No dia 30 de maio, a partir das 8h da manhã, a Emescam sediará o 3º Workshop TIsaúde, com tema central “Segurança Digital”.
Segue abaixo o banner do evento e faça a sua inscrição, é GRATUITO!
3º Worshop TISaúde – Segurança Digital
Resposta
Arquivo da tag: Forense
Evento online com o tema: A Computação Forense e A Importância da Perícia no Inquérito Policial
Evento online: A Computação Forense e A Importância da Perícia no Inquérito Policial
No dia 30 de Março de 2015, segunda-feira, está marcado mais um evento online na sala de conferência com o apoio do Grupo Perícia Forense onde o tema principal será “A Computação Forense e a Importância da Perícia no Inquérito Policial“.
Contará com os moderadores desse evento o Especialista em Computação Forense – Roney Medice e o Delegado de Polícia – Emerson Wendt. O evento iniciará no horário de 20h30m (horário de Brasília) e terá a duração de 40 minutos para a explanação do assunto.
Ao final da apresentação, os participantes poderão formular perguntas e até tirar dúvidas com os moderadores.
Não perca. Anote em sua agenda: Dia 30/03/15, 20h30m. Para acessar, clique no link da sala abaixo:
Nova sala virtual do Grupo Perícia Forense
Pessoal,
Venho agradecer pela ajuda que tivemos na arrecadação de donativos para renovar a nossa assinatura de nossa sala virtual do Grupo Perícia Forense.
Desde já, todos estão convidados para conhecer a nossa sala virtual de eventos que ao longo do ano vamos promover diversos encontros virtuais com abordagem sobre Computação Forense e Segurança da Informação.
Aguardem!
Link de nossa sala: http://login.meetcheap.com/conference,periciaforense
O Grupo Pericia Forense precisa de sua ajuda.
O grupo Pericia Forense foi fundado em 08 de agosto de 2003 e hoje conta com 4.846 associados, que debatem assuntos diversos como:
* Análise de invasão em sistemas;
* Análise de arquivos de logs;
* Ferramentas (software/hardware) utilizados na perícia;
* Cyber Crimes/Delitos Informáticos/Computer Crimes;
* Cursos, seminários, livros, documentos;
* Testes de conhecimentos;
* Leis, cases, Etc…
Estamos solicitando uma ajuda de custo para continuarmos a manter a nossa sala virtual com capacidade para 100 pessoas onde iremos no Grupo Pericia Forense realizar palestras, debates e reuniões virtuais.
Estamos solicitando a contribuição de R$ 15,00 para manter essa sala durante 2 anos.
Já temos um site sobre o assunto: http://www.guiatecnico.com.br
Se deseja contribuir, preencha os dados abaixo e receberá o boleto em seu e-mail para pagamento:
Contamos com a sua ajuda!
Abraços,
Roney Medice
O evento RoadSec passou por mais uma cidade – Vitória-ES
Nesse sábado, dia 16 de agosto de 2014, o RoadSec aconteceu na cidade de Vitória-ES com o apoio da UVV – Universidade de Vila Velha que disponibilizou as suas dependências para a realização desse evento tão importante sobre Segurança da Informação.
Anderson Ramos
A abertura do evento foi oficializado em Vitória-ES pelo coordenador do RoadSec, Anderson Ramos, salientando a importância do Estado do Espírito Santo fomentar o assunto sobre Segurança da Informação e a necessidade dos profissionais de informática em participar mais ativamente dos eventos nessa área.
Agradeceu a presença de todos e deu início aos trabalhos apresentando o primeiro palestrante do evento.
Carolina Bozza
A primeira palestra do RoadSec foi comandada por Carolina Bozza, da CyberArk onde comentou sobre dispositivos de segurança, dentre eles o “cofre” de senhas para os ativos de rede.
A palestrante abordou a dificuldade de se criar uma senha segura e ao mesmo tempo, que não seja tão difícil ao ponto do usuário esquecê-la.
Exemplificou casos de usuários de informática que tem por hábito, anotar a senha em diversos locais como monitor, embaixo do teclado e outros lugares inapropriados.
