[FUG-BR] RES: Sobre segurança

[Renato Frederick]

Paulo, como todos já devem ter ouvido nas incansáveis(e muitas vezes
monótonas) palestras de segurança, a tao falada "segurança" é um
"processo".. o chavão é batido mas tem sua vez de verdade.

Talvez soluções simples como treinar a equipe de frente de trabalho para não
clicar em qualquer email saia mais barato e eficaz do que o mega appliance
de milhões de reais que verifica L7 o protocolo SMTP com um database online
internacional atualizado a cada segundo, etc...
É papel do time de TI juntamente com camadas mais altas da empresa criar
estes procedimentos(se for possível), mas acima de tudo apagar este conceito
de que "usar XYZ vai aumentar a segurança", ex, vou usar Linux nas estações
pq é mais seguro que XP.. vou usar apache com jail por ser mais seguro que
apache sem jail, vou usar PHP porque é "melhor" que ASP..

Uma atitude por si só e isolada, principalmente estas discussões evangélicas
que citei acima, que ainda são muito freqüentes(infelizmente) nas empresas
não resolvem o problema.

Temos também que entender no que a instituição vai focar como "segurança de
TI", se é roubo de informações, se é política de acesso à Internet, se é
segurança física ou se é tudo isto.

Enfim, é um assunto amplo e muitas vezes difícil de ser levado do início ao
fim(e constantemente reciclado) porque envolve todas as áreas, técnica,
administrativa, gerencial, relacionamento interpessoal, etc...


> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Paulo Henrique (Riddick)
> Enviada em: sexta-feira, 2 de janeiro de 2009 14:58
> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Assunto: Re: [FUG-BR] Sobre segurança
> 
> Welkson Renny de Medeiros escreveu:
> > Passou lá na lista do OpenBSD e achei importante compartilhar já que
> fala
> > bastante dos BSD's.
> >
> >
> http://www.linuxsecurity.com.br:80/sections.php?op=viewarticle&artid=8
> >
> >
> Interessante a discussão, 2008 foi de fato um ano que para muitos
> dificilmente fugirá da memória.
> Mais, retornando ao tópico.
> Segurança da informação, esta me parecendo atualmente mais incopetência
> não de administradores, nem de desenvolvedores, tudo bem que quem faz e
> implementa tais ferramentas são de fato a primeira camada da cebola que
> é a segurança e responsaveis por ela, contudo creio eu que o maiores
> responsaveis pela falta de segurança em uma rede corporativa passa a
> ser
> do setor administrativo do que do setor de CPD, além é claro da falta
> de
> copetência que os funcionários da empresa tem em se adptar a uma
> solução
> mais vantajosa para a empresa como um todo.
> O pessoal do CPD coloca linux no lugar de windows para reduzir custo
> com
> licensça influênciando diretamente no TCO, que até então o pessoal do
> CPD pensa em usar o recurso economizado para a aquisição de um
> aplliance
> mais robusto para BGP ou uma ferramenta, ou mesmo um trenamento sobre
> determinada solução, que beneficiária a empresa como um todo, o
> problema
> é que os usuários comuns só fazem simplesmente criticar e condenar a
> solução, até que o windows torna a voltar para a estação, onde além do
> Sistema, passa a exijir licenças para mais uma gama consideravél de
> software, e quando isso acontece acaba o pessoal da administração da
> empresa criticando e condenando o pessoal do CPD como se de fato a
> culpa
> fosse deles.
> Sinceramente, embora administradores e desenvolvedores de software
> tenha
> lá sim, suas responsabilidades, de nada adianta implementar a solução
> se
> a falta de "EDUCAÇÃO", faz com que no final, todo o trabalho seja
> descartado por que o infeliz de um usuário do sistema não aprovou que
> no
> lugar de usar CRTL+B passou a usar CRTL+S, o que na lógica melhora
> consideravelmente.
> Creio que para solução de segurança, de nada adianta culpar o pessoal
> responsavel pela parte da estrutura sem antes o pessoal que irá usar o
> sistema tenha total conhecimento assim como conscientização sobre o
> processo no qual passarão a fazer parte em busca de um ambiente seguro.
> Sou totalmente contra usar tecnologia para educar marmanjo
> inresponsavél, em que não compreende que no final ambiente de trabalho
> é
> ambiente de trabalha e não seu personal computer que fica no quarto e
> que as unicas páginas que possui no histórico são o orkut.com.br e
> facebook.com
> Descrevi aqui para os presentes colegas de trabalho minha opnião sobre
> o
> assunto, que no qual está diretamente ligado ao nosso cortidiano e
> assim
> não fugindo do escopo da lista.
> 
> Até mais a todos.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd