Segurança da Informação

O que São Bots e o que é e como é formada uma botnet?
Uma botnet é uma rede de máquinas infectadas por bots. Bots são softwares maliciosos que se espalham de maneira autônoma (tal como um worm), aproveitando vulnerabilidades que podem ser exploradas remotamente, senhas fáceis de adivinhar, ou mesmo usuários mal informados que executam inadvertidamente arquivos recebidos pela Internet. Os bots se conectam por meio de um componente IRC (Internet Relay Chat, uma rede para comunicação online) a um determinado canal de um ou mais servidores IRC. Normalmente, o software usado para gerenciamento destes canais é modificado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Assim está formada uma botnet, que o atacante controla por meio de comandos no canal IRC.

Que riscos as botnets representam para o usuário doméstico? E para as corporações?
Assim como os worms, os bots podem se propagar explorando remotamente vulnerabilidades nos sistemas. Mas de modo diferente dos worms, bots são ferramentas de ataque distribuído, que têm como usos mais comuns: ataques de negação de serviço distribuído (DDoS); envio de spam por meio de um componente do bot; captura de tráfego de rede no segmento comprometido com o bot; captura do que é digitado no teclado do computador comprometido; propagação de novos softwares maliciosos; instalação de adware (software para exibição de publicidade).

Para um usuário doméstico, o risco está na captura de dados sigilosos, como senhas, nomes de usuários, números de cartões de crédito. Outro risco está no tipo de atividade com o qual seu computador colabora sem o seu conhecimento: ataques de phishing scam, envio de spam, parte integrante de um ataque DDoS, e outros.

Para as corporações, as botnets oferecem todos os riscos que oferecem a um usuário doméstico, o diferencial está no valor estratégico das informações contidas nas máquinas comprometidas. Por outro lado, as corporações podem ser alvo de ataques DDoS, com origem em dezenas de milhares de outros computadores, o que pode causar a interrupção dos serviços, insatisfação dos clientes e, não raro, perdas financeiras.

Qual é o tamanho médio, em quantidade de máquinas comprometidas, das botnets observadas?
É difícil estimar, porque os atacantes utilizam versões bem modificadas de servidores IRC (que dificultam a contagem de associações a um canal, por exemplo) e porque os bots são espalhados entre vários servidores, mas as redes variam de centenas a dezenas de milhares de bots. O projeto Honeynet Project & Research Alliance, que pesquisa padrões de ataques a redes, já monitorou botnets com até 50 mil máquinas.

Como um usuário comum pode se defender contra bots e botnets?
Há bots para Linux, mas a maioria esmagadora das botnets é formada por bots projetados para atacar sistemas Windows. Uma vez que bots se propagam por meio da exploração remota de vulnerabilidades, um usuário que mantém seu sistema com as últimas atualizações de segurança e possui (e sabe usar) um firewall pessoal (que evita que dados entrem ou saiam do sistema sem consentimento do usuário) tem pouca probabilidade de integrar uma botnet. Para se manter informado sobre atualizações de segurança em sistemas Windows, pode-se acessar a página de segurança da Microsoft Brasil. Os softwares antivírus também podem oferecer uma barreira à instalação de bots, mas eles só são eficazes contra arquivos recebidos pelos usuários, caso consigam identificá-los como bots. Já os bots com capacidade de se instalar explorando uma vulnerabilidade remota, conseguem muitas vezes burlar e até desligar os antivírus.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/ 

A Busca pelo acesso a Rede Mundial de Computadores
Em um relatório divulgado no segundo semestre de 2007 pela Symantec, uma das maiores companhias americanas de segurança na internet do mundo, o Brasil concentra 39% de todos os computadores infectados por “bots” na América Latina. Neste relatório também vemos que esse crescimento de bots por PC se da pelo desenvolvimento do mercado.

Segundo essa pesquisa nunca se vendeu tantos micros no Brasil como agora. A desoneração fiscal e o câmbio favorável à importação de componentes derrubaram os preços e abriram as portas do consumo à classe C. Só no primeiro semestre foram 4,33 milhões de unidades, incluindo micros de mesa e portáteis, de acordo com a Associação Brasileira da Indústria Elétrica e Eletrônica (Abinee).

A estimativa para o ano é de que as vendas alcançarão 10,1 milhões de máquinas, 23% a mais que em 2006. Esses volumes animam a indústria, mas representam um risco maior à segurança da rede.

Além do aumento da base de computadores, outros movimentos positivos do mercado acabam apresentando efeitos colaterais. É o caso das conexões de banda larga, que proporcionam acesso mais veloz à internet.

Segundo um levantamento recentemente divulgado pela Cisco Systems, a gigante americana de redes, o país encerrou o primeiro semestre com 6,549 milhões de conexões de banda larga. Essa infra-estrutura melhorada facilita tarefas como transferir arquivos, baixar música e trocar imagens, mas também expõem o usuário a mais riscos. E ameaças mostram o relatório da Symantec, não faltam - em quantidade e sofisticação.