Com um auditório lotado, os participantes puderam observar atentamente como estão as novidades do mercado de tecnologia, absorvendo conhecimento técnico e de gestão, ampliando o networking e fazendo novas amizades durante a realização das oficinas de desafios.
Participantes no auditório.
Um ponto que chamou bastante a atenção foi a grande participação efetiva dos presentes ao evento que não economizaram nas perguntas, sugestões ou críticas nos diversos assuntos abordados nas palestras durante o RoadSec em Vitória-ES.
Participação dos presentes durante o evento.
Alan Castro
O segundo palestrante do dia foi Alan Castro, da Symantec, o qual relatou uma pesquisa da Symantec referente aos tipos de riscos corporativos e as necessidades das pessoas em proteger os ativos de rede.
No ranking de riscos, estão os problemas com “hackers”, vírus, pessoas mal intencionadas e as vulnerabilidades de softwares.
Após um rápido coffe-break, o evento continuou com o palestrante da Actantes, Rodolfo Avelino que trouxe para o RoadSec assuntos como o cenário dos malwares no Brasil e os desafios para a privacidade e o anonimato na internet.
Um bate-papo descontraído e que gerou várias risadas ao público presente com exemplos e situações que vivemos em nosso cotidiano.
Rodolfo Avelino
Fechando a programação da parte da manhã no RoadSec em Vitória-ES, foi a vez de falar sobre um tema bem interessante e empolgante que é a Rede Tor e a Deep Web, os palestrantes Gilberto Sudré, Gustavo Martinelli e Gustavo Roberto.
Gilberto Sudré
Gustavo Martinelli e Gustavo Roberto
Após o intervalo de almoço, ocorreram as oficinas de desafios e as demais palestras conforme a programação do evento.
Fotos do evento:
 Ulysses Monteiro |
 Leomar Viegas |
 Ganhador do desafio H4ck4FL4G |
 Oficina de Robótica – Lego |
 Oficina – Lock Picking |
 Oficina – Lock Picking – Ferramentas |
Perito Judicial: os obstáculos para se fazer da Computação Forense uma profissão
No seriado americano CSI é possível ver peritos esclarecendo crimes através de ferramentas forenses, técnicas de investigação e muito ação nas ruas. Logicamente, no seriado temos uma grande pitada de sensacionalismo dramático com as investigações de homicídio que nada se parecem com os processos de investigação de crimes eletrônicos realizados aqui no Brasil.
Entretanto, o ato da investigação e da busca permanente de evidências utilizando-se de ferramentas forenses já não são exclusividades dos seriados estrangeiros. O perito judicial quando se depara com uma lide processual em que precisa responder aos quesitos (perguntas) das partes e do juízo, necessita de conhecimento técnico para realizar o seu trabalho de perícia e já dispõe de vários softwares forenses para realizar o seu trabalho.
Não basta ler um livro específico de computação forense ou realizar um curso específico de algumas horas em sua carga horária se o futuro perito não tiver uma base educacional em tecnologia. O que percebemos no judiciário é que há uma enxurrada de laudos periciais sendo contestados por bons advogados que, com a ajuda de verdadeiros assistentes de perito e formados em tecnologia, conseguem neutralizar um trabalho investigatório em favor do seu cliente utilizando meramente os conhecimentos de tecnologia para respaldar os argumentos que derrubam um laudo pericial.
Os peritos nomeados pelo juízo, nesses laudos periciais contestados e muitos até anulados, são realizados por pessoas de “confiança” do juízo mas sem o preparo técnico para tal. São administradores de empresa, engenheiro civil e outros profissionais de diversas áreas que só participaram no processo como perito pois fizeram em algum momento de suas vidas, uma especialização em tecnologia que, a princípio, daria um respaldo técnico em ser nomeados pelo juízo.
Contudo, sabemos que muitos peritos judiciais são indicados para realizar um laudo pericial devido a aproximação com o titular do Fórum, da Comarca e do próprio Tribunal. Precisamos levar em conta que esse tipo de atitude só afasta os bons peritos que poderiam dar uma melhor contribuição ao judiciário, trazendo repostas fundadas e esclarecedores para auxiliar na decisão final de uma sentença no processo.
