A quase dois meses e meio o FBI e algumas outras Agências Internacionais vem alertando sobre a possibilidade de desligar servidores (ISPs) de Internet infectados para conter o malware DNSChanger. O aviso coloca a data como sendo 8 de março, prazo limite para que empresas e usuários doméstico tenham removido de seus computadores este malware. No entanto, ao que parece, não será possível para as empresas realizares esta tarefa neste prazo, e alguns especialista em Segurança da Informação afirmam que serão necessários alguns anos para que isso aconteça.

Somente nos EUA, foram identificados mais de 500.000 computadores infectados e mais de 25% das empresas presentes na Fortune 500 estão com o mesmo problema. No mundo, foram identificados aproximadamente 4 milhões de máquinas. Na Estônia forma detidos 6 pessoas suspeitas de operar uma das maiores botnets já usadas.(aqui)

Mas, o que é este DNSChanger e o que ele faz ?

O conceito é relativamente simples. Ao infectar a máquina do usuário ou o servidor, ele troca os endereços de DNS usados pela máquina, ou pela rede, para um dos servidores controlados pelos hackers. A navegação quando feita para endereços verdadeiros acontece de forma normal mas, quando o usuário digita qualquer endereço de web errado, os servidores levam para uma página onde são pagos acessos por visita - os conhecidos como click-traffic, ou seja, o grupo recebe um pagamento pela quantidade de acessos realizados na página.

Aparentemente não é somente esta a função do DNSChanger. Quando instalado, ele impede que a máquina consiga acessar sites que podem ajudar o usuário a remover ou identificar o malware, e ainda, ode ser usado em conjunto com outros malwares para comprometer e roubar informações do usuário.

Para os que pensam que o malware se restringe a máquinas com windows, estão errados. Uma versão pode infectar computadores rodando o Mac OS, como demostrado neste vídeo. Assim, é extremamente necessário o cuidado dobrado com os aplicativos que são instalados em computadores, mesmo em sistemas antes vistos como não sendo um alvo certo de hackers. Este outro vídeo também demonstra com é o funcionamento básico do DNSChanger.

Uma demonstração do funcionamento básico do malware pode ser visto nesta imagem fornecida pelo FBI.

Para os usuários comuns, este link fornece um meio de identificar se o seu computar esta infectado com o malware.

Um ponto importante que deve ser lembrado é que, mesmo que uma máquina tenha o seu DNS trocado, isso não quer dizer que ela esta infectada pelo malware, ela pode ter recebido o DNS de uma outra máquina na rede que esta fornecendo informações fraudulentas para a rede. Outra grande possibilidade é que o DNSChanger tenha sido instalado na máquina usando um outro malware, e este mais agressivo e perigoso, o TDSS bootkit mas, este é assunto para um outro post, quem quiser saber mais sobre o TDSS pode acessar estes dois links aqui e aqui.

Para os administradores de rede, a primeira indicação de que há máquinas infectadas em sua rede é o acesso a um grupo específico de servidores de DNS e isso pode ser facilmente monitorado, simplesmente observando o tráfego de saída da rede. Se forem encontrados tráfegos para este conjunto de servidores, sua rede pode estar infectada.

Para os administradores, o uso de ferramentas de análise de tráfego podem ajudar. No exemplo abaixo, esta sendo utilizada uma ferramenta chamada ‘tshark’, mas pode ser qualquer ferramenta que possa analisar o tráfego e ajudar a identificar pacotes de DNS indo e vindo para os servidores listados.

Os indicativos no host são um pouco mais difíceis de serem vistos mas, podemos ter grandes chances de identificar observando o Registro, em máquinas windows, como demonstrado abaixo.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer’='$IP1′$IP2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer’='$IP1′$IP2

ou

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters\DhcpNameServer’='$IP1′$IP2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\Tcpip\Parameters\NameServer’='$IP1′$IP2

Onde o $IP1 e $IP2 podem ter um dos IPs dos servidores listados na tabela anterior.

Um outro indicativo nos hosts, é checar se o endereço do DNS listado não faz parte do grupo de servidores comprometidos, isso pode ser feito usando o ipconfig /all no windows e no Mac, visualizando as configurações de DNS no System Preferences>Network.

Se você quiser remover o DNSChanger automaticamente ou manualmente, pode visitar este link, ou este, para usar uma das muitas ferramentas que estão disponíveis na web.

Abaixo estão alguns dos nomes usados pelos softwares de Antívirus para identificar o DNSChanger.

[Kaspersky] Trojan.Win32.DNSChanger.db
[McAfee] DNSChanger.a, DNSChanger.c
[F-Prot] W32/Trojan
[Other] W32/Backdoor.KGE, Win32/Alureon.AY, Trojan.Win32.DNSChanger.ef, Win32/Alureon.BJ, Win32/DNSChanger.B, DNSChanger.GQU, Trojan.Win32.DNSChanger.ik, Trojan Horse

Mesmo sabendo que este malware é classificado como ‘Low’ pela grande maioria das ferramentas de Antivírus, ela pode trazer alguns problemas para a sua rede e, como pode estar associada a outro malware, pode ser um risco e um alerta a presença deste malware para a rede. Vamos fazer o dever de casa e verificar nossas máquinas.

Já tem algum tempo que venho estudando e procurando técnicas e ferramentas que possam me ajudar a melhorar a minha produtividade e, de quebra, que venham a me dar mais tempo para aproveitar outros aspectos da nossa vida como família, amigos, oportunidades, leituras e tudo mais que precisa de atenção e tempo.

Por falar em tempo, quero dizer que não concordo muito com a expressão “Gestão de Tempo” ou o famoso “Time Management” e explico porque. Para mim o conceito é muito simples. O tempo que temos em nossos dias é único e não sofre alterações por mais que tentemos, ou seja, teremos sempre 24 horas no dia, e não adianta fazer nada isso não vai mudar.

Então, o que faço ?

Bom, para mim, o que na verdade fazemos é “Gerencimento de tarefas” pura e simples. Nos organizamos para realizarmos nossas tarefas no tempo que nos resta e sempre buscando completar todas dentro de nosso planejamento o que, por mais que sejamos organizados e disciplinados, corremos um grande risco de não completar.

Então, dentro de todas as técnicas, metodologias, adaptações de metodologias e tudo que se relaciona a isso que já vi, o que me foi muito mais produtivo e positivo são três metodologias que vou descrever abaixo, mas é bom lembrar que todas tem suas falhas e pontos positivos e dependem muito mais de cada um se adaptar e moldar as suas metodologias e criar o seu próprio modelo.

O que temos que nos lembrar, também, é que não adianta você estudar, entender e criar sua metodologia, o que importa é a continuidade a persistência. Já vi muita gente falando que nada disso adianta, e quando perguntamos o porquê, sempre percebemos que o tempo de uso foi um fator fundamental para o sucesso, então, dê tempo ao tempo, experimente, mude e adapte a metodologia ao seu modo de trabalhar, isso vai fazer você encontrar a melhor forma de produzir mais.
O que é GTD ?