A Organização do Crime na Internet
Nos primeiros tempos da internet, os hackers competiam entre si pela “honra” de disseminar o vírus que causasse a maior destruição possível. Quanto mais estardalhaço, melhor. Mas os tempos mudaram. Hoje os hackers são silenciosos porque o objetivo é financeiro: eles querem roubar informações financeiras das vítimas, vemos que acabou a busca pela “fama”, o objetivo, agora, é ganhar dinheiro.

O total aumentou das 74.482 invasões via internet mapeadas no segundo semestre de 2006 para 212.101 entre janeiro e junho de 2007. Os cavalos-de-tróia respondem pela maior parte desses riscos e essa preponderância mostra uma mudança significativa na área de segurança, afirma a pesquisa.

Nem sempre o hacker rouba as informações para o seu próprio uso, já existe um mercado em que as informações são revendidas a outros criminosos.

Isso significa que o crime on-line está se profissionalizando. O trabalho da Symantec mostra que já existe um mercado negro organizado de informações financeiras. Pela tabela internacional, dados de cartão de crédito - os mais procurados - valem de US$ 0,50 a US$ 5; os de conta em banco variam de US$ 30 a US$ 400; e os de endereços da internet saem por US$ 2 a US$ 4 o megabit.

Sob essa abordagem “profissional”, o tipo de ataque também está mudando radicalmente. Em vez de usar um único tipo de arma, como um cavalo-de-tróia ou uma phishing, os criminosos partiram para ameaças combinadas.

Um caso examinado pela Symantec no Brasil mostra até onde vai à nova geração de hackers. Ao clicar em um spam do tipo ‘você está sendo traído’, o usuário tinha seu computador infectado por um downloader - um programa que baixa outros aplicativos da internet.

Mais tarde, o downloader baixava um cavalo-de-tróia para a máquina. “Como a transferência não era imediata, o software de antivírus entendia que o download era legítimo e não detectava o cavalo-de-tróia” depois disso, o cavalo-de-tróia ficava hibernando.

Só “acordava” quando o usuário entrava no site de um entre cinco bancos pré-determinados pelo vírus. Então, o cavalo-de-tróia abria uma página falsa, em que eram pedidos senhas, números de conta etc, a título de atualização dos dados. Posteriormente, as informações eram transferidas para computadores instalados na Rússia e China, entre outros lugares.

O golpe era tão bem planejado, que o programa só pedia os dados no primeiro acesso. “Se a solicitação se repetisse nas outras vezes, o usuário poderia perceber que algo estava errado”.

Competitividade no Sistema de Informação
O mercado como um todo hoje no século XXI exige que as negociações sejam realizadas na mesma velocidade que as transmissões dos dados, mas para que isso possa acontecer de uma maneira que satisfaça todos os interessados é necessário que a busca pela excelência na gestão seja uma atividade constante e em eterno desenvolvimento.

Muitos modelos de Excelência da Gestão existem no mercado, contudo as peculiaridades existem no mercado e dentro destas necessidades únicas se busca um modelo que contemple a sistematização das praticas de gestão e padrões de trabalho na organização visando o atendimento das necessidades das partes interessadas no negocio.

Para obter sucesso, as organizações devem estabelecer um sistema de segurança das informações que permita entender as demandas do negocio e atuar, de forma competitiva, para o alcance dos seus objetivos e metas de curto e longo prazo, trabalhando desta forma também com a liderança. Os sistemas de informação estruturados podem apresentar como a liderança é exercida na organização de modo a promover o pleno exercício de orientação e direcionamento para os negócios. Esclarece como as principais decisões são tomadas, comunicadas e conduzidas em todos os níveis da organização.

Padrões para Gerenciamento a Tecnologia da Informação
Todos nós sabemos que a informação é uma questão de sobrevivência mercadológica, gestão de ativos de TI desempenha papel central na estratégia de serviços de informação. Especialmente no que diz respeito a ativos de software, ela permite que a organização maneje de forma competente os programas que tenha adquirido ou desenvolvido. Além disso, relacionam-se com idéias importantes no contexto de negócios e de tecnologia, tais como a segurança de estrito cumprimento dos requisitos legais quanto à propriedade intelectual; a otimização do número e do tipo de licenças a serem mantidas e do respectivo custo associado; a padronização de software ao longo do universo de computadores; e a gestão de configuração do sistema computacional, entre outras.

Saber se a plataforma de TI está posicionada estrategicamente com a empresa é uma questão que deve estar na cabeça de cada gestor, mas também os custos, que são comprometidos pela área, devem ser examinados minuciosamente.