Ainda assim, mesmo que o profissional de TI tenha uma qualificação especial para proporcionar um cadastro inicial no fórum como perito judicial, temos que lembrar que a frequência de nomeação como perito nos processos não é de intensa ocorrência. Resumindo: dependendo da comarca, mesmo que você esteja devidamente qualificado para se tornar um perito judicial, pode ser que seja nomeado umas três vez no ano para auxiliar o judiciário com os préstimos de seu conhecimento forense. E quando é nomeado!
Dependendo da esfera que pretenda “encarar” o exercício da computação forense, como a justiça trabalhista, os honorários possuem uma referência mediana e o valor máximo pago por cada perícia realizada para o Judiciário pode não ser atraente para o candidato a perito forense. Em determinados Estados da federação, é lastimável o valor irrisório que é pago para realizar um laudo pericial e ainda pior é o momento de receber: ao final do processo, quando recebe.
O Mercado está aquecendo para a computação forense mas a demanda de cursos pelo Brasil ainda é tímida. Não existem um número expressivo de cursos de pós-graduação em computação forense. Alguns cursos divulgam uma oportunidade para se especializar em computação forense mas quando se analisa a ementa e a grade curricular, muita matéria é de segurança da informação e poucas são realmente de computação forense.
Não estou aqui desiludindo ninguém a não querer trabalhar como perito forense ou com a computação forense mas veja as possibilidades ao seu redor antes de abandonar um real emprego no momento para decidir querer viver de renda do trabalho de perito forense.
Sugiro realizar atividades e serviços de conhecimento forense de forma particular, através de consultorias nas empresas ou até mesmo atuando como assistente de perito que é pago pelas partes para acompanhar o trabalho do perito judicial. Nesse caso, o pagamento do assistente é mais tranquilo e certo de se receber com menor tempo de espera.
A computação forense tem o seu “glamour” devido ao desconhecimento por grande parte dos profissionais de TI assim como as suas ferramentas forenses. Entretanto, temos que ter pés no chão e encarar o trabalho de um perito forense como qualquer trabalho honesto e duro de se executar.
Diante do exposto, incentivo a todo interessado em aprender um pouco mais sobre computação forense e quem sabe, trabalhar nessa área. Só precisa ter um pouco de interesse, dedicação nos estudos e uma boa sorte nos seus processos investigatórios.
Quem sabe não teremos no futuro bons investigadores forenses dominando o judiciário Brasileiro?
Até a próxima!
Espionagem na Tecnologia: a sua vida está sendo “monitorada” há muitos anos
As revelações bombásticas de ex-analista contratado pela NSA (Agência de Segurança Nacional dos EUA), Edward Snowden, que deixou o EUA e foi-se refugiar na Rússia trouxe a discussão em todo o mundo a respeito do tema: Espionagem.
Já sabemos que o conhecimento é o ativo mais importante de uma empresa, assim como as pessoas que trabalham dentro dela. Uma informação sigilosa mal guardada, é passível de levar a quebra de uma empresa. Basta que um determinado projeto revolucionário seja de conhecimento do concorrente que pronto, o estrago já está feito.
Imagina então quando informações sigilosas de uma sociedade inteira está disponível para um determinado Governo? E pior, sem o consentimento e nem de conhecimento dos coitados cidadãos que acreditam que possuem algum tipo de privacidade nos dias de hoje, que tanto nos esbarramos nos verdadeiros “Big Brothers” nas ruas e nos estabelecimentos comerciais.
Não é a toa que diversos países e autoridades mundiais ficaram em uma saia justa quando determinados documentos oficiais foram divulgados para o mundo, principalmente através da organização, sem fins lucrativos, WikiLeaks. Diversos problemas diplomáticos surgiram com a divulgação de informações secretas. Espionagem?!
Vamos nos remeter ao nosso cotidiano e verificar se também não estamos passíveis de espionagem tecnológica sem ao menos termos noção desse “monitoramento” diário. Antes de tudo, posso afirmar com total convicção: se você usa a tecnologia no seu cotidiano, nem que seja para receber ou realizar ligações de celular, desculpe mas… você está sendo monitorado.