A algum tempo eu descobri uma metodologia que me chamou muito a atenção. GTD ou para os mais íntimos “Getting Things Done” é uma metodologia desenvolvida por uma consultor americanos chamado David Aller, que hoje tem sua empresa especializada em ensinar esta metodologia para empresas e empresários, todos buscando aprender como conseguir mais tempo, mais isso, como já disse antes, não é uma coisa que concordo muito.

A empresa do David Allen fornece muito material e informações sobre a metodologia, como não podia deixar de ser mas, muito você pode encontrar em várias listas de deiscussão e em muitos foruns de produtividade. Me arrisco a dizer que esta seja hoje uma das técnicas de produtividade mais usada no mundo.

O conceito do GTD é simples. Tire tudo da sua cabeça e guarde em um sistema que você possa confiar e que possa sempre ser consultado. Este pensamento é uma versão bem simplista do sistema que tem muito mais coisa mas que pode ser resumido neste pensamento.

Um dos pontos que mais gosto no GTD é a possibilidade de cada um que conhece a metodologia tem sempre uma implementação diferente, sempre adaptando à sua realidade, e isso me chamou muito a atenção, pois eu não teria que me adaptar a um modelo e sim poder criar um modelo.

As listas ou, como a metodologia chama, contextos são também muito interessantes e as vejo como um ponto muito forte da metodologia.

Elas funcionam da seguinte forma. Suas tarefas devem estar realcionadas a contextos, e contextos são locais, ferramentas, pessoas ou qualquer coisa que você user ou precise para realizar uma tarefa ou onde realizar uma tarefa, assim são exemplos de contextos:

@casa
@telefone
@mercado
@web
@email

Estes são alguns exemplos para a utilização de contextos e dentro destes contextos, serão colocadas as tarefas que precisam ser executadas, assim no contexto @telefone vamos colocar as nossas ligações que precisamos fazer e no contexto @email, da mesma forma, vamos colocar os email que devem ser enviados.

A metodologia é muito mais rica que estas simples linhas e vale uma visita no site da empresa do David Allem para ver o farto material que ele coloca a disposição. Aqui vou disponibilizar apenas alguns links que podem facilitar.

www.davidco.com / http://www.davidco.com/sites/default/files/images/What%20is%20GTD.pdf
Grupo de discussão de GTD no Yahoo Grupos http://groups.yahoo.com/group/gtdbr/

E sempre existe o google

Como eu uso?

Bom, como falei, o que gosto do GTD é a possibilidade de você poder usar somente o que tem mais utilidade no sei modelo de trabalho.

No meu modelo, o que ficou do modelo original foram os conceitos de inbox, contextos e agenda, e as next actions além é claro do conceito dos 2 minutos.

Vamos a explicação.

Eu utilizo muito os contextos mas, agora de uma forma um pouco diferente, só apenas uma adaptação às ferramentas que tenho usado.

Quando comecei a usar o GTD, eu tinha um Treo 650, ótimo telefone para quem quer usar o GTD de uma forma bem prática. A possibilidade de criar blocos de tarecas com os nomes dos contextos é muito prático no Treo, o que ainda não encontrei em nenhum outro telefone.

Só exemplo, no Treo eu tinha listas com os nomes dos contextos e dentro das listas as atividades com o campo do checklist assim, eu poderia ir eliminando do contexto as tarefas já feitas, muito prático.

Hoje uso o Android como S.O. do meu telefone, tenho um HTC Desire HD. A escolha se baseou no fato de eu usar as ferramentas do Google como base para as minhas atividades, eu uso o Google Apps, para os documentos, planilhas, calendários, email e tarefas e algumas outras coisas, fantástica ferramenta. No caso do Google, o aplicativo do tasks não suporta a criação de listas como contextos, pelo menos eu não sei como, e por isso uso hoje os contextos de um modo um pouco diferente.

Quando preciso incluir uma nova atividade, eu uso os contextos dentro de “[" "]“, assim tenho os meus contextos e tarefas identificados como por exemplo : [web] Escrever o artigo sobre produtividades. Uma facilidade do google é que tudo é integrado com o Android e desta forma, não interessa se eu escrevi a tarefa no celular ou na web, tudo é sincronizado automaticamente e muito rápido, o que me garante ter sempre as minhas atividades onde preciso, sem falar na tranquilidade com a perda de informações.

O meu uso para a agenda segue o conceito do David, só aparece na agenda aquilo que deve ser compromisso com data e hora definida, ou seja, tarefa não vai para a agenda. Isso facilita para gerenciar melhor a sua semana ou até mesmo o mês. A agenda é uma das ferramentas mais poderosas para quem quer ser organizado, e deve ser visto como um ponto de muito cuidado, pois se houver muita coisa anotada e pouca realização, é muito provável que isso vá se tornar uma grande frustração.

O inbox é o conceito que se deve ter um ponto único de entrada das suas coisas. No meu caso eu tenho um conjunto de pastas que guardo dentro de um suporte de revistas, que hoje esta grudado na lateral de uma armário no meu escritório. Este inbox é muito prático para que tudo que precisa ser revisto seja colocado em um local somente, e depois você vê o que vai fazer com as coisas que estão lá. Isso é muito prático, não preciso ficar me preocupando onde estão as contas, onde estão as correspondências, a tudo mais que precisa de uma “olhadinha”.
Tudo que você possa fazer em menos de 2 minutos faça agora, não deixe acumular. Este é outro conceito da metodologia e a uso diariamente, sem perdão :). A coisa é simples. Esta tarefa pode ser feita em menos de 2 minutos ? Se sim, faça ! simples assim.

Bom, isso é o mais relevante que uso hoje, claro, a explicação é muito próxima do real mas, há variações nos usos e nos modelos mas, posso dizer que basicamente é isso.

O que é Pomodoro Technique

A Pomodoro Technique é fruto do desespero ( ) de um jovem universitário italiano que estava com muito o que fazer na faculdade e percebeu que se não se organizasse não conseguiria terminar todas as suas tarefas a tempo.

De forma básica o modelo é o seguinte.

Tenha como você um timer, qualquer um, no caso dele ele tinha um timer de cozinha no formato de uma galinha, e foi o que usou. Divida seu tempo em períodos de 25 minutos, com intervalos de 5 minutos.

Quando for fazer as tarefas, ligue o timer e trabalhe totalmente focado pelos próximos 25 minutos, buscando não se distrair com nenhuma outra coisa. No final dos 25 minutos, faça uma pausa de 5 minutos, e neste tempo, nada de trabalho, faça outra coisa, vá tomar um ar ou um café, alguma coisa, mas nada de trabalho. Terminado os 5 minutos, volte para a atividade e repita os 25 minutos de atividade altamente focado.

Quando ele fez isso, percebeu que conseguira realizar uma grande quantidade de ativiades sem perceber e que se se mantivesse disciplinado com o tempo, poderia concluir suas atividades todas.