Medir esses dados é difícil, pois, de certa forma, a TI é intangível e o conhecimento da atividade, muitas vezes, é restrito. É comum ouvir falar que os investimentos feitos pela empresa X em tecnologia de ponta foram em bilhões de reais, mas é indispensável saber se o valor aplicado supriu as necessidades; se o montante sofrerá modificações posteriores pela falta de conhecimento prévio do negócio ou se apresenta soluções harmônicas com o alinhamento estratégico da empresa e com os seus planos para os próximos 10 ou 20 anos. Essas soluções extremas e rápidas para gestão da área são anunciadas todos os dias, mas buscar meios mais eficientes e de custo acessível, que demonstrem qualidade, são pontos que devem ser considerados, pois nem sempre o serviço com custo mais alto é o ideal para ser utilizado.

ISO IEC 27000 e ISO IEC 20000
Cresce no mercado a percepção de que segurança da informação é um investimento e não uma despesa. No mundo corporativo, a área financeira, onde as empresas centralizam volumes gigantescos de informações estratégicas, se tornou de fundamental importância para a proteção do negócio.

A adoção e o uso da TI trazem diversas vantagens. Uma delas é a otimização dos processos internos, o que proporciona o avanço dos negócios e aumenta a competitividade. Neste sentido, os recursos disponibilizados pela TI devem ser explorados de acordo com o planejamento estratégico e alinhados à proposta da empresa, pois, do contrário, se utilizados apenas de forma emergencial, só geram custos desnecessários.

Hoje obter a certificação ISO 27001 é o caminho para mostrar ao mercado que a sua empresa é absolutamente segura no tráfego de informações. Esse selo garante que sua empresa tem um modelo de gestão de segurança da informação dentro dos parâmetros aceitos internacionalmente para um bom ambiente de negócios. Ter o certificado ISO 27001 dá um diferencial competitivo para a comunicação e relacionamento com seus públicos, mostrando que a sua empresa garante a segurança das suas práticas internas e das informações dos seus parceiros e clientes. A evolução das normas de certificação permitiu que o modelo britânico BS 7799 fosse incorporado pela ISO. Com respaldo de uma instituição internacional que gerencia o estabelecimento de padrões mundiais de certificação em diversas áreas, a empresa que conquistar a ISO 27001 terá a validação mais importante do mundo corporativo para suas práticas de segurança da informação.

Na verdade, a norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC, o ISO/IEC JTC 1, subcomitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005.

A ISO IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos estrutura o SGSI (sistema de gestão de segurança da informação), em que são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:

5.Política de Segurança da Informação;
6. Organizando a Segurança da Informação;
7. Gestão de Ativos;
8. Segurança em Recursos Humanos;
9. Segurança Física e do Ambiente;
10. Gerenciamento das Operações e Comunicações;
11. Controle de Acessos;
12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
13. Gestão de Incidentes de Segurança da Informação;
14. Gestão da Continuidade do Negócio;
15. Conformidade.

A segurança da informação refere-se à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplicam-se tanto as informações corporativas quanto as pessoais. Entende-se por informação todo e qualquer conteúdo ou dado que tenha valor para alguma organização ou pessoa. Ela pode estar guardada para uso restrito ou exposta ao público para consulta ou aquisição. Podem ser estabelecidas métricas (com o uso ou não de ferramentas) para a definição do nível de segurança existente e, com isto, serem estabelecidas as bases para análise da melhoria ou piora da situação de segurança existente.

A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tem o objetivo de furtar, destruir ou modificar a informação.
A tríade CIA - Confidencialidade, Integridade e Disponibilidade - Outras propriedades estão sendo apresentadas (legitimidade e autenticidade) na medida em que o uso de transações comerciais em todo o mundo, através de redes eletrônicas (públicas ou privadas) se desenvolve. Os conceitos básicos podem ser explicados:
• Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

O nível de segurança desejado, pode se consubstanciar em uma política de segurança que é seguida pela organização ou pessoa, para garantir que uma vez estabelecidos os princípios, aquele nível desejado seja perseguido e mantido. Para a montagem desta política, tem que se ter em conta: riscos associados à falta de segurança; benefícios; e custos de implementação dos mecanismos.

ISO IEC 20000 - especificações e boas práticas para o gerenciamento de serviços de TI Baseada na antiga BS 15000, a norma apresenta um conjunto de requisitos certificáveis para a gestão de serviços de TI, e uma de suas principais características é a de estar alinhada às recomendações previstas pelo IT Infrastructure Library - ITIL (Biblioteca de Infra-estrutura de TI). A norma foi publicada em duas partes: ISO IEC 20000-1:2005 - especificações, e ISO IEC 20000-2:2005, que aborda o código de boas práticas para a gestão de serviços de TI.

Auto-avaliação para gestão de software
A ISO tem uma ferramenta de definição para 27 processos da gerência de recurso do software, foi publicado pelo ISO em maio de 2006. Com a uma idéia de facilitar a auto-avaliação em CD, para ajudar organizações a assegurar um ambiente de TI de fácil funcionamento durante a implementação da norma ISO IEC 19770-1: 2006 na gestão de softwares.