A telefonia de celular, pelo próprio nome que caracteriza a forma de funcionamento do serviço móvel de telecomunicação, que se utiliza de antenas transmissoras de sinal de celular (as chamadas ERB – Estações Rádio Base) para levar o sinal da telefonia ao seu aparelho telefônico.
É a comunicação do seu celular com as várias antenas de celular em sua cidade que permite você se deslocar entre os bairros e municípios, falando no celular sem que a ligação seja interrompida (conhecido como Roaming). Quando isso acontece (a queda de sinal e é um gerador de reclamação nos Procons Estaduais) é porque uma determinada região está fora da área de cobertura de uma dessas antenas.
Mas o que tem a ver o sistema de telefonia celular com a espionagem tecnológica? Vou explicar: o seu celular enquanto passa de antena a antena para garantir que tenha sinal eu seu aparelho, existe uma comunicação entre as antenas ERB e o seu celular. Com isso, todo os seu percurso e trajeto dentro da cidade, fica registrado no sistema informatizado da operadora de telefonia por onde você passar, por onde passou e onde você está nesse momento. Em qual antena ERB, qual latitude e longitude (geolocalização).
Ou seja, se você tiver inimigos dentro da operadora de celular e alguém, mesmo que de forma ilícita, quiser saber onde você se encontra, basta acessar o sistema interno da operadora e te localizar em qual antena seu celular está “conectado”, ou melhor, recebendo o sinal de celular. Isso não é espionagem?
Não vamos muito longe. A navegação na internet é rica em rastros deixados no computador para indicar quando você acessou determinados sites, quais assuntos você frequentemente pesquisa no Google e assim, as empresas conseguem traçar o seu Perfil Econômico para divulgar produtos e serviços que tendem a se encaixar nas suas preferências.
Alguns vão falar que basta não aceitar os “cookies”, realizar a navegação privativa e outros recursos que dificultam essa “espionagem eletrônica”. Certíssimos! Mas convenhamos, esse procedimento de navegação é o padrão de todos internauta conectado na internet?
Claro que não! Você usa o gmail, hotmail, ou outro webmail gratuito? Já percebeu que os anúncios que aparecem em sua caixa postal ou dentro da plataforma do webmail, em forma de banners, são de produtos ou serviços que encaixam nas suas preferências pessoais ou profissionais?
Por exemplo, no gmail recebo anúncios de softwares, equipamentos de informática, ferramentas, etc. Como o gmail sabe disso? Bola de cristal? Nada, nesse caso, basta um algorítmico no webmail do gmail para percorrer os meus e-mails recebido e enviados e realizar uma indexação das palavras mais trocadas nos e-mails para se montar um perfil meu e assim, oferecer os produtos que mais tenho falado em meus e-mails.
O caso que mais chamou a atenção na mídia é os EUA gravarem todas as suas conversas que um dia você teve no Skype, MSN e outros meios. O servidor principal dessas plataformas ficam onde mesmo? Quando você loga, a sua base de dados com o seu cadastro na rede social está aonde? Em um servidor no Brasil? Claro que não. Está lá, na terra do Tio Sam.
Basta o Governo americano suspeitar de uma mensagem sua para você ser monitorado 24h. Se tiver conteúdo de terrorismo então, nem pense nas consequências. Aí que a espionagem acontecerá mesmo.
Ainda no Gmail, você pode perceber que as informações de quem acessa a sua conta e de qual IP você conectou o seu gmail, está tudo disponível para eles. Quer ver? Entre na sua conta do Gmail e ao final da página da caixa de entrada, no canto direito inferior da tela, procure por “Details” (“detalhes” para quem usa o tema em português – Brasil). Ficou surpreso? Olha a lista dos IP’s de onde você estava para entrar na sua conta, a data, a hora, a versão no navegador… Se você tem a informação é porque eles também tem. E pior, desde de quando você criou a sua conta.
Poderia dar inúmeros exemplos aqui mas eu só quero levar ao debate que não podemos nos surpreender quando alguém falar que estamos sendo espionados na internet. Já abrimos há muito tempo mão da privacidade em nome da comodidade (no casos de ter uma conta de e-mail sem pagar em troca do servidor saber o que eu gosto e o que eu ando fazendo).
