CSO:CYBER

Manter um processo de BCP e DRP é muito mais complexo do que se possa imaginar e requer tempo e recursos; grandes corporações possuem uma área exclusiva e dedicada para esta matéria e pequenos detalhes geram muitas dúvidas Muito se fala de Continuidade de Negócio, ou da sigla em inglês “Business Continuity Plan” (BCP), pela área de Tecnologia e, ainda, nos times de Infosec. Este tema parece ser tão conhecido por parte destes profissionais, mas, ao mesmo tempo, é um assunto muito distante do esperado. Diante dos ataques de 11 de setembro de 2001, nos EUA, eu trabalhava para um banco americano e me lembro deste evento, ocorrido nas Torres Gêmeas do World Trade Center em Nova York, que desabaram depois que dois aviões comerciais colidiram. Infelizmente foi um evento triste para a humanidade, mas despertou uma nova forma de olhar para o quesito da continuidade das operações críticas de negócios. Lembro que, naquela manhã, quando cheguei ao banco no centro de São Paulo, imediatamente ...

Seu papel nunca será o mesmo em uma organização: o relacionamento com times de tecnologia, desenvolvimento, arquitetura e business, será um terreno hostil e você precisará mergulhar fundo, sem medo, para alcançar patamares jamais explorados ou experimentados Finalmente chegou o dia e você foi escolhido para assumir uma posição de líder de segurança, seja um CSO, CISO, Gerente de Segurança, etc. Ao mesmo tempo que uma insegurança passa pela mente você precisa, então, ser confiante e resiliente ao desafio e responsabilidade que lhe foi atribuída. Talvez esteja se perguntando: por onde começar? Entretanto, gostaria de aprofundar alguns pontos neste artigo e, honestamente, o papel de um líder de segurança nunca será o mesmo em uma organização. Literalmente, seu relacionamento com times de tecnologia, desenvolvimento, arquitetura e business, será um terreno hostil e você precisará mergulhar fundo, sem medo, para alcançar patamares jamais explorados ou experimentados. O sentimento de nã...

Pensar como hacker, saber explorar brechas criando ou editando códigos e entender como falhas de segurança são utilizadas pode ajudar no entendimento e gerenciamento da aplicação de correções e patches Há dois meses mencionei em um artigo “Avance ao ‘Next Level’ de Segurança” o desafio de manter um sistema ou serviço atualizado mediante o tempo que a vulnerabilidade é descoberta versus o tempo de aplicar uma correção em meados do ano de 2000. Notório que os fabricantes por um lado desenvolviam novas softwares consequentemente traziam novas vulnerabilidades e os mais explorados naquela época era os webservers, seja na plataforma Unix, Linux ou Windows ainda não eram tão maduros. Evidentemente que serviços como DNS, FTP, Telnet, Netbios, entre outros, também eram massacrados. Crackers usavam suas habilidades para criarem exploits, a fim de explorar vulnerabilidades em serviços de Internet e, na época, como eu trabalhava para um banco americano, foram muitas madrugadas viradas para ...

O CISO por definição é o executivo do alto escalão responsável pelo desenvolvimento e implementação de um programa de Cybersecurity. Este artigo de Gary Hayslip apresenta de uma forma interesssante as fases da carreira de um infosec professional até chegar a posição de CISO. Clique aqui para ler o artigo completo.

It’s an exciting day for you as you get off the phone from speaking with a company that has reached out to you about a CISO role they have available. You have been working in the information technology and cybersecurity fields for several years, and through the experience gained from previous positions, you feel you are ready to be a CISO. Click  here  to read this article.

Machine Learning, Inteligência Artificial, Internet of Things (IoT), Big Data... Enfim, toda esta sopa de letras com certeza facilitará a vida dos gestores de Segurança da Informação, promovendo novas formas de medir, detectar e reconhecer ataques cibernéticos Na década de 90 a Internet se tornou popular no Brasil e, em meados de 1995 esta tecnologia é introduzida nas empresas e nas casas dos brasileiros tupiniquins, ainda com uma velocidade muito precária com modem de 9.600 bps, 14.400 bps e 28.800 bps, e foi se radicalizando no meio corporativo. Na época ainda muito centralizada por profissionais e hackers apaixonados por tecnologia com um computador e um modem acessavam os famosos Bulletin Board System (BBS) em sistemas PC Board e similares introduzidos pelos primeiros provedores como Mandic BBS Internet, DialData e NutecNet. Como era SysOp (Operator System) em um destes provedores, lembro como era delicado configurar um Windows 3.11 com Dial-Up, pois o mesmo não suportava o sui...

Líderes deveriam avaliar a viabilidade de aderir a estes programas, pois, além de ajudar e incentivar a comunidade hacker a utilizar seus conhecimentos para proteger a sociedade, ainda podem receber um bom prêmio O relatório Security Report 2017 da HackerOne apresentou a existência de mais 800 programas de recompensa e compensação para pesquisadores de segurança (white hats) que divulgassem bugs em sistemas de empresas que aderem ao programa. Perto de 50.000 vulnerabilidades de segurança foram resolvidas por clientes em 2017 e 20.000 em 2016 individualmente. Empresas como Facebook, General Motors, StarBucks, Uber, U.S. Department of Defense, Lufhansa, Microsoft, Nitendo, entre outras, já abraçaram a iniciativa e estão recompensando hackers até $900.000 em prêmios e recompensas por ano para Bounty Awards Program. O relatório da HackerOne ressalta que houve um crescimento médio de 41% em 2016 e 16% para críticos issues desde 2015. Apesar do crescimento deste programa ainda 94% das pri...