vice-presidente entre 2010 e 2012. Gerente de conteúdo da Módulo Security Solutions, Coordenador de treinamentos na Techbiz Forense Digital, Test engineer e Consultor de segurança na Microsoft, onde foi responsável pelo conteúdo dos programas Academia de Segurança da Informação, Technet Security Experience e do Fast Start Security, da Microsoft.
Galeno Garbe
Profissional com mais de vinte anos de experiência com TI, tendo focado os últimos dez anos em segurança da informação. É presidente e membro fundador do capítulo brasileiro da (ISC)², um dos primeiros no continente. Possui várias certificações em TI e SI, dentre elas: CISSP, MCSE+I, MCSO, Linux+ e OCSE. Já apresentou palestras em diversos eventos de TI e Segurança como FISL, LinuxCon, SecureBrasil, Silver Bullet, entre outros. Possui vasta experiência internacional, já tendo atuado em mais de trinta projetos fora do Brasil, principalmente nos EUA e no Canadá. Já atuou como gestor de segurança em uma grande empresa de internet brasileira e atualmente lidera as iniciativas antipirataria na América do Sul em uma empresa multinacional de segurança, atuando como gerente do programa de ciberssegurança na região. Dentre todos os assuntos e domínios de conhecimento relacionados com Segurança da Informação, Galeno se dedica ao estudo da Criptografia, já tendo produzido um completo curso online sobre o tema.
Eduardo Vianna de Camargo Neves
Trabalhando no mercado internacional de Segurança da Informação desde 1997, acumulou experiência como consultor, auditor, gestor em uma empresa Fortune 100. Como empreendedor, fundou uma das primeiras empresas brasileiras especializadas em Segurança de Aplicações e desde 2011 lidera uma consultoria especializada nas disciplinas de Risco Operacional e Continuidade de Negócios. Serviu ainda como voluntário para a ISSA Brasil, OWASP e ISC² e contribui para diversas iniciativas de evangelização nas práticas de proteção da informação no Brasil.
Anderson Ramos
Trabalha na área de Segurança da Informação há mais de 15 anos. É sócio fundador da FLIPSIDE Smart Content Provider, empresa especializada em campanhas de conscientização e treinamentos personalizados, Senior Lead Instructor do (ISC)² para Europa e América Latina e vice-presidente da Hackers Construindo Futuros. Trabalhou ainda como Consultor Sênior na ETEK International e Coordenador de Conteúdo Educacional da Módulo. Ao longo da carreira treinou milhares de profissionais em mais de vinte países. Como escritor, foi organizador e coautor dos livros Security Officer
1 e 2, tendo recebido o Prêmio SecMaster 2006 pelo seu trabalho. Publicou ainda um capítulo sobre Deep Packet Inspection no Information Security Management Handbook
, obra de referência internacional. Ainda na área editorial, é Associate Editor do Information Security Journal – A Global Perspective. Já fez parte da diretoria da ISSA Brasil, da qual foi um dos fundadores, e do corpo de professores do IBTA/IBMEC. Possui mais de vinte certificações profissionais, incluindo o CISSP (ISSAP/MP) e o CISA. Palestrou em diversos eventos no Brasil e no exterior, incluindo o Infosecurity Europe, H2HC, YSTS, CNASI, SecurityWeek, CSO Meeting, entre outros. Sua formação em curso é um bacharelado em Information Systems and Management pela London School of Economics and Political Science. Com uma rara combinação de conhecimentos técnicos e de negócio, é reconhecido por sua capacidade de conversar com qualquer audiência, de Conselhos de Administração à comunidade hacker, simplificando conceitos complexos de forma divertida, perspicaz e esclarecedora.
Fábio F. Ramos
Especialista em Segurança da Informação, certificado internacionalmente pelo ISC² (Framingham, MA) e ISACA (Information System Audit and Control Association – Illinois). Fundador da Axur, atuou nos últimos 15 anos como especialista em segurança da informação em instituições financeiras, indústria química, setor de Gas & Oil e energia elétrica, varejo, indústria marítima e pontocom. Possui as certificações CISSP e CISM.