Então, no final de 4 pomodoros, que é como são chamados os intervalos de 25 minutos, temos 1 hora de trabalho e 20 minutos de descanso.

Isso parece uma metodologia um pouco besta e sem futuro mas, posso garantir que isso pode aumentar e muito a sua produtividade e de forma muito rápida, desde que você se empenhe em completar os pomodoros e a respeitar o tempo, tanto de produtividade quanto de descanso.

Para quem nunca fez, parece bem simples permanecer 25 minutos sentado fazendo seu trabalho mas, tente fazer isso sem interrupção, tanto sua quanto de outras coisas, como por exemplo emails, IM, Skype, Internet e tudo mais, sem falar nos colegas de trabalho.

Bom, mas como sempre, tem alguém que adapta uma técnica a seu modo e tudo funciona da mesma forma, só que de um outro jeito.

Da mesma forma que a Técnica do Pomodoro, existe uma outra que utiliza tempo como fator motivador, só que esta com um pouco mais. Enquanto no Pomodoro temos intervalos de trabalho de 25 minutos, nesta técnica, que eu chamos de 48/12, o intervalo de tempo usado para as atividade é de 48 minutos, e de descanso de 12 minutos.

Cheguei a usar algumas vezes mas, como o tempo é maior, a possibilidade de interrupções também é maior a dificuldade de manter a atenção por mais tempo me levavam a parar muitas vezes.

Bom, para mim o Pomodoro esta muito bom, e tenho tido bons resultados. Quem quizer saber um pouco mais, no site do autor tem um ebook, que pode ser baixado, explicando cada detalhe da técnica.

www.pomodorotechnique.com

Algumas ferramentas que eu uso

No MAC OS X eu uso a pomodairo, achei muito legal. No Android tem a Pomodroid e para quem quer usar no seu Chrome, pode instalar a extensão Tomatoist, e tem um timer em uma aba do Chrome.

É claro que estas são apenas algumas de várias outras ferramentas, e nem quero dizer que estas são as melhores, são apenas as que eu uso.

O que é Kanban ?

Kanban, ou também, Kamban, é uma técnica usada na indústria para trabalhar com sistemas e lean e Just-in-time. Este não é um sistema de inventário e sim um sistema de agendamento, que diz o que deve ser produzido e em quê momento.

Bom, Jim Benson, pegou esta metodologia, que primeiramente foi usada na Tayota e transformou em uma ferramenta que pode ser usada para gerenciar projetos, pessoais e profissionais.

O que é Personal Kanban ?

Personal Kanban é a utilização das técnicas do Kanban original em um modelo de gerenciamento de atividades e tarefas para os profissionais ou pessoas normais. Explicar Personal Kanban é muito mais complicado para mim, que estou começando a usar agora do quê as outras metodologias mas, o que posso dizer é que esta metodologia traz um controle visual muito grande sobre as muitas possibilidades em um projeto.

Como qualquer uma das anteriores, esta metodologia pode ser implementada usando ferramentas eletrônicas mas, para mim, e para muitos, o uso de uma quandro branco, pincel e post it é a melhor opção para a metodologia.

Para que a metodologia seja entendida em seu máximo, sugiro fortemente a leitura do livro de Jim Benson e Tomianne Barry, Personal Kanban Mapping Work | Navigating Life.

De forma geral a metodologia funciona da seguinte forma.

Em um quadro branco, crie 3 áreas básicas, digo básicas porque como as outras, esta metodologia pode ser adaptada às suas necessidades.

Estas 3 áreas são backlog, to-do ou doing e done. No backlog você vai colocar todas as atividades que devem ser executadas para se terminar o projeto, este servirá como um “depósito” das atividades.

Na parte de doing, serão colocadas as tarefas que devem ser realizadas naquele momento, e aqui fazemos uma outra explicação. Como temos um tempo e um empenho limitados, devemos ser bem realistas e determinar quantas atividades nós verdadeiramente conseguimos realizar em um espaço de tempo determinado, que pode ser por exemplo 1 dia de trabalho, esta quantidade chamaremos de MIT ou Most Important Tasks.

Com a MIT determinada, vamos mover os post it, no meu caso, do backlog para o doing e começar a trabalhar, e quando esta tarefa tiver terminada, é só enviar para o done e assim visualizar o progresso do seu projeto e o quanto ainda falta para o término.

A metodologia é simples mas o impacto na produtividade, principalmente de grupos, é muito grande. E, o que é melhor, pode ser usada por qualquer pessoa, em suas mais diversas atividades e projetos, como por exemplo, criação de monografias, planejamento de estudo, eu uso, e muitas outras coisas mais complexas e importantes.

Atualmente, é muito comum ver o uso do Personal Kanban como ferramenta de auxílio aos desenvolvimento de projetos de software e em muitos casos em conjunto com o Scrum.

Para exemplificar alguns usos, vou colocar alguma imagens.

Este é o meu quadro de kanban, onde control alguns dos meus projetos.

Uso do Kanban no controle de projetos.

Bom, acho que depois de tudo isso, alguém pode juntar todas estas metodologias e usufruir das melhores partes delas e melhorar a sua produtividade e a gerenciar melhor as suas tarefas, ganhando mais tempo e diminuindo o stress que temos hoje.

Espero que ajude.

Dando continuidade ao assunto de certificações profissionais na área de segurança da informação, neste post vamos falar sobre a certificação CompTIA Securety+, hoje uma das certificações oferecidas no mercado e ainda não muito utilizada no mercado brasileiro.

A CompTIA Securety+ é uma certificação que não tem nenhum vínculo com nenhuma empresa do mercado, sendo assim uma certificação de conceitos e conhecimentos genéricos, mas alguns materiais são fortemente baseados em aplicação dos conceitos em um ambiente baseado na estrutura Microsoft.

A certificação em si foi planejada para profissionais que estejam entrando no mercado de trabalho e que tenham no máximo 2 anos de experiência nos assuntos relacionados à segurança da informação, por isso, a certificação não é muito procurada por profissionais mais experientes. No entanto, para profissionais que estão entrando agora no mercado de trabalho ou que estão migrando agora para a área de Segurança da Informação é uma ótima preparação e diferencial de mercado.

Como as certificações da Microsoft e de outros fabricantes, a certificação Security+ da CompTIA tinha a característica de não ter uma data de validade do certificado, o que por um lado era bom para o profissional, que não tinha que ficar se preocupando com o certificado, por outro era ruim pois trazia para a certificação um ar de descrença com relação ao conhecimento após alguns anos.

