Espiligência nossa de cada dia….

6 nov, 2013 | 1 Comentário »
texto sobre as recentes espionagens e o trabalho de inteligencia

texto sobre as recentes espionagens e o trabalho de inteligencia

Você quer privacidade? Vá para marte! E rápido, pois ainda lá existe locais não observados. A Tecnologia potencializa tudo, o que é bom e o que é ruim, portanto monitoramento, espionagem, serviços de inteligência ou de Proteção precisam destas tecnologias para que de forma preventiva possamos estar mais seguros!???

O que seria do mundo atual sem a nanotecnologia, câmeras de vídeo microscópicas inseridas em quase tudo o que você interage, e o GPS? Conseguimos viver atualmente sem Telefone móvel e GPS? Creio que não.

Ver os governos pedindo esclarecimentos e indignados com espionagem parece piada! Aonde vocês acham que os espiões da Guerra Fria (década de 80) estão trabalhando hoje? Em filmes de 007 em Los Angeles? ou nas agencias de inteligência e contra inteligência?

Inteligência e contra inteligência

Inteligência e contra inteligência é o nome dado a serviços de monitoramento (espionagem) e proteção (contra espionagem). É uma das áreas de segurança empresarial, governamental, militar e de informação. Sempre existiu e sempre vai existir. Não gosta disso? Então lamente o mundo em que nasceu.

Projetos como Echelon e Prism (pesquise sobre estes dois) dividem as opiniões em: Grandes ideias mirabolantes e sensacionais para os NERDS de plantão e a geração STAR WARS, e de ABUSO e INVASÃO DE PRIVACIDADE para os cidadãos normais e pessoas não tão NERDS.

O Sr. Snowden alertou e nos lembrou na verdade de que NÃO ESTAMOS SÓS! E que tudo o que é feito, comunicado e transacionado via IP é de certa forma monitorado, ou poderá ser?

Eu disse numa entrevista recente a uma rádio de Brasília e outra em SP, que a Internet nunca foi feita para ser segura, ela nasceu para ser um recurso de comunicação de contingencia para casos de guerras e onde a comunicação poderia se tornar muito difícil. Note que a guerra ou temor dela nos motivou a criar um recurso barato e essencial de comunicação, e hoje estamos em guerra via Internet e com a Internet.

De todos os meios de comunicação revolucionários como o rádio e a TV, sem dúvidas a Internet é o mais assustador e fantástico ao mesmo tempo. Ela propicia tudo de bom e ruim ao mesmo tempo e a distancia de um dedo (clique!). Porém, nunca foi segura e dificilmente vai ser, o próprio protocolo TCP/IP não foi construido para ser seguro, foi construido para ser barato e rápido.

Todo ESTADO que defende sua soberania de forma decente e planejada desde a década de 70 vem investindo pesado em Segurança da Informação, Inteligência e Contra inteligência. Ter o domínio sobre tecnologias, suas concepções, produções, patentes e investir seriamente em pesquisa e ciência era necessário nos anos 80, hoje é ATRASO, e apagar incêndio!

Mal ensinamos língua portuguesa e inglês nas escolas públicas! Falta muita GOVERNANÇA DE RISCOS ao Estado Brasileiro. Independente de quem senta-se na cadeira de Presidente, seja qualquer partido político, a soberania nacional é MAIOR. O Exército brasileiro que trabalha duro não poderia ficar ao dispor de partido A, B ou C, e muito menos de vaidades presidenciais. A nossa maior defesa é a massa da população sabendo o que fazer. Dê uma arma a cada cidadão, ou seja, dê à ele ensino decente, saúde e conhecimento sobre segurança da informação e como se defender basicamente, e terá uma nação para defender a soberania. Acho que os chineses já entenderam isso, e estão dominando o mundo. E também possuem a maior quantidade de hackers do mundo. Nada como ter muita gente sabendo ler, escrever, usar a internet…

Uma POLÍTICA DE ESTADO para os próximos 100 anos em Inteligência e Contra inteligência precisa existir, e começa com ensino de segurança da informação nas ESCOLAS FUNDAMENTAIS, além do inglês e mandarim é claro!

ESTAMOS NA ERA DA INFORMAÇÃO para quem ainda não entendeu! É a geração dos anos 80 para frente que está dando as cartas. A geração computador pessoal, windows, redes e todo o resto.