Altieres Rohr
É jornalista especializado em segurança da informação. Criador do site Linha Defensiva
, foi parceiro do UOL e é colunista do G1, portal de notícias da Globo, desde 2008. Foi vencedor dos prêmios Internet Segura de Jornalismo (2010), na categoria Tecnologia
, e do Prêmio Eset de Jornalismo da América Latina (2012), na categoria Mídia Digital
. É criador da ferramenta gratuita de remoção de vírus BankerFix
, que já teve mais de três milhões de downloads.
Luiz Eduardo dos Santos
Com vinte anos de experiência em várias tecnologias de redes e em segurança de setores corporativos e de provedores de serviço. É reconhecido na comunidade de segurança internacional não só por ter participado como palestrante em conferências como CONFidence, DefCon, FIRST, H2HC, HitB Malásia, SOURCE, ThotCon e Toorcon, mas também por ser responsável pela arquitetura das redes sem fio de conferências como BlackHat, CCC, DefCon e Shmoocon. É responsável pelo NOC da DefCon, membro do Global Connections Committee do OWASP e co-organizador das conferências YSTS e Silver Bullet no Brasil.
Felipe Silva
CISSP, ISO-27001 e ITIL Service Manager. Formado em Engenharia da Computação pela UNICAMP (Universidade Estadual de Campinas) com pós-graduação em Administração de Empresas pela FGV (Faculdade Getúlio Vargas), vem atuando há mais de dez anos no segmento de Segurança da Informação, com participação em projetos com foco em Gestão de Riscos e Compliance, nas áreas de gestão de identidades e acessos, gestão de informações e eventos de segurança e gestão de vulnerabilidades. Atualmente atua como membro do IBM-Security Tiger Team, tendo passado por empresas como CA e Price Waterhouse.
Sumário
Introdução
Procuram-se Hackers
Introdução
Retrospecto
O que procuram os estudantes
O que procuram as empresas
O que procuramos
Conclusão
Referências bibliográficas
Gestão de Risco
Conceitos
Controles
Outros métodos de análise de risco
Tratamento do risco e fechando o ciclo
Metodologias e padrões
Referências bibliográficas
Conscientização em Segurança da Informação Como Processo
Introdução
Planejamento
Defina objetivos (todos eles)
Determine um escopo
Avalie o nível atual de conscientização
Mapeando papéis e responsabilidades
Mapeando necessidades de aprendizado
Mapeando públicos
Buscando ajuda
Ferramentas de avaliação
Palestrantes
Envolvimento de outras áreas
Produzindo o conteúdo
Canais de comunicação
Mantendo a campanha viva
Conclusão
Referências bibliográficas
Gestão de Identidades e Acessos
Introdução
Administração
Autenticação
Autorização
Auditoria
Conclusão
Introdução à Criptografia Aplicada
O começo
O algoritmo criptográfico
Cifras de substituição
Cifra de transposição
A cifra de César
A chave
criptográfica
Cifra de Vigenère
CIFRA de Vernam e One Time Pad (OTP)
Geração de números aleatórios para criptografia
A criptografia moderna
Criptografia simétrica
Números primos e a criptografia
Criptografia assimétrica
Funções de via única, hash
Criptografia híbrida
Os principais algoritmos usados atualmente
Criptoanálise
A criptografia quântica
Criptografia homomórfica
Considerações finais
Referências bibliográficas
Melhores Práticas em Segurança de Redes Sem Fio
Residenciais
Públicas
Corporativas e comerciais
Referências bibliográficas
Gestão de Vulnerabilidades e Atualizações de Segurança
Exploração de vulnerabilidades
Modus operandi dos ataques
Correndo do leão
Homologação dos patches
Dividir para conquistar
O processo de atualização
Atualização segura
Se você não mede, não gerencia
Como desenvolver um processo de gestão de correções (patch management)
Conclusão
Referências bibliográficas
Segurança no Desenvolvimento de Software
O processo de desenvolvimento de software
A segurança e o processo de desenvolvimento de software
A segurança e as metodologias de desenvolvimento
Princípios fundamentais para a segurança de software
As práticas de segurança em desenvolvimento de software
Papéis e responsabilidades envolvidos com o desenvolvimento e segurança
Implementando as práticas de segurança em desenvolvimento de software
Conclusões
Referências bibliográficas
O Papel do Usuário
Limites da educação do usuário
Análise de risco
Dimensão do risco