Esse sistema permitira que os prestadores de serviço melhorassem a qualidade do serviço prestado aos clientes ele contempla uma interface mais agradável, documentação para auto-avaliação de fácil manuseio, preparação mais rápida para certificação facilitando a analise de gaps e registro do progresso e o fornecimento do status da organização com relação aos requisitos da certificação.

A primeira parte do padrão, já divulgada, ataca os processos de gestão dos ativos de software, divididos em seis grandes áreas:
• Ambiente de controle: cobre os processos, procedimentos, políticas, papéis e responsabilidades, declarações de requisitos e comunicações, assim como a avaliação corrente dos processos de software asset management (SAM)
• Planejamento e implementação: mapeia as atividades previstas, os recursos necessários, as estrutura de relatórios, medidas e verificações e um processo de melhoria contínua.
• Inventário: define a seleção de escopo, a confirmação dos ativos incluídos e a monitoração auditável de sua existência, acesso, utilização e armazenamento.
• Verificação e conformidade: cobre os processos de identificação e registro de ativos de software e a validação do inventário contra as licenças existentes, além de outros processos relacionados.
• Gestão de operações: Cobre a política de segurança e evidências documentais de implementação, a gestão de relacionamento com fornecedores e os respectivos contratos, incluindo as relações com clientes e usuários e a manutenção de acordos de nível de serviço (SLAs) para a gestão e manutenção de documentos contratuais e orçamentos.
• Ciclo de vida: cobre o ciclo de vida dos ativos de software, desde a perspectiva de gerência de mudança, passando pela sua seleção, aquisição e/ou desenvolvimento, gerência de incidentes e problemas, até sua cessação de uso, transferência, destruição, etc.

A segunda parte do standard, ainda não publicada, vai definir critérios para a identificação de produtos, com o objetivo de facilitar o processo de inventário.

Conclusão
O processo de certificação ISO 20000 é semelhante ao de outras normas bastante conhecidas, como a ISO 9001:2000. Após a implementação do Sistema de Gestão (que envolve o apoio da alta administração ao longo de todo o processo, a documentação do sistema incluindo o fluxograma de processos, o treinamento dos funcionários, entre outros requisitos), a empresa realizará uma pré-auditoria seguida da auditoria de certificação. As manutenções serão feitas anualmente e após três anos será feita a auditoria de recertificação.

Com a aplicação da norma, o setor de tecnologia da informação, que está sempre em busca de inovações, melhores resultados na prestação de seus serviços e preocupado em garantir a satisfação de todos os seus clientes, passará a ter maior controle de seus processos e os tornará cada vez mais eficazes e alinhados, de acordo com os novos requisitos, garantindo assim o sucesso de suas negociações, em um mercado cada vez mais competitivo e globalizado.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Conceitos básicos de Governança de TI e a sua importancia para os negócios

DEFINIÇÃO BÁSICA
Governança, ato de governar-se, segundo os dicionários, é a palavra da moda. Governança de TI (Tecnologia da Informação) é uma derivação de Governança Corporativa, termo que tem hoje grandes aplicações no mundo dos empresarial. O conceito de governança corporativa surgiu nos Estados Unidos e na Inglaterra no final dos anos 90 e está relacionado à forma como as empresas são dirigidas e controladas. É a designação dos direitos de decisão em domínio de resoluções relevantes. Isso significa que as empresas precisam saber quem toma as decisões e quais os processos pelas quais essas decisões são tomadas. Não vale para qualquer atitude adotada numa companhia, deliberações sem grande relevância. Vale para decisões importantes, de grande valor para as organizações.

Governança de TI são estruturas de relacionamentos e processos para dirigir e controlar a organização no alcance de seus objetivos. Agregar valor a esses objetivos. Ao mesmo tempo, equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que buscam garantir que a Tecnologia da Informação suporte e leve os objetivos e estratégias da organização a assumirem o seu valor máximo. Permitem controlar a execução e a qualidade dos serviços. Viabilizam o acompanhamento de contratos internos e externos. Definem, enfim, as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade.

NEGÓCIOS EM TRANSFORMAÇÃO
A Governança de TI ganha força no atual cenário de competitividade do mundo dos negócios. Um mundo onde é cada vez maior a necessidade de adoção pelas áreas de TI de mecanismos que permitam estabelecer objetivos, avaliar resultados, examinar, de forma detalhada e concreta se as metas foram alcançadas. A experiência mostra que os antigos manuais de procedimentos utilizados pelas organizações já não atendem mais aos requisitos das empresas. No passado, era uma simples questão de gestão e organização. Arrumava-se a organização, indicavam-se as funções e as questões eram resolvidas por gestão.