Se não ensinarmos uma geração nova para daqui a 10 anos estaremos melhores em segurança, como faremos a diferença? Remediando!? com softwares de emails de são 30% nacionais? Desenvolver uma solução OPEN Source a base de Linux e outros programas de computador que nunca foram feitos por nós brasileiros, ofende a inteligência da maioria dos profissionais de TI e Segurança da Informação. Isso é para o cidadão comum que acha que o governo é vitima, e acredita nas grandes emissoras de TV.

O Lado negro da Internet

O lado negro da Internet está ai, bem na frente dos seus olhos!

Chama-se DARKNET. Ela é responsável por ensinar tudo de ruim e transgressor que possa imaginar. O seu antivírus não irá bloquear ela. E o seu computador já deve estar conectado a algum tipo de monitoramento, ou melhor seu telefone.

Como comprar drogas, contrabando, bombas e etc está bem ai, e tem até moeda própria. Negócios são feitos em um submundo utilizado pelos pesquisadores, pelos professores, pelos malucos, pelos psicopatas e terroristas de plantão, pelos NERDS que acham que irão mudar o mundo mascarados e pelos inocentes pretendentes aos anteriores. Protótipos de inconsequência, desafio, hackerismo e ciência!

O maluco que está num país no leste europeu e por lá estuprar crianças e pornografia é normal, está conectado quando seus filhos estão na Internet, ou seja, sempre. E para ele, é normal flertar com uma menina de 9, 10, 13 anos!

O Governo não sabe disso? Claro que sabe! O Governo não sabe que é espionado? Claro que sabe! Então qual a novidade? É a publicidade do despreparo e da falta de planejamento, governança e investimento.

Você acha mesmo que investindo menos de 1 bilhão ao ano em Segurança da Informação vamos estar preparados para enfrentar países como EUA, Inglaterra e China, que investem bilhões ou até trilhões nisso, e detém as maiores empresas de Tecnologia do mundo?

São 100 policias federais nos EUA, aqui são 4, salvo o engano. São bilhões de dólares investidos por lá, contra uns R$ 300 milhões para o Exército brasileiro (responsável pela defesa cibernética), que não gastaram R$ 100 milhões neste ano, e ainda tiveram que esperar a politicagem algumas vezes.

As Forças Armadas precisam de mais investimento. Mais capacitação, mais pesquisa e muito mais respeito pelos partidos A, B, C e D, e dos futuros Executivos do país. Não podemos confundir represarias da época da Ditadura com Política de DEFESA DA SOBERANIA BRASILEIRA no CIBERMundo!

“Somos um país pacifico!”. Isto na Internet não vale!. Em Julho de 2013 dei uma entrevista a InformationWeek e me questionaram sobre quais os possíveis alvos da Espionagem. Na época alertei para Gás e Óleo, Farmacêuticas, Químicas, Governo, Agroindústria e Pecuária. E vocês acham que o Governo não sabe disso!? Tenho quase certeza que sabe!

Podemos nos proteger? A curto prazo muito pouco. A médio prazo talvez dependendo de quem você colocar no Governo nas próximas eleições. A longo prazo podemos ser líderes e estar onde merecemos ou ficar olhando nossa derrota como POVO SOBERANO NO BRASIL.

Uma vez disseram que Hacker é criminoso. Hacker é um pesquisador, cientista, educador e crítico social, porém quando se desvia temos então o Cracker que usa este conhecimento para o mal. As nações não percebem que estamos criando muitos Crackers, pois as políticas e a transparência não são claras, o povo em diversas regiões não é respeitado, o dinheiro para poucos fala mais alto e a soberania é de quem paga mais. Se estão preocupados com os mascarados das ruas, esqueçam, pois na Internet a questão ficará pior a cada ano.

A diferença não se fará na compra de caixas para instalar em algum rack de TI, se fará no cidadão que precisa ser educado, nos profissionais que precisam entender melhor os riscos e mudar a cultura. Ou seja, precisamos sair deste ciclo viciado e partir para uma nova cultura de soberania cibernética, independência intelectual e tecnológica e com uma POLÍTICA DE ESTADO maior que partidos e pessoas.

Deixemos de ser hipócritas e acreditar em tudo o que as TVs dizem. Estamos sendo espionados, roubados, violentados e subjugados há anos e agora com os riscos da Internet não estamos reagindo. Quando acordarmos estaremos numa crise sem precedentes, e muito maior do que a de 2008/09.

Fique alerta! Cuide-se e mantenha sua privacidade não se expondo de mais nas redes sociais e colocando seu negócio em risco. A era é a da Informação e de TICI – Tecnologia da Informação Comunicação e Interatividade e isso não irá mudar.