Mas este cenário mudou. Como outras, as certificações CompTIA A+, Network+ e Security+ passaram a ter uma prazo de validade, que vai ser de 3 anos, obrigando o certificado a refazer a prova para manter o seu título. Para identificar os certificados com prazo de validade, eles e os cartões recebidos pelos aprovados, vão trazer a data de validade do certificado, acredito que esta medida possa trazer um pouco mais de credibilidade para o certificado. Esta medida começou a valer no dia 01.01.2011 e quem fez sua prova até o dia 31.12.2010 não precisa se preocupar, vai ter o seu certificado “eterno”.
Quem mantém ?
Qual a validade no mercado ?
O mercado tem alguns pontos reticentes sobre esta certificação mas, muito mais pelo fato de antes ela ser uma certificação sem prazo, ou seja, uma vez que você tenha passado, você sempre vai ter a sua certificação.
Mas, como falando antes, este ponto da certificação mudou e agora é necessário refazer uma prova num período de 3 anos após ter passado na prova que o certificou.
Do ponto de vista mercadológico, uma certificação é uma certificação, e algumas tem pesos diferentes, mas não deixam de demonstrar um grau de conhecimento garantido pelo “dono” certificador.
Para o mercado isso é mais uma demonstração de busca de conhecimento do que a prova de experiência do profissional, pois estas certificações de conceito são basicamente montadas para que o profissional demonstre, de forma teórica, que possui aqueles conhecimentos e não que seja obrigado a demonstrar a experiência no uso dos conceitos abordados.
Diria que para profissionais que estão entrando no mercado, ou para aqueles que já estão no mercado mas querem demonstrar o conhecimento anterior, esta seja uma das certificações “meio” em um plano de buscar certificações maiores como CISSP ou CISM, por exemplo.
Domínios de conhecimento
De acordo com a CompTIA, a prova é dividida em 6 domínios de conhecimento, que tentam abranger o maior número de assuntos relacionados com os conhecimentos básicos de segurança da informação.

Os domínios e seu “peso”na prova podem ser vistos a seguir.

Segurança de Sistemas - 21%
Infraestrutura de Redes - 20%
Controle de Acesso - 17%
Auditoria - 15%
Criptografia - 15%
Segurança Organizacional - 12%

Como podemos ver são assuntos que, para um profissional de segurança são básicos e tem esta intenção mesmo, trazer para o profissional desta certificação o início da carreira de profissional de segurança da informação mas, não acho que seja uma certificação que um profissional mais experiente não possa ter ou que isso vai ser negativo em sua carreira.

Para alguns, esta certificação pode ser um passo interessante para a busca de uma certificação um pouco mais complexa, como por exemplo a certificação CISSP. Ao estudar para a CISSP e CompTIA Security+ e passar nesta última, vai trazer ao profissional um pouco mais de tranquilidade na hora da grande prova do CISSP, sem contar que pode ser uma boa experiência para se adequar ao aspecto de ter cuidado com o tempo e o número de questões, pois como no CISSP, o candidato tem um certo número de questões com um tempo limitado, assim como no CISSP.
Como se certificar ?
Quanto custa ?
A certificação CompTIA Security+ pode ser feita em qualquer centro de provas da Prometric ou VUE e até a última vez que vi, a prova custava US$ 260,00, e da mesma forma que outras provas destes centros, deve ser feito um agendamento do centro onde será realizado a prova.
Como é a prova ?
A prova da certificação é composta de 100 questões que devem ser respondida em no máximo 90 minutos, onde o candidato deve alcançar uma pontuação mínima de 75% de acertos para ser considerado aprovado.
Hoje a prova pode ser realizada apenas nos seguintes idiomas: Inglês,japonês, espanhol, chinês e alemão.
Bom, espero que tenha ajudado para os profissionais de SI a entender melhor esta certificação.

fonte: bestnuc.com,dilbert.com

O NIST 800-34 é um documento que foi criado para levar às várias agência americanas um modelo único de criação de planos de contingência e continuidade de negócios, utilizando-se para isso mais alguns documentos base como o NIST 800-30.

Este documento esta direcionado para a criação de planos de contingência dos serviços mais comuns encontrados dentro de uma estrutura de TI das agências governamentais americanas mas, que pode ser utilizada diretamente por empresas e organizações não americanas. O documento descreve a criação dos planos para os seguintes serviços:

a) Desktop e sistemas portáteis
b) Servidores
c) Sites web
d) Local Area Network (LAN)
e) Wide Area Network (WAN)
f) Sistemas distribuídos
g) Sistemas de Manframes.

No entanto, são amplamente utilizados para outros sistemas que não os relacionados diretamente mas, que podem ser muito próximos.

São etapas presentes no documento e que são parte integrante do planejamento de criação do Plano de Contingência:

a) Desenvolvimento de uma Declaração de uma Política do Plano de Contingência
b) Execução de um BIA (Business Impact Analisys)
c) Identificação preventiva dos controles existentes
d) Desenvolvimento de uma estratégia de recuperação
e) Desenvolvimento de um Plano de Contingência de TI
f) Planejamento dos testes, treinamento e exercícios
g) Plano de manutenção

Estas etapas são importantes e devem, dentro do possível, ser mantidas no plano de desenvolvimento de Planos de Contingência.

3.1.1 Desenvolvimento de uma Declaração de Política do Plano de Contingência.
Para que o plano seja criado e seguido de uma forma efetiva, este deve ser baseado em uma política formal e implementada dentro da estrutura de documentação. Esta política deve descrever os objetivos, e de forma geral, as responsabilidades.

Para que tenha uma maior eficiência, esta política deve ser apoiada diretamente pela Direção, que atribuirá responsabilidades e determinará a criação da equipe do plano de contingência.

A seguir, uma estrutura sugerida para a Política:

a) Papeis e Responsabilidades
b) Escopo do plano, apontando, tipos de serviços, plataformas e objetos do plano de contingência
c) Recursos Necessários
d) Treinamentos necessários
e) Calendários de testes e exercícios
f) Calendário de manutenção
g) Frequência do Backup e o armazenamento das mídias.

Ainda, deve-se levar em consideração, as outras políticas e normas utilizadas dentro da estrutura das empresas que devem ter o cuidado de manter a integridade entre as várias documentações existentes.

3.1.2 Execução de um BIA (Business Impact Analisys)
O BIA é o passo necessário e essencial para a realização de um Plano de Contingência com eficiência e bem realizado. É por meio do BIA que a equipe de desenvolvimento do plano vai ser capaz de identificar requisitos dos sistemas, processos e interdependência entre os mais diversos sistemas, e isso será usado para criar a matriz de prioridades de sistemas a serem colocados no Plano.

O propósito do BIA é relacionar componentes críticos do sistema com serviços críticos que eles executam, e com base neste mapa de correlação, categorizar as consequências que podem acontecer com os serviços mapeados.

Ainda são pontos importantes para a criação do relatório final do BIA a identificação de recursos críticos. Esta identificação basicamente é realizado por dois processos distintos.

a) Identificação de Pontos Únicos de Contato (POCs)
b) Identificação de impactos nos serviços ou recursos e o tempo máximo suportado (fora do ar).