Hoje, não é mais possível resolver as coisas dessa maneira. O turbulento ambiente empresarial, que se apóia na tecnologia, vive em constante mutação e exige formas mais ágeis e flexíveis de gerenciamento. Os negócios estão em transformação. A Tecnologia da Informação, igualmente, está em processo de mudança. Por isso, ao invés de se prescrever as decisões em manuais como se fazia no passado é necessário designar poderes de decisão da melhor maneira possível. Internamente, a governança visa designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio.

Dentro dessa ótica, governança de TI nada mais é do que uma estrutura bem definida de relações e processos que controla e dirige uma organização no atual cenário de forças econômicas em extrema competição. O foco é permitir que as perspectivas de negócios, de infra-estrutura de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação à sua estratégia.

MOTIVAÇÕES INTERNAS: MAXIMIZAÇÃO DOS INVESTIMENOS
A adoção acelerada de processos de gestão de infra-estrutura nas empresas, dentro do conceito de Governança de TI, tem como principal motivação, internamente, a cobrança crescente sobre as responsáveis pelas operações de tecnologia da informação quanto à maximização do uso dos investimentos já realizados. O apelo faz sentido. Nos últimos anos, os investimentos em TI cresceram de maneira dramática. Em 2003, os gastos mundiais com infra-estrutura de TI atingiram US$ 1 trilhão. Nos Estados Unidos e Europa, segundo o instituto de pesquisas Gartner Group, as empresas investem, em média, cerca de 4% de sua receita em TI. No Brasil, a média de investimento foi de 4,9% do faturamento líquido das empresas, contra 1,23% registrado em 1988, informa um levantamento efetuado pela Fundação Getúlio Vargas. Por trás de tamanha dedicação na aplicação dos recursos financeiros em TI está a preocupação das empresas em melhorarem seus processos operacionais, reduzirem custos, aumentarem a eficiência de seus funcionários, aperfeiçoarem a relação com fornecedores, parceiros e clientes. Em artigo publicado na Revista Technology@Intel, em abril deste ano, sob o título “Standardized IT Infrastructure for Higher Business Value”, Robert Shiveley, gerente de soluções de negócios empresariais da Solutions Market Development Group Intel Corporation, informa que avaliações publicadas recentemente nos principais jornais de gerenciamento de liderança contestam a sabedoria convencional de que investimentos na infra-estrutura de TI invariavelmente melhoram o valor dos negócios. Baseados em parte em bem documentados acréscimos nas despesas de operação na infra-estrutura de TI, alguns observadores tem sugerido até mesmo que o caminho mais seguro para muitas companhias pode ser simplesmente evitar fazer qualquer tipo de investimento em TI. Independentemente de se concordar ou não com essas conclusões, é fato que com a contínua evolução da infra-estrutura empresaria de TI, incluindo a tarefa de gerenciar soluções heterogêneas de diferentes fornecedores, organizações de TI têm hoje mais dificuldade do que nunca de manter os custos operacionais sob controle. Elevada complexidade de gerenciamento é uma das principais razões pelas quais organizações de TI têm sido forçadas a aumentar dramaticamente seus orçamentos e equipes, dedicando até entre 70% a 80% de seus recursos disponíveis para manter sistemas e aplicações existentes. Como mostra o quadro abaixo, mesmo uma redução modesta nos custos operacionais pode liberar recursos significativos para novos serviços e capacidades.

No final de contas, trata-se de ocupar mais espaço no mercado, com mais lucratividade. Mas apesar desse esforço, um fato é inegável: poucas são as empresas que conseguem saber, efetivamente, qual o retorno que esses investimentos têm trazido. A maioria das empresas está ainda carente de mecanismos que possam gerenciar e controlar a utilização de TI de maneira a criar valor e trazer retornos consistentes à organização. A estratégia de implantação dos princípios de governança de TI buscar superar essa carência e criar formas de controlar e quantificar os resultados das otimizações. Estudo realizado pelo MIT (Massachusetts Institute of Technology) com 250 empresas em 23 países revelou que as empresas com governança de TI melhor do que a média conseguem um retorno pelo menos 20% maior sobre seus bens do que as organizações com uma governança mais fraca. Ou seja, as empresas mais lucrativas são as que implementaram, de alguma forma, as modernas práticas de governança de TI.

MOTIVAÇÕES EXTERNAS: EXIGÊNCIAS LEGAIS – A LEI SARBANES-OXLEY
A Governança de TI surgiu num quadro de preocupações crescentes com a governança corporativa, decorrente de escândalos administrativos em empresas de grande expressão. Em 2 de dezembro de 2001, a gigante norte-americana do setor energético Enron, com faturamento superior a US$ 100 bilhões, entrou em falência. Deu início a uma série de escândalos corporativos (Tyco, Global Crossing, Qwest, Merck, Halliburton, Lucent, Vivendi, Xerox e Parmalat entre outras) que colocou na ordem do dia questões como ética nos negócios, transparência, governança corporativa, conflitos de interesse entre acionistas e gestores das corporações, conflitos de interesse entre acionistas minoritários e os controladores, conflitos de interesse entre as corporações e a sociedade. Por fim, colocou em xeque os sistemas de gestão até então vigentes.