Desafios para a educação do usuário
Transferência de responsabilidade e interface
Estudo de caso: SSL
Gestalt em interfaces
EV-SSL: quase padronizando a interface
Falha nossa
A sabedoria e a engenharia social
O ser humano comete erros
Checklist
Referências bibliográficas
Perspectiva, Desafios e Tendências em Auditoria de Tecnologia e Segurança da Informação
O complicado cenário de riscos
Ameaças à segurança de dados e à reputação
O posicionamento de auditoria no contexto da governança corporativa
A auditoria em TI
Elementos da auditoria de TI
Abordagem baseada em riscos
A governança de segurança da informação
O profissional de auditoria em TI
Tendências emergentes em auditoria de tecnologia e segurança da informação
Referências bibliográficas
Estabelecendo a Resiliência Operacional: Definindo e Construindo uma Estratégia para a Continuidade dos Negócios
O papel da resiliência operacional
A composição da estratégia para continuidade dos negócios
O que esperar deste capítulo
Definindo as necessidades para continuidade
Entendendo os processos
Mantendo o controle da modelagem
A análise de impacto nos negócios
Antes do RPO, o backup
Calculando o RPO
Estabelecendo o RTO
O Work Recovery Time
Cálculo de perdas potenciais
Equalizando a criticidade
Apresentando os resultados
Observações sobre a análise de riscos
Desenvolvendo o processo de resposta
Definição para recuperação
Infraestrutura externa
Base de continuidade
Priorização de restauração
Arquivos vitais
Desenvolvendo os planos
O formato dos planos
O programa de testes e melhorias
Concluindo o tema
Referências bibliográficas
Derivações para o Futuro da Segurança da Informação
Introdução
Quem inventará o futuro?
O hacker no futuro – 2010 a 2060
Conclusão
Referências bibliográficas
Introdução
Certa vez um filósofo[1] disse que um homem nunca passa pelo mesmo rio duas vezes, pois ao voltar para o rio o homem não seria o mesmo homem e muito menos o rio seria o mesmo rio. Por mais que nós humanos buscássemos construir coisas ou ideias que resistissem ao tempo, estaria na natureza de todas as coisas a transformação, a impermanência. O que esse raciocínio discute não é somente sobre natureza material das coisas, mas também sobre aquilo que é criado pela humanidade no constante diálogo entre o intelecto e o meio que o cerca; é sobre a cultura.
A revolução tecnológica do século XX geriu em seu ventre uma nova era da história da humanidade. A Era da Informação se desenvolve no momento em que é estabelecida uma plataforma por meio da qual se torna possível a todos os indivíduos com acesso a ela, independentemente de onde estejam, trocar experiências, compartilhar formas diferentes de fazer as coisas, comprar, vender e criar coletivamente.
Mas outra característica desses tempos é o rápido ciclo de produção e consumo presente na economia. A inovação
é a regra do sucesso e saber jogar com a obsolescência programada
é uma necessidade para manter a sobrevivência. A mercadoria é produzida com qualidade suficiente para sobreviver até o próximo ciclo, no qual outro produto, com características inovadoras, a substituirá. Consumidores ávidos por novas características abandonam o antigo para estar sempre ligados ao glamour do novo, e assim o sistema ganha sobrevida e o processo segue. O tempo dos ciclos, orientado pela a ganância dos mercados, é cada vez mais curto, de maneira que dar destino certo para o lixo e outros substratos desse modo de vida se tornou uma questão de sobrevivência para a espécie humana.
Em meio a este rápido bailado da existência no qual a música impõe um ritmo cada vez mais rápido, a informação se torna um bem precioso. Ser competitivo nesse novo cenário depende também do compartilhamento de informações entre diversas entidades: produtores, fornecedores, parceiros e clientes. Não é mais possível estar na corrida por inovações e guardar as informações em gavetas e trancá-las à chave; é necessário conceder acesso para ser eficaz e se manter no jogo. No âmbito governamental é ainda mais complexo, pois há por um lado a necessidade de divulgação de informações seguindo o princípio da transparência e ao mesmo tempo a proteção de dados por meio do princípio da segurança e defesa nacional.