O segundo ponto presente no relatório, é o desenvolvimento e criação da matriz de prioridades, tendo como base a identificação de serviços críticos e os seus impactos ao negócio.

3.1.3 Identificação de controles já existentes
Para que os trabalhos dentro do planejamento seja mais eficiente, devem ser identificados os controles de danos e riscos já existentes dentro da estrutura de TI, e estes devem ser relacionados em uma matriz de riscos, vinculando aos serviços e recursos críticos.

Quando possível e o custo for menor, devem ser utilizados sistemas de controles de riscos e paralisações, e são exemplos disso, UPS, Sistemas Supressores de Incêndio, Sistemas detectores de fumaça, HVAC apropriados e plásticos para cobrir equipamentos em caso de vazamentos de água.

Estes controles devem ser relacionados no Plano de Contingência e as pessoas envolvidas com estes controles devem ser identificados e treinados.

3.1.4 Desenvolvimento de Estratégias de Recuperação
Os procedimentos criados nesta etapa proporcionam que o serviço ou recurso seja restaurado dentro do tempo e das necessidade identificadas.

Para que seja o mais eficiente possível, várias alternativas devem ser identificadas e estas devem ser avaliadas por vários pontos como custo, impacto, risco e tempo de retorno do serviço. Isso vai proporcionar ao time de plano de contingência a utilização da melhor alternativa possível para aquele serviço ou recurso.

São estratégia aceitas:

a) Métodos de backup
b) Sites alternativos
c) Substituição de equipamentos

Não podemos esquecer que nesta etapa devem ser criadas as matrizes de responsabilidades e papeis e que todas as estratégias devem ser levadas em consideração dentro de um estudo de avaliação do custo de implantação, uso e manutenção das alternativas escolhidas.

3.1.5 Planejamento dos testes, treinamento e exercícios
Os testes são fatores fundamentais para a identificação de possível falhas nos planos desenvolvidos e por isso devem ser executados de forma periódica e sempre documentada. Outro benefício dos testes é identificar se o pessoal responsável por executar o plano de contingência é capaz de fazê-lo e se tudo aconteceu conforme foi planejado.

Para que o processo de teste seja melhor aproveitado, todo teste devem ser realizado com uma finalidade definida e com um plano específico, e este deve ser documentado e posteriormente analizado para saber se os objetivos foram alcançados.

Dois modelos de teste podem ser aplicados:

a) Tablestop ou o walkthroug : Onde os testes são realizados somente com a leitura dos planos e a identificação de pontos que podem ser problemáticos para a equipe executar. Este é o tipo mais barato de teste a ser executado e, de preferência, deve ser executado somente após um exercício funcional ser feito.
b) Exercício Funcional : Neste tipo de teste, um evento falso é criado e a equipe deve executar o plano dentro das atividades planejadas. Este tipo de teste deve ser executado somente com a autorização da direção que deve conhecer os possíveis impactos do teste dentro do ambiente real.

3.1.6 Plano de Manutenção
É essencial que os planos possuam manutenção adequada e que esta seja feita periodicamente para que os responsáveis de execução tenham certeza de que ao utilizar os planos estes estão dentro do esperados e representam a realidade dos serviços e recursos da estrutura de TI.

É adequado imaginar que a revisão dos planos, ocorra pelo menos uma vez ao ano ou sempre que a estrutura de TI sofrer mudanças significativas em seus componentes. É natural que alguns sistemas ou recursos sejam mais críticos que outros e os planos relacionados a estes devam ter uma maior constância em suas revisões.

Um fato importante deve ser observado. Como os planos de contingência são documentos que possuem informações sobre pessoas, serviços e recursos importantes para a empresa, estes devem ser distribuídos observando-se a necessidade de acesso das pessoas e a classificação das informações existentes.

As mudanças devem ser sempre documentadas e registradas dentro do próprio documento, a seguir um modelo de tabela de registro de mudanças.

3.1.7 Desenvolvimento de um Plano de Contingência de TI
Esta etapa é a etapa crítica do desenvolvimento do plano de contingência e deve apresentar de forma clara os papeis, os responsáveis, o time de recuperação e os procedimentos necessários para recuperação de cada serviço ou recurso identificado no processo de identificação de serviços e recursos chave para o negócio.

É uma das fases mais importantes do Plano de Contingência, pois é esta fase a responsável pela criação do plano propriamente dito e deve ser observado com muito cuidado. Sugerimos que seja observado o que esta descrito no item 4 do documento do NIST 800-34 para maiores informações.

É evidente que a contingência de serviços e recursos é um dos pontos mais importantes de qualquer planejamento dentro da estrutura de TI de uma empresa, e deve ser observado dentro das melhores práticas e modelos de mercado. É aconselhável a todas as empresas que desejam uma melhor gestão sobre suas estruturas de TI, que suas equipes sejam treinadas e acompanhadas em sua formação.

Se imagine: “Já explicou mil vezes e não consegue fazer as pessoas entenderem como funciona e como não se tornam um “zumbi” comandado por uma botnet?”

Bom, acredito que esta forma encontrada pela McAfee seja uma forma simples e bem divertida de mostras as pessoas como elas podem ser infectadas, o que pode acontecer e como evitar que isso aconteça.

Para os que querem ter a imagem completa, podem baixar daqui.

Cada vez mais, as opções para que os profissionais liberais e os trabalhadores móveis exerçam sua atividades em local agradáveis e confortáveis vem aumentando. No início, era a onda do home office e o teletrabalho, que continua ganhando força dentro do conceito de produtividade das empresas mas, de algum tempo pra cá, venho acompanhando o surgimento de um conceito de trabalho que tem me agradado bastante.

Trabalho a maior parte do meu tempo em meu home office mas, confesso que as vezes sinto falta de ver gente, conversar com pessoas, trocar idéias. E é com estas necessidades em mente e com a oportunidade de reduzir os custos dos “mobile workers” que cada dia mais surgem espaços de coworking no Brasil e no mundo.

O coworking é um conceito de disponibilizar um espaço agradável, que é compartilhado muitas vezes por muitas pessoas de áreas não muito relacionadas mas, que desejam um espaço para que possam trabalhar em suas profissões, receber seus clientes e mesmo apenas trocar idéias. Agora, o coworking vem ganhando novos conceitos e usos. Depois de disponibilizar espaços para o trabalho, surgem os coworks segmentados, onde são primeiramente ou até mesmo exclusivamente voltados para um certo tipo de público. Espaços reservados a profissionais com empresas que trabalham com sustentabilidade, espaços apenas para mulheres empreendedoras e assim por diante. Não importa a forma como o espaço de coworking é disponibilizado, o que importa é que o conceito tem funcionado e vem atraindo cada vez mais novos profissionias.

A idéias de disponibilizar espaço a baixo custo, quando se compara em montar uma estrutura semelhante, tem agrado e caiu de vez no gosto do profissional móvel, mesmo aquele que tem o seu home office. Pois, a possibilidade de trocar idéias e mesmo conquistar novos clientes é um dos principais atrativo do modelo.