A governança surgiu nesse cenário visando garantir o componente ético da organização, representado por seus diretores e outros funcionários, na criação e proteção dos benefícios para todos os acionistas. Como alcançar isso de forma clara. O mercado reagiu à onda de escândalos com várias iniciativas, próprias ou derivadas de leis que obrigam a uma maior transparência da gestão. O Acordo de Basiléia II, em 2001, voltado para aspectos financeiras e de transparência das empresas, e a Sarbanes-Oxley Act, de 2002, com leis voltadas para definição de critérios de governança, criaram regras que se espalharam pelas organizações e chegaram até as áreas de TI. Sarbanes-Oxley tem artigos diretamente voltados para a área de TI, que faz parte da governança corporativa.

Considerada por muitos como uma espécie de caixa preta, a área de TI tem suas ações pouco conhecidas dentro das organizações. Na maioria das empresas, não existe alinhamento das estratégias de TI com as estratégias de negócios. É um setor com enorme quantidade de recursos, linguagem própria, de difícil entendimento pela organização. Só um novo sistema de gestão pode trazer esse conhecimento mais amplo dos objetivos de TI. Apenas com novas práticas de governança será possível fazer a adequação de TI com a estratégia de negócios das organizações. No Brasil, esse é um movimento que começou com as filiais das empresas estrangeiras, mas tende a se ampliar para as empresas nacionais de maior porte.

Saiba mais……….

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Caros leitores, como novidade, estou disponibilizando Cursos de:

- Anti-Hacker
- Cobit
- ISO 17799
- ISO 27001
- ITIL
- Projetos de Redes
- Projetos de Segurança

Entre em contato para saber mais

Observação
- Apostilas Exclusivas
- Aprovação mediante avaliação
- Cada curso tem a duração de um mês, totalmente on-line
- Oferecemos Certificado
- Tratamento Individual (V.I.P.)

NÃO VÁ PERDER ESTA OPORTUNIDADE !!!!!

Entre em contato para saber mais

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

Para compreender o quão complexo é complexo nosso mundo de Segurança da Informação, é importante compreender um elemento importante, este elemeto é o Sistema Operacional.

O sistema operacional é uma coleção de programas que
* inicializa o hardware do computador
* fornece rotinas básicas para controle de dispositivos
* fornece gerência, escalonamento e interação de tarefas
* mantém a integridade de sistema

Há muitos tipos de Sistemas Operacionais, cuja complexidade varia e depende de que tipo de funções é provido, e para que computador esteja sendo usado. Alguns sistemas são responsáveis pela gerência de muitos usuários, outros controlam dispositivos de hardware como bombas de petróleo.

Um Sistema Operacional muito simples para um sistema de controle de segurança poderia ser armazenado numa memória ROM (Só de Leitura - um chip que mantém instruções para um computador), e assumir o controle ao ser ligado o computador. Sua primeira tarefa seria reajustar (e provavelmente testar) os sensores de hardware e alarmes, e então ativar uma rotina monitorando ininterruptamente todos os sensores introduzidos. Se o estado de qualquer sensor de entrada for mudado, é ativada uma rotina de geração de alarme.

Em um grande computador multiusuário, com muitos terminais, o Sistema Operacional é muito mais complexo. Tem que administrar e executar todos os pedidos de usuários e assegurar que eles não interferiram entre si. Tem que compartilhar todos os dispositivos que são seriais por natureza (dispositivos que só podem ser usados por um usuário de cada vez, como impressoras e discos) entre todos os usuários que pedem esse tipo de serviço. O SO poderia ser armazenado em disco, e partes dele serem carregadas na memória do computador (RAM) quando necessário.

Utilitários são fornecidos para
* Administração de Arquivos e Documentos criados por usuários
* Desenvolvimento de Programas
* Comunicação entre usuários e com outros computadores
* Gerenciamento de pedidos de usuários para programas, espaço de armazenamento e prioridade

Adicionalmente, o SO precisaria apresentar a cada usuário uma interface que aceita, interpreta, e então executa comandos ou programas do usuário. Essa interface é comumente chamada de SHELL (=cápsula, manteremos o nome original em inglês) ou interpretador de linha de comando (CLI). Em alguns sistemas ela poderia ser uma simples linha de texto que usam palavras chaves (como MSDOS ou UNIX); em outros sistemas poderiam ser gráficas, usando janelas e um dispositivo apontador como um mouse (como Windows95 ou X - Windows).