O momento da história em que vivemos é aquele no qual o ciclo rápido mencionado antes impede não só que tenhamos produtos que durem muito, mas também produtos que protejam as informações e adequadamente. Conviver com vulnerabilidades em hardware e software é uma característica dessa realidade, pois dedicar todo o tempo para se fazer o que é necessário para a segurança antes de colocar o produto à venda pode inviabilizar o projeto. Caso o problema seja descoberto, faça-se un recall.
E esses nossos dias estão nos porporcionando eventos cibernéticos que antes somente figuravam nos roteiros de cinema. Por um lado, o uso da rede proporciona a forma de comunicação inédita que torna possível um singelo contato entre familiares distantes que os rumos de sua biografia os separou há anos ou também a união de milhares de pessoas em protestos que derrubaram governos ditatoriais. Mas, por outro lado, o território da rede também proporciona roubos de informações e fraudes envolvendo milhões de portadores de cartões ou a estratégia de defesa nacional que envolve o contínuo e sismemático monitoramento do comportamento online de boa parte da população mundial. Seja para o bem ou para o mal, a revolução tecnológica permitiu que o intelecto humano fosse abstraído na rede, sendo necessária a elaboração de técnicas e mecanismos para a proteção da informação de modo a resguardar negócios, instituições do Estado e também os dados pessoais.
Esse é o tempo em que não existem receitas fáceis para todos os casos ou remédios que curem todas as doenças de segurança das informações, dada a complexidade do emaranhado de conexões que tecem a vida humana na era da informação. Seguindo esse pressuposto, este livro não possui a pretensão de ser uma obra definitiva sobre o assunto, pois os homens mudam na mesma medida que os rios. No entanto, ele tem o objetivo de apontar caminhos ou trilhas que ajudem o leitor em seu percurso de proteger as informações.
O livro, em seu primeiro artigo (Procuram-se Hackers
, de Adriano Mauro Cansian), discute a questão da formação de profissionais de segurança da informação e os diversos caminhos pelos quais se chega a esse mercado.
Mais à frente, Augusto Paes de Barros apresenta os fundamentos da gestão de risco, disciplina essencial que direciona todo o esforço das organizações em segurança da informação. Também essencial para a proteção das informações nas organizações é a garantia de que todas as pessoas envolvidas no dia a dia da organização estejam conscientizadas sobre o tema. Em Conscientização em Segurança da Informação como Processo
, Anderson Ramos aponta formas de manter essa atividade nas organizações. Seu texto é seguido por Gestão de Identidades e Acessos
, de Felipe Silva, que ajuda o leitor a organizar credenciais de acessos e suas permissões.
Na sequência, o livro passa por um adensamento técnico, onde Galeno Garbe fornece ao leitor um panorama sobre a história e as técnicas atuais de criptografia, Luis Eduardo desvenda as vulnerabilidades e melhores práticas para a implementação de redes sem fio, Fernando Fonseca explora a gestão de vulnerabilidades e atualizações de segurança e Wagner Elias aborda o tema da segurança no desenvolvimento de software.
Após esse percurso, Altieres Rohr problematiza a questão da responsabilização do usuário pela maioria dos incidentes e argumenta sobre o quanto essa culpa
não estaria no lado dos fabricantes de tecnologia. Seu texto é seguido por uma abordagem de Ricardo Castro sobre as questões envolvendo a auditoria de tecnologia e a segurança da informação. Manter a operação das organizações ativa em situações de ataques ou outros incidentes é o tema de Eduardo Vianna de Camargo Neves em seu artigo Estabelecendo a Resiliência Operacional
, e o livro é finalizado com uma abordagem de Fábio Ramos sobre qual seria o futuro da segurança da informação.