Hoje, vários sites trazem muitas informações sobre o conceito e locais onde já existem os escritórios de coworking no Brasil, e atualmente temos perto de 15 espaços distribuídos no Brasil, principalmente na região sudeste. Abaixo um mapa mostra estes espaços.

Se você quiser entender melhor como este conceito e como funciona o coworking, sugiro o vídeo de uma reportagem da Veja, e alguns outros que você pode encontrar facilmente no youtube. Além destes, vou colocar aqui também o vídeo da reportagem feita pelo programa da GloboNews Mundo S.A.

Um dos primeiros espaços surgidos no Brasil foi o The Hub e depois foi seguido por muitos outros espalhados mas, sempre mantendo o mesmo conceito. O Ponto de Contato é outro espaço que me chamou muito a atenção e que vem me fazendo pensar sobre como funcionaria este modelo em minha cidade, e se funcionaria.

Quero contribuir com alguns pontos que acho interessante para quem busca um espaço como este para trabalhar.

1 - Produtividade: Como um espaço de coworking se parece muito mais com um escritório, a possbilidade de você perder tempo vendo TV ou se distraindo com seu filho é muito menor, e isso ajuda e muito para aqueles profissionais que tem projetos com datas e prazos muito bem definidos e apertados.

2 - Profissionalismo: A cada dia o preconceito pelos trabalhadores que optaram por ter um home office e trabalhar nele vem diminuindo mas, ainda fica muito estranho convidar um possível cliente para uma reunião na mesa de uma café, ou entregar seu cartão de visita sem um endereço de correspondência, por isso acredito que um coworking possa passar uma imagem de mais profissionalismo para seus clientes.

3 - Conexões e colaborações: Dentro de um home office seus contatos se limitam a sua network mas, e se dentro de sua network não tiver um profissional que você precisa conhecer agora ?! E se você precisar trocar idéias durante a realização de um trabalho como fazer ? Entendo que os espaços de coworking são fantásticos para este fim, compartilhar conhecimento e aproximar pessoas que possam se tornam parceiros de negócios.

4 - Enriquecimento Pessoal: Com as conexões e colaborações surge um outro fator legal do coworking, você tem que desenvolver novas habilidade e conhecimentos, aprende com seus colegas e passa conhecimento também. Esta oportunidade de aprender e ensinar pode ajudar no desenvolvimento profissional e pessoal dos participantes de coworking.

5 - Inspiração: Quando você precisa de uma idéia, conversar e até mesmo buscar uma nova opinião, sempre é bom ter muitas pessoas por perto, e isso não acontece dentro de um home office. Espaços de coworking são muito bons para isso, dar e receber inspiração.

Continuo com as minhas convicções de que o home office é uma grande opção para profissionais que não precisam ter uma estrutura grande e cara mas, ter a oportunidade de compartilhar idéias e conversar com pessoas em algum momento do meu trabalho me agrada bastante. Quem quiser ver o vídeo que comentei sobre a reportagem do Mundo S/A, pode seguir este link.

E ai, o que você acha ? Você trabalharia em um espaço de coworking ? Alguém interessado em um sócio ?

O mercado de trabalho esta cada vez mais exigente com os candidatos a vagas de emprego, e cada vez mais observamos a necessidade de demonstrar um diferencial dos outros profissionais. No primeiros momentos precisávamos apenas de um “canudo” de faculdade e já éramos chamados de Doutor. Este tempo passou, surgiram a necessidade de um segundo idioma, agora um terceiro ou quarto, MBA, cursos no exterior e mais especificamente, certificações.

Certificação é um assunto que rende muitas discussões e cada um defendendo a sua idéia e os seus conceitos sobre este assunto. Para alguns este é um demonstrativo de seu conhecimento, para muitos outros somente uma forma de empresas, e no caso do CISSP, institutos ganharem dinheiro. Somente um detalhe, o ISC2, detendor do CISSP é uma instituição sem fins lucrativos mas, isso é um outro assunto.

Seguindo. As a necessidade existe e precisamos nos diferenciar dentro em um mar cada vez mais cheio de tubarões e todos apresentando as mesmas qualificações, precisamos ser diferentes, e é para isso que as certificações servem.

Hoje vou falar sobre uma das mais procuradas certificações de profissionais de segurança da informação no mercado. O CISSSP - Certified Information Systems Security Professional, é um certificado emitido pelo ISC2 - International Information Systems Security Certification Consortium, Inc., (ISC)²®, e que tem um forte apelo de conhecimento genérico sobre segurança da informação.

O ISC2.

O ISC2 ou International Information Systems Security Certification Consortium, Inc., é um Instituto com sede nos EUA e com escritórios em London, Hong Kong and Tokyo. É reconhecidamente um dos maiores centros de formação e certificação profissional do mundo e tem como foco principal a formação de profissionais de segurança da informação.

O ISC2 desenvolve e mantém o CBK, ou o critical body of knowledge, que define padrões de mercado quando o assunto é segurança da informação. Estes padrões regem os pontos fundamentais para a criação das certificações mantidas pelo ISC2.

O ISC2 é um Instituto que desenvolve treinamentos de segurança, sem vínculos diretos com produtos ou marcas, por isso seus treinamentos e certificações visam apresentar conceitos e práticas para o mercado de segurança da informação.

São certificações presentes no ISC2:

Systems Security Certified Practitioner (SSCP®)
Certified Authorization Professional (CAP®)
Certified Secure Software Lifecycle Professional (CSSLP®)
Certified Information Systems Security Professional (CISSP®)

Mas, acredito que a mais conhecida seja a CISSP.

Para quem quiser conhecer um pouco mais sobre o ISC2, pode baixar um arquivo em PDF neste endereço. [https://www.isc2.org/uploadedFiles/(ISC)2_Public_Content/(ISC)2-Company-Overview.pdf]

A Certificação CISSP

A Certificação de profissionais de Segurança da Informação por meio da obtenção do Certificado de CISSP, traz ao profissional um reconhecimento do mercado de forma global. A certificação é conseguida por meio da aprovação em uma prova, com 250 questões, e duração de 6 horas realizada pelo próprio ISC2.

O candidato a CISSP deve ser aprovado com uma pontuação mínima de 700 pontos dentro de 1000 possíveis, o que representa 70% de acerto.

A prova se baseia no conteúdo de 10 assuntos, ou Domínios, como são conhecidos e o conhecimento deve ser equivalente em todos, para que o candidato tenha condições de aprovação. Como a prova não possui divisões nas questões, não há como garantir uma igualdade de questões de cada assunto, por isso, a necessidade de conhecimento equilibrado em todos os assuntos.

Estes são os domínios que devem ser estudados para a prova:

Access Control
Application Development Security
Business Continuity and Disaster Recovery Planning
Cryptography
Information Security Governance and Risk Management
Legal, Regulations, Investigations and Compliance
Operations Security
Physical (Environmental) Security
Security Architecture and Design
Telecommunications and Network Security

A certificação é concedida aos candidatos que tenham sido aprovados por meio da prova e que tenham cumprido as exigências de experiência do ISC2.

