Patrocínio Natura
Empresas ainda têm dificuldades com senhas de funcionários
Editorial , Segurança , Tecnologia / 3 de dezembro de 2010

É enorme o alvoroço dos funcionários quando recebem a política ou norma de segurança da informação, que diz, por exemplo, que todos devem alterar suas senhas a cada 45 dias. Nesse momento, os funcionários não pensam duas vezes antes de guerrearem contra os gestores. Em outras palavras, a resistência a mudanças é tão grande que os colaboradores travam um verdadeiro duelo contra a política de segurança da informação. É lógico que as empresas não falam sobre isso na campanha de conscientização ou na divulgação da política e norma de segurança da informação, mas a companhia cria a regra sobre alteração de senha para atender aos requisitos de uma auditoria externa. São raríssimos os casos em que a organização define este tipo regra para melhorar a segurança. Mas esse não é o único problema. Hoje temos a senha do internet banking, e-mail pessoal, corporativo, da rede, da intranet, da rede social, do programa de mensagens instantâneas, cartão do banco, blog etc. Para ajudar ainda mais, a organização solicita que você crie uma nova senha complexa. Ou seja, deve contar letras maiúsculas e minúsculas, números e caracteres especiais.

Aprenda as diferenças entre vírus, trojans, spywares e outros
Segurança / 30 de novembro de 2010

Quem usa um computador — ainda mais com acesso à internet — ouve diariamente as palavras vírus, trojan, spyware, adware e, de vez em quando, a palavra malware. É comum pensarmos que, de uma maneira geral, todos são vírus e perigosos para o computador. Em parte, esta afirmação é verdadeira: de fato, todos eles podem nos prejudicar de alguma maneira. No entanto, eles não são todos vírus nem iguais. Eles são todos malwares, isso sim. Malware Malware é a combinação das palavras inglesas malicious e software, ou seja, programas maliciosos. São programas e comandos feitos para diferentes propósitos: apenas infiltrar um computador ou sistema, causar danos e apagar dados, roubar informações, divulgar serviços, etc. Obviamente que quase 100% desses malwares entram em ação sem que o usuário do computador perceba. Em suma, malware é a palavra que engloba programas perigosos, invasivos e mal intencionados que podem atingir um computador. O primeiro erro dos usuários é este: desconhecendo o termo malware, categorizar tudo como vírus.

A empresa bloqueou as redes sociais, e gerou uma rebelião entre os funcionários
Editorial , Segurança / 22 de outubro de 2010

Poucas horas após a implantação de um novo mecanismo de segurança da informação, funcionários buscam desesperadamente idéias para driblar o novo controle interno, desvalorizando as políticas e normas que devem ser seguida por todos. Funcionária burlou proibição e atualizou Orkut com ajuda de amiga, que recebeu pelo e-mail corporativo login e senha do site Essa é a realidade na maioria das empresas. Mas vamos entender melhor os fatores que motivam essa guerra interna. “Bloquearam o meu acesso às redes sociais” Diante de novas ameaças na internet e a baixa produtividade de alguns colaboradores, a diretoria de uma organização começou a agir. A ordem foi para bloquear todo e qualquer acesso as redes sociais. O caso aconteceu no ano passado. O diretor de segurança da informação deixou claro para a equipe de consultores, da qual eu fazia parte, que não pretendia abrir exceções e que era necessário o monitoramento constante para identificarmos quais eram os colaboradores que tentariam burlar a nova regra.

Pornografia no PC da empresa: punição?
Editorial , Segurança / 29 de maio de 2010

Há seis anos participo de diversos comitês de segurança da informação. O meu objetivo é ajudar a estrutura organizacional de segurança da informação, envolvendo áreas de apoio, a funcionar em toda a organização. Sendo assim, posso dizer que já vivenciei e ouvi um pouco de tudo. Vamos conhecer um dos assuntos mais discutidos por esses comitês de segurança da informação. Pornografia e o processo disciplinar Antes de falarmos sobre pornografia, vamos entender melhor o que é o processo disciplinar. Essa é fácil de explicar! A área de Recursos Humanos, em conjunto com a Jurídica, cria uma norma interna sobre como relacionar as infrações cometidas pelos colaboradores (funcionário, terceiros, estagiários etc), estabelecendo os critérios para aplicação de medida disciplinar. Entendeu? Ainda não? Vamos traduzir para o “português”. Caso o colaborador, usando um computador ou qualquer recurso da empresa, acesse uma página contendo pornografia, a organização irá aplicar uma punição administrativa. Neste exato momento, tenho certeza de que você está com um sorrisinho no rosto pensando o seguinte “A empresa terá que punir todo mundo então”. Em alguns casos isso realmente é verdade, inclusive o presidente da empresa.

O que deve ser analisado ao se montar um departamento de segurança da informação.
Segurança / 17 de abril de 2010

Os conhecimentos em segurança da informação estão contidos em diferentes modelos atualmente existentes: dentre eles temos os modelos da NBR ISO/IEC série 27000 (segurança da informação). Os conhecimentos relacionados ao Sistema de Gestão de Segurança da Informação (ISO 27001) e ao Código de prática para a Gestão da Segurança da Informação (ISO 27002) devem estar difundidos em toda organização. Porém, no momento de estruturar um departamento de segurança da informação, as empresas encontram um cenário preocupante. Primeiro ponto: o analista de segurança da informação deve ter um elevado conhecimento técnico. Não estou me referindo às certificações, estou falando de conhecimento prático e experiência no assunto. Segundo: algumas empresas insistem em promover alguém interno ao cargo de Gerente de Segurança da Informação. O profissional promovido, na realidade, possui um perfil muito diferente do necessário para assumir a responsabilidade. Como exemplo, vou descrever o perfil relacionado a um caso real envolvendo um colega meu que foi promovido ao cargo de Gerente de Segurança da Informação: