Investimento em segurança TI tende a crescer

Estudo da GMG Insights encomendado pela Computer Associates (CA) mostra que a crise financeira mundial deve levar a um aumento de gastos em segurança de TI.

A pesquisa revela que 42% das empresas pretendem aumentar os gastos com segurança em TI em 2009. Participaram 400 diretores de TI ou profissionais de cargo superior de empresas de grande e médio porte da América do Norte, Europa, Ásia/Pacífico e América do Sul.

A explicação das empresas está em dois fatores principais:

  1. Segundo 78% das entrevistadas, a crise deve provocar surgimento de mais exigências regulatórias e, com elas, a necessidade da implementação e automação de mais controles, processos e relatórios para garantir conformidade regulatória.
  2. A crise tem forçado diversas empresas a promover reestruturações, muitas vezes com cortes e demissões, e 67% das empresas de médio porte consultadas e 73% das empresas de grande porte acreditam que isso aumentara as ameaças internas dos seus sistemas de TI.

Para os dois casos, o caminho passa por investimento em consultorias, produtos e serviços para segurança da informação e GRC (governança, risco e conformidade).

Atento sempre para o fato das ameaças internas. No senso comum das pessoas, “segurança” traz uma ideia que em geral se assemelha a “proteção contra os perigos que há lá fora”. Muitas vezes as empresas esquecem que os riscos internos são em geral muito mais prováveis, potencialmente muito mais facilmente danosos e, pior, pode ser difícil identificar e se proteger contra as ameaças internas.

A segurança perimetral, ou seja, fortalecer as fronteiras externas contra o mal externo, é uma necessidade óbvia, desde na vida do cidadão comum (pelo menos na maioria das metrópoles do Brasil, infelizmente…) até nas empresas. É a proteção natural do patrimônio. Na segurança física, segurança perimetral é colocar muros, cercas, trancas e cadeados, câmeras, sensores, alarmes, vigias etc. Na segurança de TI, envolve recursos como firewall, sistema de detecção/prevenção de intrusos (IDS/IPS), antivírus/antispam, canais externos seguros (HTTPS, IPSec, VPN, SSH, SFTP etc.), segmentação de redes e zona desmilitarizada (DMZ).

Mas e para o colaborador que se sente insatisfeito ou ameaçado, com más intenções, ingênuo, despreparado ou desleixado? Esse sim, tem muitos mais meios que um ladrão ou “hacker” externo. A ameaça interna tem crachá/identificação, acesso legítimo a dependências e a sistemas, e conhece a empresa, seus processos e mecanismos, as pessoas envolvidas e, quiçá, os pontos fracos. Muitas vezes, a ameaça interna já tem os meios que precisa para fazer danos. Basta haver a oportunidade e/ou o motivo.

Eu me recordo que já na 6ª Pesquisa Nacional sobre Segurança da Informação (PNSI), em 2000, realizada pela empresa brasileira Módulo Security, as ameaças internas já superavam os riscos externos responsáveis por problemas de segurança:

[photopress:6pnsi_ameacas.png,full,centered]

Fonte: 6ª PNSI, Módulo Security Solutions, 29 de junho de 2000.

O mal pode estar do seu lado…

Para saber mais:

Calcular Páscoa e celebrações relacionadas

A Páscoa

A apresentação mais interessante (e concisa) que achei para a data da Páscoa foi no material do prof. Kepler de Souza Oliveira Filho, do Departamento de Astronomia e Astrofísica, Instituto de Física, da UFRGS:

A páscoa judaica (Pesach), que ocorre 163 dias antes do início do ano judaico, foi instituída na epoca de Moisés, uma festa comemorativa feita a Deus em agradecimento à libertação do povo de Israel escravizado pelo Faraó, o rei do Egito. Esta data não é a mesma da Páscoa Juliana e Gregoriana.

O dia da Páscoa cristã, que marca a ressurreição de Cristo, de acordo com o decreto do papa Gregório XIII (Ugo Boncampagni, 1502-1585), Inter Gravissimas em 24/02/1582, seguindo o primeiro concílio de Nicéia de 325 d.C., convocado pelo imperador romano Constantino, é o primeiro domingo depois da Lua Cheia que ocorre em ou logo após 21 de março, data fixada para o equinócio de Primavera no hemisfério norte.

Entretanto, a data da Lua Cheia não é a real, mas a definida nas Tabelas Eclesiásticas, que, sem levar totalmente em conta o movimento complexo da Lua, podia ser calculada facilmente, e está próxima da lua real.

De acordo com essas regras, a Páscoa nunca acontece antes de 22 de março nem depois de 25 de abril.

Cálculo da data da Páscoa

Com base nas regras, foram desenvolvidos ao longo do tempo diversas técnicas e algoritmos para o Cálculo da Páscoa, ou Computus em inglês (calculation of the date of Easter), em cada ano do calendário cristão, em especial no Calendário Gregoriano utilizado no Brasil e muitos outros países latinos.