O ISC2, dentro de suas pesquisas afirma que o profissional com esta certificação tem como média salarial US 94 mil, mas acredito que isso possa variar bastante, dependendo do mercado, empresas e momento.

São benefícios para os certificados e para as empresas

Para o profissional, o ISC2 relaciona os seguintes benefícios:

- Demonstra um conhecimento em segurança da informação
- Comprometimento profissional
- Permiti um diferencial na carreira do profissional
- Oferece ao profissional acesso a uma gama de recursos para networking e troca de idéias, por meio de sites específicos para CISSPs, e mantidos pelo ISC2.

Para as empresas, são os seguintes

- Estabelece um padrão de boas práticas
- Oferece a empresa profissional com conhecimento em Segurança da Informação, não orientado a marcas ou produtos.
- Proporciona o acesso a profissionais com conhecimentos atuais e validados
- Acrescenta credibilidade à empresa perante o mercado
- Proporciona um gerenciamento de risco ao negócio.

Como se inscrever e estudar para a prova ?

Para aqueles que tenham decidido se inscrever para a realização da prova, os primeiros passos são buscar por uma data de prova no site do ISC2 e fazer a sua inscrição. As inscrições devem ser feitas por meio do pagamento de uma taxa de US549,00, para aqueles que fizerem a inscrição com antecedência, e de US 599,00 para os que fizerem um pouco mais próximo da data da prova, e deve ser feito através de um cartão de crédito internacional.

Feito isso, o candidato pode ainda dispor de cursos/seminários de treinamento CISSP que, por experiência própria não se destinam a preparar para a prova e sim para ajudar no estudo e em tirar as últimas dúvidas antes da prova. Estes seminários são realizados geralmente 2 semanas antes das provas e por parceiros credenciados, por isso, é bom consultar o site do ISC2 para conhecer os parceiros.

Os materiais mais utilizados por candidatos a CISSP são o próprio CBK, produzido pelo ISC2 e o livro All in one da escritora americada Shon Harris. Todos disponíveis em inlgês. São livros extensos e que trazem muita informação. Em minha opinião, são suficientes para o estudo.

O auxílio de simulados e resolução de questões em grupo sempre são vantajosas e trazem uma troca de conhecimentos muito valiosa na hora da prova, busque formar grupos para estudar. Uma dica importante é, como a prova é extensa, faça um pouco de exercício, mantenha um condicionamento físico que possa ajuda-lo a agüentar 6 horas de pressão, muito não passam por cansaço, que pode atrapalhar na concentração.

São permitidos levar para o local da prova alimentos do tipo barras, chocolates, água, frutas e outras coisas que possam ser consumidas sem grande aparatos. Mas você não poderá comer na sua mesa de prova, suas coisas ficam separadas e você deve se deslocar, dentro da sala, para comer em um local reservado. Além de comida, você pode levar um dicionário de inglês/português, mas que não deve ter a definição da palavra e somente a tradução. Não pode ser um dicionário que explique a palavra!!

Bom, acredito que tenha sido possível apresentar de forma muito breve o que é e como conseguir a certificação CISSP, desejo boa sorte a todos que se proponham a realizar a prova, tenho certeza que mesmo não conseguindo ser aprovado na prova, o caminho de estudos vai trazer muitos benefícios para o profissional.

Desafios para os profissionais de Segurança da Informação.

Para profissionais de TI, e principalmente para os profissionais de SI - Segurança da Informação - os desafios encontrados atualmente são sempre os relacionados a tempo. O tempo é um fator fundamental para que medidas sejam tomadas, usuários treinados, sistemas atualizados e assim por diante. No entanto, não é somente o tempo que tira a tranquilidade dos profissinais de segurança da informação.

Hoje a Segurança da Informação assumiu uma posição dentro das empresas que trouxe também mais responsabilidades e mais demandas dos setores mais altos da organização, e estas demandas cada vez mais exigem dos profissionais de Segurança da Informação uma relação muito mais próxima dos gestores do que a tempos não acontecia.

Normas, Políticas e procedimentos que antes estavam restritos a áreas mais técnicas devem ser criados agora com uma visão de negócio e como tal, observar características de oportunidades atuais e futuras para que possam ser usadas dentro das organizações de forma a produzir nos negócios resultados que tragam valor a organização.

Dentro deste senário algumas pesquisas tem apontado que o grande desafio para os proissionais de SI é a manutenção da imagem da organização perante seus clientes, acionistas e o mercado, tudo através de manutenção da segurança das informações e da privacidade.

Em pesquisa da Ernst & Young com mais de 1800 participantes, dentre estes 35 brasileiros, 90% das empresas planeja aumentar os investimentos relacionados a segurança da informação, o que demonstra a grande preocupação das organizações com suas estruturas.

Outro dado retirado desta pesquisa que pode interessar a profissionais de SI é referente ao fato de 70% das empresas realizarem campanha de conscientização com seus colaboradores, preocupação mais do que justificada, visto que um dos maiores problemas dentro de um programa de segurança da informação é a conscientização do usuário de que muito da segurança da empresa esta relacionada com a forma como ele usa e trabalha com os ativos. Esta falta de consciência pode ser vista todos os dias nos mais diversos restaurantes em várias cidades do País, quando os funcionários deixam seus crachás em mesas sem a menor preocupação e cuidado.

Pontos como qualificação de profissionais e orçamento adequado também são fatores que preocupam dentro das organizações.

Estes fatores podem ser notados entre empresas de grande e médio porte, mas podemos dizer que não estão restritas somente a estas empresas. Quando observamos pesquisas feitas e direcionadas para o mercado de pequenas e médias empresas a situação se torna um pouco pior.

O Yahoo divulgou dados de uma pesquisa feita pelo Instituto Applied Research feita com 300 empresas, e dentre elas 100 brasileiras e apontou um quadro de preocupação. Nas pequenas e médias empresas brasileiras, 30% não usam software de antívirus, 47% não possuem ferramentas de segurança para os computadores de seus usuários, 42% não possuem procedimentos e nem ferramentas de backup e recuperação de dados de usuários em seus desktops, 35% não possuem antispam, 40% não têm backup ou sistema de recuperação de servidor e 28% das empresas não tem pessoal dedicado à segurança da informação.

Estes dados nos levam a imaginar como podemos, profissionais de SI, combater estes problemas, e como podemos diminuir a exposição destas empresas a problemas como worms, vírus e outras pragas digitais que surgem cada vez com mais velocidade. Agora, por um momento, imagine como devem estar estes valores se a pesquisa for realizada com usuário doméstico ?