A composição desta obra contou com profissionais de destaque na área de Segurança da Informação que atuam no Brasil e no exterior e que entendem assim como nós, organizadores deste livro, que Segurança da Informação não pode ser um trilho
de maneira que imobilize a operação das organizações, mas, sim, uma trilha
na medida em que a proteção é dosada por meio da análise dos riscos no percurso. Se o leitor usar o conteúdo desta obra como apoio para decidir qual caminho seguir dentre as várias trilhas do curso de proteção da informação, teremos cumprindo o nosso objetivo.
Bom caminho.
Carlos Cabral e Willian Caprino
Procuram-se Hackers
Adriano Mauro Cansian
Introdução
Inicialmente, antes mesmo que alguém mais incauto julgue que estou fazendo uma apologia ao hacking, gostaria de esclarecer que neste artigo não me refiro a criminosos eletrônicos ou a pessoas que cometem ações ilícitas ou mesmo antiéticas, ainda que não sejam criminosas. É bem sabido que o termo hacker sofreu várias interpretações e usos ao longo do tempo e, na maioria das vezes, principalmente na mídia, recebe uma conotação pejorativa. Mas, ao consultar o dicionário Merriam-Webster[2], temos:
hack·er: noun \’ha-kar\
one that hacks.
a person who is experienced or skilled at a particular activity.
an expert at programming and solving problems with a computer.
a person who illegally gains access to and sometimes tampers with information in a computer system.
Portanto, neste artigo, quando me refiro a hacker
, remeto-me às acepções 2 e 3 citadas, ou seja, numa tradução livre: 2: uma pessoa que é experiente ou habilidosa em uma atividade particular
e 3: um programador especializado em resolver problemas com um computador
. Não discutirei as questões ligadas à acepção número 4 e não será feito juízo de valor sobre esses aspectos, pois eles já foram longamente discutidos por vários autores ao longo dos tempos.
Feito esse esclarecimento, devo dizer que, quando fui convidado para escrever este artigo, pensei em fazer uma análise comparativa a respeito de como é realizada a formação de recursos humanos para atuar em segurança da informação no Brasil. Sendo um acadêmico, atuando há pouco mais de vinte anos numa universidade pública, com a missão específica de formar recursos humanos e fomentar a pesquisa científica, meu primeiro pensamento foi desenvolver uma análise acadêmica sobre o tema, apresentando gráficos, tabelas, pesquisas, questionários de opinião, diagramas e linhas do tempo, e mais todas aquelas outras informações e parâmetros que muito bem ilustram os trabalhos técnicos, científicos e acadêmicos.
Assim, nos últimos meses passei um tempo considerável buscando parâmetros e dados nos quais eu pudesse embasar minhas considerações. Tudo em vão. Após uma pesquisa extensa, e também após conversar com diversos colegas tanto do lado da academia, como do lado do mercado, acabei chegando à curiosa e talvez até preocupante conclusão de que, atualmente, não existem dados conclusivos que possam dar suporte a um trabalho desse tipo. Universidades, faculdades, entidades de classe, instituições públicas ou privadas, dentre outros consultados, afirmam não possuir uma política bem estabelecida e escrita sobre currículo mínimo exigido para avaliar formação específica que seja aplicada para contratação em segurança de TI. Também não existem políticas escritas a respeito de habilidades e personalidades a serem buscadas.
Tendo uma experiência considerável em metodologia de pesquisa, espero não estar cometendo aqui nenhuma injustiça, mas também não encontrei teses, monografias ou outros artigos que tratem especificamente do tema que tenham sido feitos no Brasil ou por autores brasileiros, ou então que retratem especificamente o cenário brasileiro. Se eles existem, não estão indexados nas principais revistas e bases de dados de publicações e nos mecanismos de busca tradicionais. Trabalhos existem especificamente sobre a formação em Ciências da Computação e Engenharia da Computação, mas não especificamente em Segurança de TI ou similar.
Como já mencionado, durante a fase de pesquisa tive a oportunidade de conversar com diversos colegas professores universitários e pesquisadores, todos com ampla experiência na formação universitária, e com diversos ex-alunos e amigos que ocupam posições de liderança no mercado de TI, com forte experiência na contratação e no gerenciamento de pessoas.