Image for post
Image for post

Operação Tapa Buraco são consertos que as prefeituras realizam no asfalto após o surgimento de um buraco (cratera às vezes). Basicamente o asfalto velho é removido de toda a área ao redor do buraco, preenchendo-se então o local com asfalto novo e bola pra frente, o defeito por literalmente tapado. Ações deste tipo são comuns em várias cidades do país e ocorrem devido ao desgaste e deterioração que o asfalto sofre, como intempéries e condições climáticas adversas, excesso de tráfego de veículos, má execução do serviço, tecnologia de recapeamento defasada, etc. …


Image for post
Image for post

Após definirmos o conceito de modelo tácito e abordamos o modelo de segurança baseada em sorte, vamos aos últimos dois, segurança baseada na fé e baseada em nota fiscal.

Segurança baseada na Fé - Faith Based Security

Diferentemente do modelo baseado em sorte, aqui ocorrem investimentos de segurança, mas o objetivo destes é a conformidade (também podemos chamar este modelo de compliance based security) com algum requisito mandatório, sejam itens em contrato para fornecimento de produto ou serviço, aderência ao PCI-DSS ou outra demanda do mercado ou regulamentação governamental, sem preocupação com a eficácia de sua segurança.

Tais organizações não testam ou testam de forma muito limitada seus controles, não há garantia alguma se eles funcionam de fato perante uma ação maliciosa, simplesmente existe a “fé” de que tudo vai funcionar ao se deparar contra um agente de ameaça e seus vetores: o antivírus irá detectá-lo, o firewall irá barrar a comunicação e a aplicação irá tratar adequadamente requisições de injeção de código, não há com o que se preocupar! …


Image for post
Image for post

Antes de adentrar no tema, gostaria de deixar bem claro que este artigo não é uma crítica pessoal ou profissional a nenhuma pessoa ou organização, mas sim fruto de reflexão após caminhar 10 anos em SI e ver que os modelos tácitos estão muito mais presentes na realidade do que no discurso de muitas empresas. Os modelos que discutirei a seguir não são excludentes e é bem provável que, em alguma medida, sua empresa esteja utilizando algum destes modelos. …


Image for post
Image for post

Recentemente Bruce Schneier, um dos mais conceituados pesquisadores de segurança da informação, compartilhou alguns guias práticos para quem deseja proteger sua privacidade e seus computadores em “tempos pós Snowden”.

Estes materiais possuem uma compilação de boas práticas de segurança e podem ajudar bastante durante a conscientização de seus familiares, colegas de trabalho e até o board executivo sobre práticas simples que, quando se tornarem hábito, irão colaborar para a segurança da empresa. Confira abaixo os links para cada guia.

The Motherboard Guide to Not Getting Hacked

Tips, Tools and How-tos for Safer Online Communications

Digital Security Low Hanging Fruit

Digital Security & Privacy for Human Rights Defenders

Simple Online Privacy Guide — 18 Steps to Protect Yourself

Consumer Best Practices


Image for post
Image for post

Após reforçar a necessidade de se planejar para o exame do CISSP, adotando boas referências de estudo, criando uma rotina de estudos e sendo disciplinado na execução do plano, é importante avaliar questões que muitas vezes deixamos de lado.

Antes disso é preciso considerar que a prova em inglês sofreu grandes alterações. Porém, se você for realizar a prova em qualquer outro idioma, irá se deparar com o formato antigo do exame, com 250 questões em até 6 horas. Fiz a prova nesse modelo há um ano e a duração do exame dá título a esse post. Conversando com vários candidatos, bem e malsucedidos em passar no exame, há unanimidade em adjetivar a prova como “cansativa”. E de fato não me recordo de ter tido uma dor de cabeça tão forte quanto a dor que tive após sair do exame, depois de quase exaurir as 6 horas. …


Image for post
Image for post

Há algum tempo escrevi sobre como planejar seus estudos para a prova do CISSP. Usei a minha experiência para ajudar aos que aspiram a certificação, título importante em um mercado não regulamentado como o de segurança da informação, isto é, não há um “Conselho Federal de Segurança da Informação” nem um “Exame Nacional”, similar ao da OAB, para tentar filtrar e avaliar quem está apto ou não para a profissão. …


Image for post
Image for post

Na década de 80 Cliff Stoll descobriu um erro contábil de US$ 0,75 nos sistemas de computador que administrava no Laboratório Lawrence Berkeley. Essa pequena descoberta acabaria por levá-lo a uma busca de mais de 1 ano por um grupo de cinco hackers patrocinados pela KGB que conseguiram acessar várias redes governamentais e militares dos EUA. Cliff relata sua história no livro “The Cuckoo’s Egg”, aclamada publicação entre os profissionais de segurança da informação.

É preciso conhecer um pouco de ornitologia para entender a natureza do pássaro cuco e compreender a analogia. Segundo a Wikipedia: O Cuco é uma espécie parasita que, em vez de construir ninho, deposita os seus ovos nos ninhos de outras aves. As aves em cujos ninhos os ovos são colocados recebem o nome de hospedeiros e ficam com a tarefa de cuidar do jovem cuco até este ser independente. Os filhotes do cuco também já apresentam um estratagema de sobrevivência traiçoeiro, pois, ao saírem dos ovos, empurram para fora do ninho os recém nascidos autênticos de uma ninhada, tomando-lhes o lugar. O livro retrata uma complexa empreitada de espionagem russa em organizações norte-americanas, onde uma falha de software permitia que um usuário escalasse privilégios dentro do sistema, “enganando” seu proprietário e permitindo que ações maliciosas fossem executadas em seu ambiente. …


Image for post
Image for post

Vários colegas de profissão já compartilharam suas dicas sobre o CISSP. Sem querer ser redundante, acredito que minha experiência com o exame também pode ajudar a outros a passar no exame. Sendo bem direto, há três passos no planejamento para se tirar o CISSP:

  1. Elabore um método de estudos.
  2. Siga o método e ajuste conforme a necessidade.

1. Conheça bem a prova

Fazendo uma analogia bem simples, sem conhecer bem um “inimigo” como você vai enfrenta-lo adequadamente? Parece conversa de quem vive surfando em Inteligência de Ameaças e de fato tem um fundamento lá também :). …

About

Nichols Jasper

Senior Cybersecurity Analyst at Santander, Founder at Spark Security, Assistant Professor at Faculdade de Tecnologia de São Paulo | CISSP, CEH

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store