Tem gente que se inscreve para determinados programas de televisão para expor toda a sua intimidade em troca de dinheiro. O que esperar então da tecnologia?
Só nos resta uma coisa: ter cuidado com aquilo que ainda temos controle porque de resto, o que você achava que era só seu, já faz parte da internet (e de todos) há muito tempo.
Até a próxima!
Algumas competências que todo profissional de Segurança da Informação deveria ter
Em um mercado competitivo e dinâmico, o profissional de tecnologia precisa se atualizar constantemente com as novas tecnologias que surgem para evitar ficar desatualizado e perder boas chances de trabalho por falta de qualificação técnica.
Entretanto, algumas competências profissionais não são necessariamente ligadas à tecnologia em si. São habilidades necessárias para um bom desenvolvimento do trabalho ligado a Segurança da Informação.
Por exemplo, é de suma importância que as pessoas que queiram trabalhar com segurança da informação saiba identificar o problema de segurança e tratá-los. Não adianta encontrar uma falha e não ter a menor ideia de como resolver. Encontrar a falha não quer dizer problema resolvido. Muitas pessoas passam com os olhos pelo problema e nem desconfiam qual é a origem da falha por simplesmente desconhecer alguns preceitos básicos da área, como atualizações, hotfix e fóruns especializados.
Nesse mercado, é importante resolver vulnerabilidades no menor tempo possível (logicamente quando as soluções são compatíveis com o que se espera) para evitar prejuízos maiores. Todavia, é necessário ter a competência de analisar se uma solução sugerida serve para determinadas falhas encontradas.
Outra competência básica para um profissional de segurança da informação é ter conhecimento das normas/procedimentos que regem determinadas áreas, como ABNT, SOX, RFC, etc. Dependendo do mercado que o profissional irá atuar, a empresa como um todo tem que atender as exigências de uma determinada norma. Por exemplo, as empresas bancárias/financeiras para entrar na bolsa de valores americana, devem seguir a norma SOX (Lei Sarbanes-Oxley).
Nessa norma, exige-se a criação de mecanismos de auditoria e controle de segurança confiável nas empresas, incluindo a criação de comitês internos para minimizar os riscos aos negócio, mantendo um controle nas operações e atividades da empresa, garantindo a rastreabilidade de qualquer ação realizada em seus sistemas e processos internos.
Executar constantes testes de segurança nos sistemas internos da empresa e emitir um laudo sobre a situação atual é dever inerente para quem trabalha nessa área. É através dos relatórios do resultado de testes de vulnerabilidade é que o profissional poderá tomar determinadas ações ou pelo menos planejar como e quando agir.
Não se pode esperar pelo pior (como a invasão dos sistemas ou paralisação total dos serviços) para entrar em ação. A inércia é um fator determinante para o fracasso de uma organização em relação as questões de segurança da informação pois dependendo do problema encontrado, o trabalho para correção pode ser inviável e aí, as consequências negativas graves serão inevitáveis.
É necessário a criação de procedimentos de investigação e busca de evidências para situações que exijam uma intervenção mais técnica e profissional para levantar a autoria de determinadas situações, algumas delas até criminosas. O ato de um funcionário apagar arquivos sigilosos da empresa ou alguma informação ser repassada para terceiros (sem ter autorização ou mediante suborno), é necessário investigar e chegar na autoria desse crime.
Com procedimentos claros e objetivos, o tempo para executar o processo de investigação será menor pois as ferramentas, o “onde” e “como” procurar está todo descrito no procedimento e que o profissional de segurança da informação saberá exatamente como agir nesses casos.
Com isso, percebemos que não é só de tecnologia que devemos saber quando falamos sobre segurança da informação. Algumas competências intrínsecas ao perfil desse funcionário devem ser atendidas para que a real segurança da informação não fique apenas no nome do cargo, e sim, na atividade fim.
Até a próxima!
Eu sei quem é você e o que faz: a Internet que me contou!