Normas da família ISO 27001 disponiveis – Segurança da Informação

8 out, 2013 | Nenhum Comentário »

A ISO 27001:2005 sofreu um ajuste agora em 2013 e passa a se chamar ISO 27001:2013. A seguir coloco uma imagem muito didática oferecida pelo especialista Dejan Kosutic:
Infographic_New_ISO_27001_2013_Revision2-450x2025

No website da ABNT veja as normas da família disponíveis:

Screen Shot 2013-10-08 at 5.21.23 PM

ISO 27002 e família, segundo a ABNT:

Screen Shot 2013-10-08 at 5.30.22 PM

Governo brasileiro pensa em um sistema de email ‘anti-snooping’

4 set, 2013 | Nenhum Comentário »

Publicado na Revista WIRED, uma das mais respeitadas no mundo da Tecnologia, por Olivia Solon, esta noticia do dia 3/09/2013 me gerou curiosidade e apreensão.

Segundo a Sra Solon, O governo brasileiro está planejando desenvolver um sistema nacional de e-mail que é protegido do tipo de espionagem que a Agência de Segurança Nacional (NSA) dos EUA realiza.

“O governo já vem trabalhando com a Agência de Correios postais nacionais para desenvolver o novo sistema de e-mails comerciais , oferecendo uma alternativa para os gostos do Gmail e Hotmail, o que garantiria a veracidade dos documentos e oferecem funções como uma certificação de entrega que indique quando um e-mail foi lido pelo destinatário.”

Será? Por que isto ainda não repercurtiu na imprensa especializada nacional? Será que é um furo da WIRED?

E continua “No entanto, na esteira das revelações do denunciante Edward Snowden sobre a extensão da vigilância digital do governo dos EUA , Ministério da Comunicação do Brasil pediu para estender o projeto em um serviço nacional. O novo sistema incluem criptografia e ter servidores baseados no Brasil.

As empresas americanas como Google e Microsoft são obrigados a compartilhar dados de seus usuários com a NSA. De fato, nos últimos oito meses de 2012 , Hotmail, Google , Facebook e Twitter , desde agências policiais com informações sobre 64 mil usuários. A NSA pode também tocar em três quartos dos dados que fluem através da internet EUA e tem poder legal para intimar as comunicações internacionais.”

Esses fatos levaram o ministro do Interior da Alemanha a orientar empresas a não utilizar os serviços que passam por servidores americanos se eles estão preocupados com a privacidade da Alemanha.

O governo francês também está trabalhando para construir uma infraestrutura nacional de nuvem para competir com as empresas dominantes dos Estados Unidos.

“O ministro de Comunicação do Brasil , Paulo Bernardo disse à Folha de São Paulo : “Quando eu te enviar um email e eu quero ninguém para bisbilhotar. No ano passado, os EUA fizeram 311 pedidos ( para as empresas ) não estão trabalhando no mercado de varejo é necessário. . . para incentivar um serviço de e-mail mais seguro. ”

“Especialista em segurança Altieres Rohr pontos que a escolha dos correios nacional para fazer o trabalho é duvidoso. Ele disse em um artigo no Globo: “O foco dos Correios é no desenvolvimento de processos de logística para a realização de partos , e não no desenvolvimento de fórmulas matemáticas complexas e programação segura, mas não precisamos questionar a competência de qualquer profissional ou organização. neste caso. Mesmo que o sistema desenvolvido é perfeito e adequado , é ainda necessária. ”

“Rohr destaca que a criação de um sistema de e-mail nacional contraria as características internacionais, sem fronteiras da web. Além disso, ele ressalta que já é possível criptografar as comunicações sem ter que construir uma infraestrutura totalmente nova .

“O serviço, que deve lançar até o final de 2014, foi inicialmente planejado para ser pago para , mas o governo está debatendo se a fazê-lo ad- financiado . Neste caso, os dados provavelmente seriam vendidos aos anunciantes vez de governos.”

E finaliza Olivia, “Além disso, mesmo se armazenar todos os seus dados pessoais em um sistema de e-mail financiado pelo governo poderia impedir snooping governo estrangeiro , se você confia no seu próprio governo não acessar seus dados?”

Bom, eu acho que sempre teremos espionagem, pois a tecnologia e internet proporcionam isso. Além do mais as pessoas se espalham e ainda possuem critérios primários para controle de suas informações, classificação da informação e uso de certificados digitais.

Mude 1 para mudar 100 mil! Esta é minha frase favorita. Começamos com muito mais educação inclusive no nivel fundamental das escolas públicas falando sobre segurança, comportamento na internet e riscos, e principalmente discutindo privacidade e ética digital, depois talvez consigamos implementar serviços deste tipo.

A importância da continuidade de negócios HOJE!

30 ago, 2013 | 1 Comentário »

Ontem ouvi uma especialista em comunicação mencionar numa reunião, “-Está sua área é pouco conhecida. Precisa popularizar e falar mais sobre ela!”. Bom, ela estava falando sobre Continuidade de Negócios.

O interessante é que pessoas que tem entre 30 e 50 anos e já estão em posições gerenciais ainda tem dificuldade de entender a Gestão de Riscos e sua importância, sem preconceito.

Gerações diferentes, tecnologias diferentes, empresas e uma macro-economia diferente. A questão não é idade é cultura! Profissionais de gestão mais antigos que não são da geração Atari e Windows ainda enxergam grande parte da TI – tecnologia da informação, segurança da informação e continuidade de negócios como CUSTO. Alguns não entendem, outros não querem entender, e outros se fazem de surdos.

Na mesma época que aqui no Brasil cinto de segurança não era obrigatório, 1988, nascia o DRI – Disaster Recovery Institute International nos EUA (www.drii.org) e o BCI – Business Continuity Institute no Reino Unido não é tão velho assim.

A questão realmente é pouco difundida no Brasil. Na década de 80 a 90 carro seguro era carro que tinha a Lataria forte para aguentar pancadas! (É surreal isso!)

Hoje não se vive ou se mantém uma empresa sem pensar e investir nestas proteções. Note nosso governo e a falta de governança em riscos dele. É o reflexo clássico desse pensamento cultural brasileiro.

Somos reativos e não preventivos. Isto é cultura no Brasil.

Gerenciar riscos é ESTAR PREPARADO! Como? Definindo a responsabilidade da Administração, implantando o processo na empresa de forma séria, medindo, melhorando, capacitando todos os funcionários.

Segue um pequeno vídeo interessante sobre Continuidade de Negócios para ajudar a entender:

Business Continuity Management – The Time Is Now – YouTube [360p]

Plano de continuidade de negócios: Como estruturá-lo de acordo com a ISO 22301

26 ago, 2013 | 2 Comentários »

Lendo um artigo no blog do especialista em SI e GCN Sr. Dejan Kosutic de 24/09/2013, identifiquei algumas recomendações que são interessantes e importantes para empresas que pretendem adotar em seus planos de continuidade de negócios as referencias da ISO 22301 (ISO atual que orienta a implementação da Gestão de Continuidade de Negócios nas empresas). Lembre-se toda norma ISO é trilha e não trilho, portanto algumas variações e ajustes serão necessários de acordo com o tipo de negócio, segmento e cultura organizacional.

Segundo o Sr. Dejan, Na sua experiência, as empresas costumam encontrar duas coisas que geralmente dificultam os processos de implementação: 1) A avaliação de riscos e 2) O planejamento de continuidade de negócios.

Então ele dá algumas recomendações interessantes:

O que é um plano de continuidade de negócio?

“De acordo com a ISO 22301, plano de continuidade de negócios é definida como “procedimentos documentados que as organizações precisam como um guia” para responder, recuperar, retomar e restaurar a um nível pré-definido de operação após a interrupção.” (Cláusula 3.5)

Isto significa basicamente que o BCP se concentra no desenvolvimento de planos / procedimentos, mas não inclui a análise de que forma a base desse planejamento, nem o meio de manter tais planos – todos estes são elementos necessários de gestão de continuidade de negócios, que são necessárias para permitir o planejamento da contingência com sucesso.”

“Exemplo, plano de continuidade de negócios, para ser a estrutura ideal para o plano de continuidade de negócios para empresas de menor porte ou de médio porte, e que cada seção deve incluir:

Finalidade, o escopo e os usuários – por que este plano é desenvolvido, seus objetivos, quais as partes da organização que abrange, e quem deveria lê-lo.

Documentos de referência -
Todos os documentos que este plano se relaciona? Normalmente, estes são a Política de Continuidade de Negócios, Análise de Impactos no Negócio, Estratégia de Continuidade de Negócios, etc.

Pressupostos - os pré-requisitos que devem existir para que este plano seja eficaz.

Papéis e responsabilidades -
que será responsável pela gestão do incidente perturbador, e que está autorizado a realizar determinadas atividades, no caso de um incidente perturbador – por exemplo, ativação dos planos, compras urgentes, a comunicação com a mídia, etc

Contatos importantes - detalhes de contato para pessoas que irão participar na execução do plano de continuidade de negócio – este é geralmente um dos anexos do plano.