Quando subimos um pouco no profissionalismo das grandes empresas provedoras de soluções de segurança, acreditamos que estas devem ter uma segurança bem mais dedicada e fortificada. Isso não deixa de ser verdade mas, na mesma pesquisa divulgada pelo Yahoo, foram realizados testes nos sites de alguns dos principais fornecedores de antívirus do mercado, e o resultado pode ser algo procupante.

Segundo o site Register foram realizados testes em sites de 6 grandes empresas de antívirus (Symantec, Kaspersky, Eset, AVG , F-Secure e Trend Micro), e nestes foram encontradas vulnerabilidades relacionadas com ataques XSS, e estas vulnerabilidades são utilizadas em ataques de “phishing”. Preocupante, já que esperamos muito mais destas empresas do que de empresas que não tem como seu “core” o negócio de segurança.

No entanto, no mercado estão surgindo outras preocupações que antes não eram tão observadas como a segurança das Clouds Computers, cada vez mais usadas pelas empresas, privacidade em redes sociais e o uso destas por empresas e colaboradoes, adequações a padrões de mercado (compliance) antes muito buscado por grandes empresas mas agora aparecendo como interesse de pequenas e médias empresas e ainda a fulga de dados e informações.

Os desafios são muitos mas, acredito que os profissionais estão cada vez mais buscando se preparar e a preparar as suas empresas para o novo cenário que se desenrola, vamos continuar observando as tendências.

Em evento produzido na última DEFCON, foram realizadas várias ligações para 135 pessoas, funcionárias das 500 empresas listadas na Forbes, destas, apenas 5 não revelaram informações. As ligações tinham como finalidade testar o nível de acesso as informações que seriam conseguidas utilizando técnicas de Social Engineering, uma técnica de se obter informações.

O interessante deste teste é que as 5 pessoas que se recusaram a fornecer informações eram mulheres e ocupavam cargos de gerência em suas empresas, e muitas delas desligavam o telefone logo após a frase - ‘This doesn’t seem right to me’ - assim que eram questionadas por algumas informações.

Por motivos de segurança, nos testes eram solicitadas informações que não pudessem causar problemas as empresas como senhas e outras informações mais sigilosas. No entanto, foram questionadas informações sobre sistema operacional usado, browser, sistemas de anti-vírus e outras, e na grande maioria foram conseguidas as informações muito utilizada por hackers.

Dois dados interessantes identificados durante as ligações, para a surpresa de muitos, em muitas empresas ainda existe o uso do IE 6, sabidamente um browser com sérios problemas de segurança, e outro dado, que a meu ver é o mais sério, durante as ligações era solicitado que as pessoas ao telefone acessassem uma página externa a empresa, desenvolvida especificamente para o evento, e conseguiram em muitos casos.

Desta forma, podemos dizer que o dito popular de que - “A força de uma corrente é proporcional ao seu elo mais fraco.” - é verdade, e pode ser transportado para o mundo da segurança da informação sem o menor problema. Não adianta as empresas gastarem seus orçamentos de segurança da informação em equipamentos, cursos técnicos e outras coisas mais se os seus usuários não forem bem preparados para lidar com algumas situações que, segundo os organizadores do evento, são bastante comuns para as empresas nos dias de hoje.

O que podemos concluir inicialmente e que pode ajudar e muito em nossos projetos é que, planos de treinamento de funcionários devem ser desenvolvidos na maior seriedade possível, e como tal devem ser realizados de forma periódica e constante. Somente desta forma, os problemas de vazamento de informações podem ser minimizados.

E quanto ao fato de que as 5 pessoas que se recusaram a dar informações serem mulheres, tem alguma relevância no processo ? Para os organizadores do teste não. Aparentemente a técnica e a forma como o teste foi construído não “afetou” diretamente as mulheres mas, isso não quer dizer que elas não possam ser alvo de Social Engineering, o que demonstra é que a forma como este teste foi realizado não teve o mesmo efeito em homens e mulheres.

Mas, o que impressiona mesmo nisso é que as 5 mulheres que não revelaram a informação, perceberam em 15 segundos de ligação que alguma coisa não estava certa e que logo após a frase - ‘This doesn’t seem right to me’, desligação o telefone.

Disso tudo fica uma lição muito valiosa. O treinamento deve ser um processo constante e sempre atualizado para refletir as novas técnicas e melhorar o conhecimento de seus funcionários mas, sempre lembrando que este tipo de técnica não surge somente por meio de telefonemas, surgem de muitas outras formas e estas outras formas podem ter efeitos diferentes dos encontrados nestes testes.

A música sempre tem relação com emoções, das mais diversas. Algumas pesquisas tem demostrado já a algum tempo que a música quando usada dentro de padrões adequados podem ajudar os profissionais na busca de sua melhor produtividade. A pergunta que sempre foi feito é se a música pode ajudar no melhor desenvolvimento de atividades e consequentemente no aumento da produtividade e qual tipo de música ?

Testes realizados na Universidade de Windsor no Canadá demonstraram que a música desempenha um papel fundamental na produtividade. No entanto, também foi constatado nesta pesquisa que, para aqueles que não estavam tão acostumados assim em escutar música no trabalho, o ganho não foi sentido tão rapidamente quanto para os outros que já tinham o hábito.

Pessoalmente acho que isso depende muito de vários fatores sendo o principal o momento em que esta música será usada. A música para trazer seus resultados deve ser agradável ao ouvinte, ou seja, pode ser que o meu gosto musical não seja agradável a outro e isso pode terminar trazendo problemas para a pessoal que não esta gostando do estilo ou mesmo da música.

Pesquisas indicam que músicas que são gravadas com BPM de 120 a 160 apresentam maiores resultados. Ainda, músicas clássicas tem tido mais benefícios para vários grupos de pessoas. Estas características podem representar que músicas instrumentais, talvez por não distrais a atenção com a necessidade de atenção a letra, possam melhorar a produtividade.

Acredito que no trabalho sempre é bom tem alguma coisa que nos ajude a melhorar nossa produtividade mas, sempre observando algum padrões básicos de comportamento como :

1 - Não escute suas músicas tão alto que possa distrais seus colegas;
2 - Quando for ouvir música, procure avisar seus colegas para lhe avisar quando precisarem falar com você;
3 - Observe se na cultura da empresa é permitido usar aparelhos de ouvido para escutar música;

Para aqueles que já estão acostumados com música, ainda podem experimentar algumas outras coisas. Existem alguns tipos de sons que podem ajudar, são os chamados ‘white, brown and pink sounds’, e podem ser criados por alguns aplicativos para computadores ou baixados em arquivos mp3 para seu iPod. Para os que usam Mac, posso sugerir o aplicativos NoiseUB, que tem duas opções de som, o pink e o white.

Mas se este tipo de som não lhe agrada, não importa, monte a sua própria lista de músicas. Eu tenho algumas e dependendo do meu humor, estado ou situação uso uma delas. Em algumas uso músicas de metal, como Iron ou Metallica, em outras músicas mais calmas como Enia e Sarah Brightman, na verdade não importa muito, o que vale é você se sentir bem e focado.