Many articles are discussing the security guidelines for BYOD (Bring Your Own Device). The access to technology nowadays allows anyone to upgrade its own technology platform to the best the industry delivers.
The discussions talk about how the IT Departments need to evolve its policies of usage and interface with the company´s devices. It is really a multilayer management.
How can IT manage what can you install on your own device if it is your own device?
The main concern that every CIO has already thought about is the “security thing”. It´s been a long time since technology is not the “hand” anymore automatizing business processes and has become the “brain” of companies around the world.
But how can the CIO controls a brain which is not in the skull but spread in the whole body? That is the real concern about BYOD.
STOP! (you would say)
What about INMP? What does this author mean with this acronym? Is anything related to museums? Any kind of Natural Medicine? Nanoscale Materials?
NO!
INMP, in this article refers to a new behavior some managers are assuming after getting to know BYOD.
O bem mais importante que as empresas possuem, são as informações gerenciais, sendo muito importantes para o funcionamento e tomada de decisões.
Pesquisas recentes revelam que a maioria dos incidentes de segurança são ocasionados no ambiente interno, sendo que atualmente a grande parte dos recursos são investidos no ambiente externo (medidas de proteção, Firewall, IDS e Etc.)
A equipe interna pode ser um grande problema, quando não treinada. É preciso mostrar a importância proteger as informações internas, tanto para a empresa quanto para o profissional. É através de uma PSI – Política de Segurança bem elaborada que podemos minimizar problemas e garantir a confidencialidade das informações.
Mas o que é a Política de Segurança da Informação?
A Política de Segurança da Informação – PSI é um documento que registra as Normas Administrativas e as Diretrizes de segurança adotado pela empresa, aplicadas a todos os sistemas de informação e profissionais.
Para obter o resultado esperado, é necessário que os dirigentes apoiem e participem do processo de implantação. É essencial a aprovação da diretoria para que todos aceitem, respeitem as normas e procedimentos vinculados na política de segurança.
Outro dia eu estava conversando com um amigo que é especialista em segurança e ele me disse que estava em um fórum de tecnologia quando uma pessoa postou sobre dúvidas referentes a algumas configurações em um banco de dados. Até aí tranquilo, é muito normal procurar ajuda em um fórum específico de tecnologia ou segurança.
Se há um processo que tira o sono de muitos CIOs e equipes encarregadas pelo ERP nas mais diversas organizações é o paradigma em torno das atualizações de sistemas ERPs.
Vivemos em um mundo, onde a Informação, independente do seu formato, é uns dos maiores patrimonios.
Frequentemente sou questionado sobre a certificação CISSP, se realmente vale a pena o esforço e qual o processo de estudos que fiz para consegui-la. Por conta disso, resolvi reunir algumas informações relevantes nesse artigo para orientar os candidatos que querem conquistar essa importante certificação profissional.
O que é CISSP?
CISSP – Certified Information Security Systems Professional – é uma certificação na área de Segurança da Informação que reconhece o nível de conhecimento do profissional em um conjunto de melhores práticas que foram condensadas em 10 domínios:
Sistemas de controle de acesso;
Segurança de telecomunicações e redes;
Governança de Segurança da Informação e Gerenciamento de riscos
Desenvolvimento seguro de software;
Criptografia;
Arquitetura de segurança e design;
Segurança de operações;
Plano de continuidade de negócios e recuperação de desastres;
Leis, regulamentos, investigação e conformidade;
Segurança física
O PC muda seu significado de Personal Computer para Personal Cloud e a nuvem passa a ser o centro da nossa vida digital.
Mover as mensagens e arquivos do local atual para sistemas de Cloud Computing é uma grande mudança que pode afetar seus custos e produtividade da sua empresa.
Como acontece com qualquer nova plataforma de tecnologia da informação, esta mudança implica em risco e segurança – particularmente na nuvem – o risco é sempre encarado como maior.
De repente, seus documentos preciosos parecem estar flutuando na web. Embora eles estejam protegidos, já não se encontram sob a proteção do Firewall da empresa.
Então, como um profissional de TI, pode proceder para tornar o ambiente Google Apps mais seguro?
5 sugestões
1. Ativar Verificação em duas etapas
A Negligência do colaborador pode ser inevitável, mas pode definitivamente ser minimizada através da aplicação da Autenticação em duas etapas no domínio.
Este recurso do Google Apps fornece segurança adicional em Logins, pois exige duas credenciais de acesso. Primeiro a senha do Usuário e em seguida o nº PIN exclusivo que é enviado por SMS ou mensagem de voz.
2. Delegar corretamente direitos aos Usuários
Como um administrador de TI, você precisa ter certeza de que você está concedendoo nível correto de acesso aos usuários e membros de um determinado departamento.
Com a Delegação Administrativa, você fornece níveis de acesso para usuários específicos, efetivamente reduzindo o escopo de controle dos membros da equipe e oferecendo apenas o nível de acesso adequado para realizar seu trabalho.
Por exemplo, se uma empresa tem um escritório satélite na China, mas o Call Center de TI está localizado na Inglaterra, frequentemente haverá problemas de fuso horário e a abertura de chamados.
Redefinir uma senha é uma tarefa que só pode ser executada por um Administrador. Com a Administração Delegada, um Super administrador pode nomear um usuário delegado no escritório satélite de forma que este possa redefinir senhas quando necessário.
Um assunto estrategicamente mais importante que a virtualização de desktops, é a virtualização de notebooks.
As ferramentas utilizadas são basicamente as mesmas, mas a importância estratégica para a empresa é muito maior.
De tempos em tempos ouvimos no mercado boatos de executivos de grandes empresas nacionais e multinacionais que acabam perdendo seus notebooks ou sendo furtados em aeroportos.
CEOs, CFOs, COOs, e outros executivos “c-level” de grandes empresas possuem em seus notebooks informações extremamente sensíveis, as quais em caso de vazamento podem até mesmo comprometer o futuro da empresa e desestabilizar todo um segmento de mercado.
O valor dos dados contidos nestes equipamentos é intangível, mas, certamente justifica qualquer projeto de virtualização, visto que qualquer investimento neste sentido tende a ser irrisório se comparado aos riscos que a empresa fica exposta após um incidente que acarreta na perda da posse de um notebook, e conseqüentemente, dos dados contidos no mesmo, principalmente no caso destes dados caírem nas mãos de concorrentes.
Com as ferramentas atuais disponíveis no mercado, é possível se criar máquinas virtuais as quais podem ser acessadas remotamente através de notebooks, netbooks, ou mesmo tablets, além das diversas opções de thin clients móveis disponíveis no mercado.
Com a possibilidade de acesso via redes wi-fi ou 3G/4G, o usuário pode acessar sua máquina virtual e trabalhar normalmente mesmo que esteja em outra cidade ou até mesmo outro país.
O primeiro grande passo oficial para a mudança foi em 8 de Junho de 2011, onde os grandes websites da Internet se juntaram para uma grande mudança tecnologica voltada ao endereçamento, que foi a troca não tão transparente do protocolo IPV4 para IPV6, que deu-se start no evento World Ipv6 Day.
Visto que esse assunto já está em discussão nos principais sites relacionados a TI e inclusive o Google lançou uma explicação bem prática referente ao tema e a mudança (devido a wave II), coloco abaixo as minhas considerações pessoais (voltada à mudanças) do protocolo IPV4 para o ‘novo’ IPV6:
Ah ! Antes de tudo acho válido apenas explicar o que de fato é um protocolo, pois, aos não técnicos ou conhecedores de redes lógicas, protocolo é um padrão que controla e possibilita a conexão entre 2 ou mais equipamentos de rede (seja computador, roteado etc). Os protocolos podem ser instituídos no software ou no hardware.
Agora sim ! segue abaixo minhas considerações sobre o novo protocolo de rede:
Espaço de Endereçamento: Ao invés dos 32 bits do IVP4, o IPV6 vem com 128 bits, ou seja, amplia o espaço de endereços IP para um número astronômico, razoáveis 300 trilhões de endereços contra o pouco mais de 4 bilhões de endereços do IVP4 . Isso resolve o problema que ocorrera em 2011, onde oficialmente terminou-se a quantidade de IP’s públicos disponíveis.
Endereçamento hierarquico: Lembra de suas aulas no CCNA, técnico ou faculdade de cálculo de IP ? No IPV6 de certa forma, não existe classe de endereçamento, o prefixo e sufixo podem estar em qualquer posição do endereço.