As Várias Partes de um Sistema Operacional
Um sistema operacional de um computador que é usado por muitas pessoas ao mesmo tempo, é um sistema complexo. Contém milhões de linhas de instruções escritas por programadores. Para tornar os sistemas operacionais mais fáceis de serem escritos, eles são construídos como uma série de módulos, cada módulo sendo responsável por uma função.

Os módulos típicos em um grande SO multiusuário geralmente são
* Núcleo (Kernel em inglês - também conhecido como “executivo”)
* Gerenciador de processo
* Escalonador (Scheduler, em inglês)
* Gerenciador de arquivo

O Núcleo - Um Executivo em Tempo-Real
O núcleo de um sistema operacional é algumas vezes chamado de EXECUTIVO em tempo real.

Algumas das funções executadas por ele são
* chaveamento entre programas
* controle e programação de dispositivo de hardware
* gerenciamento de memória
* gerenciamento de processos
* escalonamento de tarefas
* comunicação entre processos
* processamento de exceções e de interrupção

Nosso sistema simples de monitoração de segurança não teria todas as funções acima, já que provavelmente seria um sistema mono-tarefa, executando apenas um programa. Como tal, não precisaria processar permutas entre mais de um programa ou permitir comunicação entre programas (comunicação entre processos). A gerência da memória seria desnecessária, já que o programa residiria permanentemente em ROM ou em EPROM (uma forma programável especial de ROM).

Um sistema operacional projetado para manusear um grande número de usuários precisaria de um núcleo para executar todas as funções acima. Programas de usuários geralmente são armazenados em disco, assim precisa ser carregado em memória antes de ser executado. Isso apresenta a necessidade de gerência da memória, já que a memória do computador precisaria ser pesquisada para localizar uma área livre para carregar um programa de usuário na mesma. Quando o usuário tivesse encerrada a execução do programa, a memória consumida por ele precisaria ser liberada e se tornaria disponível para outro usuário quando solicitado.

Gerenciamento e Escalonamento (Scheduling) de processos também são necessários, de forma que todos os programas possam ser executados razoavelmente. Não há como um programa de um usuário específico ser executado numa área de extensão, negando o funcionamento de qualquer outro programa, e fazendo todos os outros usuários esperarem. Adicionalmente, alguns programas poderiam precisar ser executados mais freqüentemente que outros, por exemplo, checando comunicações de rede ou imprimindo. Alguns programas podem precisar ser suspensos temporariamente, e serem reiniciados depois, assim introduzindo a necessidade da comunicação inter-programas.

Programando um computador
Um programa é uma seqüência de instruções ao computador. Quando o programador de software (uma pessoa que escreve programas para serem executados em um computador) desenvolve um programa, este é convertido em uma longa lista de instruções que são executadas pelo sistema de computador.

Em sistemas operacionais nós falamos mais de um processo do que de um programa. Nos sistemas operacionais modernos, só uma porção de um programa é carregada em cada instante. O resto do programa espera numa unidade de disco até que se precise do mesmo. Isso economiza espaço de memória.

Os programas no computador são executados por processadores. Um processador é um chip no computador que executa instruções de programa. Processadores executam milhões de instruções por segundo.

Um Processo
Um processo ou tarefa é uma porção de um programa em alguma fase de execução. Um programa pode consistir de várias tarefas, cada uma com funcionamento próprio ou como uma unidade (talvez se comunicando entre si periodicamente).

A Thread (fileira, linha)
Uma thread é uma parte separada de um processo. Um processo pode consistir de várias threads cada uma das quais sendo executada separadamente. Por exemplo, uma thread poderia tratar refresh e gráficos na tela, outra thread trataria impressão, outra thread trataria o mouse e o teclado. Isso dá bom tempo de resposta em programas complexos. Windows NT é um exemplo de um sistema operacional que suporta multi-thread.

Sistemas operacionais de Multi-processo
Alguns sistemas executam só um único processo, outros sistemas executam múltiplos processos de cada vez. A maioria dos computadores é baseada num único processador, e um processador pode executar só uma instrução de cada vez. Assim, como é possível um único processador executar processos múltiplos? A resposta mais imediata é que ele não faz desse modo. O processador do computador executa um processo por um período pequeno de tempo, e então muda para o próximo processo e assim por diante. Como o processador executa milhões de instruções por segundo, isso dá a impressão de muitos processos serem executados ao mesmo tempo.

Em um sistema de computador que suporta mais de um processo de cada vez, algum mecanismo deve ser usado para intercalar de uma tarefa para outra. Há dois métodos principais usados para fazer essa troca:

* Escalonamento por Cooperação indica que uma tarefa que está sendo executada atualmente deixará voluntariamente em algum momento o processador e permitirá que outros processos sejam executados.

* Escalonamento Preemptivo significa que uma tarefa corrente será interrompida (forçou a se render) e o processador se dedica a outro processo em estado de espera.