O uso cada vez mais de sistemas informatizados nos mostra o quanto mudamos os nossos hábitos e costumes na convivência dentro da sociedade. A moda do uso das redes sociais trouxe pontos positivos mas também elencou alguns pontos negativos, resultado normal para toda nova tecnologia que entra em nosso cotidiano.
Estamos vivendo no mundo da informação, época das novidades tecnológicas e o conforto que a internet nos proporciona de conhecer lugares sem precisar sair de casa. Quem nunca sonhou em conhecer a Disney ou viajar à Europa só para conhecer e ver como é a Torre Eiffel?!
Com o surgimento do Google (para alguns é o “Santo Google”) tudo ficou mais “perto” e mais fácil o acesso à informação. Museus, obras de arte, trabalhos acadêmicos: tudo isso com um simples toque no teclado, você dá a volta ao mundo em questões de minutos. É uma diversão interessante mas ao mesmo tempo preocupante.
Tratando de redes sociais, que é a febre do momento, percebemos milhares de usuários conectados e felizes por reencontrar velhos amigos, criando assim, o seu círculo de amizades no mundo virtual através da permissão de adicionar o perfil do amigo em sua rede social. Dessa forma, temos um ponto positivo do uso da rede social que é aproximar as pessoas que estão distantes.
O perfil de usuário, nada mais é do que um tipo de cadastro de informações do usuário virtual que traz uma série de informações vinculadas ao dono do perfil. Por exemplo, se eu quiser entrar em uma rede social, tenho que me cadastrar na rede e assim, criar um perfil para que as outras pessoas possam me reconhecer e a partir desse momento, requisitar uma permissão para que eu possa fazer parte da rede social dela.
Nesse momento, dependendo da pessoa que está criando o perfil social, os problemas podem começar a aparecer. Tem gente que gosta de divulgar o maior número possível de informações pessoais e postar na internet, acreditando que assim, vários amigos possam o encontrar com mais facilidade. Outros, são exibidos mesmo, além de contar onde moram, o que fazem, onde trabalham, quantas meninas já pegou, posta a foto pessoal e algumas fotos da casa de praia, do carrão do ano, da lancha, etc.
Essas pessoas não possuem a noção que a vida delas está virando um livro de páginas abertas. Uma simples pesquisa na internet e pronto, todas as informações necessárias que um criminoso precisa para praticar algum crime, já fica por satisfeito para cometer as suas intenções com o resultado obtido.
É muito fácil checar se realmente isso faz sentido do que tratamos até aqui. Entre no site do Google (www.google.com.br) e pesquise o seu nome. De preferência, coloque o nome e sobrenome entre aspas, tipo: “Fulano de tal” e veja o resultado. Muitos links de resultado? Passou dos 1.000 sites na resposta da pesquisa? Está na hora de verificar o que você anda postando na internet. Pesquise também na área de imagens do Google, você irá se surpreender.
Entretanto, tem pessoas que usam a internet para realizar o seu marketing digital. Sem problemas, o que precisa se levar em conta é o montante que as nossas informações confidencias estão disponíveis na internet sem o nosso consentimento. Basta uma informação confidencial ser descoberta na internet para que você tenha uma baita dor de cabeça para o resto de sua vida.
Em momento oportuno, tratarei de um artigo específico sobre a influência da tecnologia na vida profissional e social de cada pessoa. É um assunto, que ao meu ver, merece uma atenção muito especial principalmente com as nossas crianças de hoje, que buscam fazer sucesso na internet postando vídeos engraçados (e muita das vezes, degradantes) sem pensar que isso vai refletir em sua vida profissional.
E você, o que será que o Google diz sobre você?
Até a próxima!
Segurança da Informação: a falha do TI em alterar dados do ERP com comandos SQL
As empresas brasileiras, diariamente processam milhões de bytes em informação com os mais variados tipos de dados a serem armazenados nos bancos de dados existentes nas corporações. São utilizados inúmeros aplicativos de informática para gerenciar esse contingente todo de dados que são importantes tanto para o empresário como para o governo.