Ativação e desativação plano -
em que casos pode o plano ser ativado, eo método de ativação, que condições devem existir para desativar o plano.

Comunicação -
que meios de comunicação será utilizado entre equipes diferentes e com outras partes interessadas durante o incidente perturbador. Quem está encarregado de se comunicar com cada interessado, e as regras especiais de comunicação com a mídia e agências governamentais.

Resposta a incidentes -
como reagir inicialmente a um incidente, a fim de reduzir os danos – esta é muitas vezes um anexo ao plano principal.

Locais físicos e transporte -
que são os sítios primários e alternativos, onde os pontos de montagem, e como ir de primário para locais alternativos.

Ordem de recuperação para atividades -
lista de todas as atividades, com precisos Recovery Time Objective (RTO) para cada um.

Os planos de recuperação para as atividades -
descrição das ações passo-a-passo e as responsabilidades para a recuperação de recursos humanos, instalações, infraestrutura, software, informações e processos, incluindo interdependências e interações com outras atividades e partes interessadas externas – estas são muito frequentemente anexos ao principal plano.

Plano de recuperação de desastres -
isto é, normalmente, um tipo de plano de recuperação que se concentra na recuperação da informação e infra-estrutura de tecnologia de comunicação.

Recursos necessários - uma lista de todos os funcionários, serviços de terceiros, instalações, infraestrutura, informações, equipamentos, etc, que são necessárias para executar a recuperação, e que é responsável por fornecer a cada um deles.

Restaurar e retomar as atividades a partir de medidas temporárias -
como restaurar atividades empresariais de volta ao business-as-usual, uma vez que o incidente perturbador foi resolvido.

O que eu gosto sobre a ISO 22301 é que ela exige que todos os elementos que são necessários para este plano para ser útil no caso de um desastre (ou qualquer outra interrupção das atividades de uma empresa). No entanto, nenhuma norma pode ajudá-lo a menos que você entenda essa tarefa a sério – um plano escrito corretamente e abrangente pode salvar a sua empresa em tempos difíceis, enquanto que um plano superficialmente escrito só vai piorar as coisas.”

Bom, gosto da abordagem do Dejan e o considero um dos mais claros no entendimento. O que recomendo as empresas de pequeno e médio porte é que procurem consultores, de preferencia certificados pelo DRII (www.drii.org) para auxiliá-los na confecção do seu Plano de Continuidade de Negócios.

Entenda que um Plano de Continuidade de Negócios é muito mais do que UM MONTE DE PAPEL BEM IMPRESSO EM UMA PASTA BONITA COM O NOME PCN NA CAPA.

A Continuidade de Negócios começa com o entendimento e comprometimento dos executivos sobre sua importância e abrangência. É uma DECISÃO DE NEGÓCIOS e um diferencial competitivo para as empresas. Esta decisão visa PROTEGER O NEGÓCIO e apoiar sua sobrevivência.

Na ultima semana, especificamente na sexta-feira recebi uma ligação as 6:00 (manhã) informando que um cano havia rompido no prédio onde está meu escritório na Av. Paulista em São Paulo e que um grande vazamento havia ocorrido afetado várias áreas comuns, elevadores desativados e não sabiam se haveria eletricidade para que usássemos o escritório naquele dia.

Bom, situações como estas são comuns e fáceis de acontecer, e felizmente conseguimos por volta das 8:00 ter acesso e nada foi atingido impedindo a realização de aulas da parte educacional ou de atividades normais de escritório pelos demais. Por algumas horas corremos o risco de declaram ativação do PCN e lidar com o cenário de INDISPONIBILIDADE DE LOCAL DE TRABALHO. O incidente foi gerenciado e não se tornou uma CRISE a ponto de ativação do PCN, porém poderia ter ocorrido.

E se a água tivesse afetado infraestrutura criticas de elétrica impedindo ou até mesmo danificando equipamentos principais. Provavelmente teríamos o cenário 1 de INDISPONIBILIDADE DE LOCAL e o cenário 2 INDISPONIBILIDADE DE INFRAESTRUTURA DE TIC, o que seria muito mais SEVERO.

Um Plano de continuidade de negócios faz com que os empresários pessem e repessem o que poderia ser feito em situações extremas que afetem suas operações. E como sair delas com o MENOR IMPACTO POSSÍVEL. ACIONISTAS, CLIENTES e INVESTIDORES agradecem!