O problema da mudança por cooperação é que um processo poderia demorar e assim negar a execução de outros processos e poderia resultar em nenhum trabalho ser feito. Um exemplo de um sistema de cooperação é o Windows 3.1 (Deus me livre!!!!!!!!!).

O escalonamento preemptivo é melhor. Dá mais respostas a todos os processos e ajuda a prevenir (ou reduz o número de ocorrências de) contra o medo de máquinas travadas. Windows NT e posteriormente Windows 2000/2003 é um exemplo de tal sistema operacional.

Nota: Só para programas de 32bits em Windows 95/98 há escalonamento preemptivo. Programas de 16bits ainda são escalonados cooperativamente, o que significa que ainda é fácil para um programa de 16bits travar um computador Windows.

Contexto de Troca
Quando o processador muda de um processo a outro, o seu estado (o processador registra e associa os dados) deve ser salvo, pois algum tempo depois, será reiniciado o processo e continuará como se nunca fora interrompido. Uma vez esse estado tenha sido salvo, o próximo processo em espera é ativado. Isso envolve carga nos registradores do processador e na memória, com todos os dados previamente salvos, e reiniciando na instrução que seria executada quando houve a última interrupção.

O ato de mudar de um processo a outro é chamado troca de contexto. Um período de tempo que um processo execute antes de ser trocado é chamado de time slice ou período de quantum.

Escalonamento (Scheduling)
A decisão de qual o próximo processo deve ser executado é chamado escalonamento (scheduling), e pode ser feito em uma grande variedade de maneiras.

Escalonadores por cooperação geralmente são muito simples, já que os processos são organizados em fila circular (ROUND ROBIN). Quando um processo corrente se deixa, vai para o fim da fila. O processo no topo da fila é então executado, e todos os processos se movimentam um lugar para cima na fila. Isso provê uma medida justa, mas não impede que um processo monopolize o sistema (não se deixando).

Escalonadores preemptivos usam um relógio em tempo real que gera interrupção a intervalos regulares (digamos, a cada 1/100 de um segundo). Cada vez que uma interrupção ocorre, o processador muda para outra tarefa. Sistemas que geralmente empregam esse tipo de escalonamento atribuem prioridades a cada processo, de forma que alguns podem ser executados mais freqüentemente que outros.

Carga do Sistema Operacional
O SO pode ser carregado na memória de um computador de duas maneiras.

* já está presente em ROM
* é carregado a partir do disco quando o computador é ligado.

Se o SO já está presente em ROM (para sistemas tipo controladores industriais, bombas de petróleo, etc), ele ganhará controle imediato do processador ao ser ligado o computador. Para sistemas mais complexos, o SO é armazenado normalmente em mídia secundária (como disco), e é carregado em RAM quando o computador é ligado. A vantagem desse tipo de sistema é que o escalonamento para o SO é mais fácil de fazer e programar.

O PROCESSO de BOOTSTRAP
Descreve a ação da carga inicial do sistema operacional do disco para a RAM. Uma pequena rotina armazenada em ROM, chamada de CARREGADOR de BOOTSTRAP ou IPL (Carregador de Programa Inicial), lê uma rotina especial de carga no disquete. Em sistema baseado em disquete, essa rotina normalmente reside na trilha 00, setor 00 (ou 01), e é chamado de setor de booting. O código contido no setor é transferido para a RAM, e então é executada. Tem a responsabilidade exclusiva de carregar o resto do sistema operacional na memória.

Tipos diferentes de processamentos em sistemas operacionais
Sistemas operacionais são divididos em categorias que definem as suas características. Sistemas modernos podem usar combinações de essas categorias descritas a seguir.

BATCH (em LOTE)
O tipo mais antigo de SO permite só um programa ser executado de cada vez. O programa que é carregado no computador é executado completamente. Os dados usados pelo programa não podem ser modificados enquanto o programa está sendo executado. Qualquer erro no programa ou nos dados significa começar tudo novamente.

INTERATIVO
Esses permitem a modificação e entrada de dados ainda durante a execução do programa. Sistemas típicos são reservas de vôo aéreo e linguagens como BASIC.

TIME-SHARING/MULTI-USUÁRIO
Esses SOs compartilham o computador entre mais de um usuário, e adota técnicas de escalonamento preemptivo.

MULTI-TAREFAS
Mais de um processo pode ser executado concorrentemente. O processador é escalonado rapidamente entre os processos. Um usuário pode ter mais de um processo executado de cada vez.

TEMPO REAL
Principalmente usado em controle de processos, telecomunicações, etc. O SO monitora várias entradas que afetam a execução de processos, mudando os modelos de computadores do ambiente, e assim afetando as saídas, dentro de um período de tempo garantido (normalmente < 1 segundo).

MULTI-PROCESSAMENTO
Um computador que tem mais de um processador central dedicados na execução de processos.

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/