O mercado está repleto de soluções tecnológicas para suprir a necessidade de se armazenar e gerenciar um conteúdo cada vez mais importante para as atividades empresariais e para tanto, necessita acompanhar a evolução tecnológica garantido a integridade e a confiabilidade de seus sistemas de computadores, transparecendo cuidado e zelo para os clientes e acionistas.
Profissionais de TI são contratados todos os dias para conseguir manter esse ritmo de backup, desenvolvimento de sistemas, análise de vulnerabilidade dos aplicativos e outras funções bem específicas envolvendo banco de dados. Não se imagina mais uma empresa controlando os seus lançamentos contábeis nos históricos “livro caixa” ou algo semelhante. É necessário o uso da informática.
Passamos todo o tempo escutando que devemos criar senhas seguras para evitar um acesso não autorizado nos sistemas e assim, manter as informações confidenciais longe das pessoas que não precisam ter um acesso às informações sigilosas e que possam realizar alguma ação que traga prejuízo para a empresa.
Observamos nas empresas que os softwares de gerenciamento de informação, os conhecidos ERP (Enterprise Resource Planning) que são os sistemas integrados de gestão empresarial, não é qualquer usuário que consegue entrar no software e muito menos tem permissão livre para fazer o que bem entender na plataforma corporativa.
Normalmente, o responsável pelo setor de TI possui uma conta de acesso com permissões mais permissivas que uma conta de um usuário de qualquer outro setor. Entretanto, para efeito da premissa de Segurança da Informação, o responsável de TI deveria ter uma conta de acesso como usuário e sem permissão de alteração, inserção e muito menos conseguir deletar qualquer informação no banco de dados, através do sistema.
Não é função do TI ser usuário do sistema ERP. Na verdade, e esse ponto é muito difícil para que os empresários tenham em mente, é que o TI não faz parte do grupo de pessoas que precisam trabalhar no ambiente do ERP. TI não é usuário de ERP. No máximo é o setor de apoio para a empresa, digamos: Setor de TI é SUPORTE!
Entretanto, cansei de observar grandes gestores da informática recebendo solicitação de departamentos internos na empresa para fazer um “favor” em determinados casos, facilitando a vida dos verdadeiros usuários do ERP. Isso deveria ser crime!
O motivo dessa opinião é que como já disse, o TI não é usuário do sistema, e sim, é apoio. Na segurança da informação, deve existir um mecanismo para identificar as mudanças que ocorrem no banco de dados tais como um log, que fica registrado qual o usuário que alterou uma informação no banco de dados, que dia, que horas, motivo e outras informações importantes para contribuir para uma possível auditoria no futuro.
Contudo, profissionais de TI gostam de demonstrar que tem o “poder” na mão e realizam a façanha de usar as aptidões de SQL (quando o banco de dados é possível ser alterado por sql) e realiza as devidas alterações dos dados conforme solicitação de terceiros. Dessa forma, essa mudança de informação diretamente no banco fere o princípio da inviolabilidade, confidencialidade, integridade e autenticidade.
Uma pergunta que é necessário fazer: qual o sentido de existir um login e uma senha para acesso ao ERP e que cada login tem as suas permissões estabelecidas para configurar o que o usuário pode ou não pode fazer dentro do sistemas corporativo se é mais fácil burlar essas regras pedindo ao setor de TI que faças as alterações cujo usuário comum não pode?
As informações gravadas no banco de dados não são de autoria do pessoal de TI. Eu disse autoria. Não se discute a responsabilidade para atender o princípio da disponibilidade. O que eu tento levantar é que, mesmo tendo um DBA na empresa, ele não altera as informações gravadas pelos usuários. No máximo ele cuida da manutenção do banco de dados, quanto a sua estrutura, índices das tabelas e um possível “roll back” quando ele mesmo erra um comando de manutenção no banco.
Se um DBA que é o especialista em banco de dados não deve alterar os dados inseridos no banco, qual a razão para que os meros mortais em tecnologia o devem fazer?
Nesse caso, eu simplesmente vejo que o sistema ERP não tem mais a segurança devida pois se o setor de TI pode alterar as informações gravadas no banco, como confiar que uma determinada informação foi registrada por um usuário e posteriormente não foi alterada?
Até a próxima!
Roney Médice 