Relaciono a seguir as melhores referências que coletei a respeito:

Datas móveis relacionadas

Dada a data da Páscoa, temos as seguintes celebrações, todas em dias da semana fixos:

  • Terça-feira de Carnaval ocorre 47 dias antes da Páscoa; celebração pagã;
  • Quarta-feira de Cinzas (Ash) ocorre 46 dias antes da Páscoa; início do período da Quaresma (Lent) [1], [2];
  • Domingo de Ramos ocorre sete dias antes da Páscoa, marcando a abertura da Semana Santa; festa litúrgica que celebra a entrada de Jesus Cristo na cidade de Jerusalém;
  • Quinta-feira Santa ocorre três dias antes da Páscoa; marca o fim da Quaresma e início do Tríduo Pascal na Semana Santa; celebração da ultima ceia de Jesus Cristo com os doze apóstolos;
  • Sexta-feira da Paixão ocorre dois dias antes da Páscoa, na Semana Santa; dia em que os cristãos contemplam a paixão e morte de Jesus Cristo;
  • Domingo de Páscoa (Easter); celebração da Ressurreição de Jesus Cristo;
  • Domingo de Pentecostes ocorre no 50º dia desde a Páscoa;
  • Domingo da Santíssima Trindade é o domingo seguinte ao de Pentecostes;
  • Quinta-feira de Corpus Christi (Corpo de Deus) ocorre no 60 dias após a Páscoa; celebração da presença do corpo de Cristo na Eucaristia.

Oracle compra Sun

Sun + Oracle logo

Depois de uma tentativa frustrada da IBM em comprar a Sun Microsystems, a Oracle anunciou hoje acordo para comprar a Sun por US$ 7,4 bilhões.

Eis tradução livre do texto introdutório no portal da Oracle.com:

Em 20 de abril de 2009, Oracle anunciou que entrou em acordo com a Sun Microsystems (Sun). A transação proposta está sujeita a aprovação pelos acionistas da Sun, certas aprovações regulatórias e costumeiras condições finais. Até que o acordo seja concluído, cada empresa continuará a operar independentemente, e fazer negócios como usual.

A aquisição combina o que há de melhor em software corporativo e sistemas de computação missão-crítica. Oracle planeja construir e distribuir um sistema integrado — aplicações até disco — onde todas as peças se encaixam e trabalham juntas para que clientes não tenham que juntar tudo por si mesmos. Clientes se beneficiam na medida em que seus custos de integração de sistemas caem, enquanto desempenho, confiabilidade e segurança do sistema aumentam.

Os principais pontos notáveis de produtos, serviços e tecnologia envolvidos na fusão dos dois gigantes, na minha opinião, são:

Hardware:
Oracle herda a extensa linha de servidores (Sparc e x86/x64) e storages da Sun. Apesar de parecer estranho imaginar Oracle como fornecedor de hardware, deve ser a aquisição mais estratégica, pois ela passa a deter todos os componentes para prover não só software gerenciador de banco de dados, mais um appliance de plataforma de banco de dados completa, totalmente integrada e otimizada e cada vez mais poderosa. Isso certamente interrompe a parceria com a HP — com quem em 2008 lançou o HP Oracle Exadata Storage Server como a máquina mais rápida do mundo para banco de dados — e piorar a situação de rivalidade (e, às vezes, parceria) com IBM.
Sistema Operacional:
Produtos Oracle já têm forte integração com Solaris e Linux, incluindo o programa Unbreakable Linux com a distribuição RedHat homologada. A incorporação do Solaris OS pode levar à integração ainda maior com o conceituado sistema da Sun, líder em plataformas RISC/Sparc.
Tecnologia:
Outra incorporação estratégica advinda da Sun: a liderança da tecnologia Java. A Oracle já apoiava a tecnologia Java de longa data, desde a incorporação da Java VM ao núcleo do banco de dados Oracle 8 até todo o investimento da Oracle na Plataforma Java EE como base das suas soluções em middleware. Depois de adquirir a BEA Systems, a incorporação da Sun criadora do Java deixa a Oracle como referência de peso da tecnologia, em uma liderança privilegiada à frente da IBM.
Middleware:
Primeiro, Oracle adquiriu a BEA, que competia com a IBM pela liderança de middleware (servidores de aplicação, SOA, BPM, integração). Agora incorpora o GlassFish Enterprise Server (oriundo do Sun Java System AS) e outras soluções middleware Sun. Com mais esta aquisição, a Oracle deixa definitivamente para trás o estigma de “empresa de banco de dados” e investe pesado na excelência e liderança também no mercado de middleware.
Banco de Dados:
Não bastasse a Oracle ser líder absoluto nesse campo, essa fusão traz o banco de dados livre líder no mercado, MySQL, adquirido em 2008 pela Sun na mesma época em que a Oracle adquiriu a BEA. O risco é se o MySQL perder força como competidor ou alternativa ao próprio Oracle Server.
Software livre:
Java, GlassFish, NetBeans, java.net, MySQL, Open Solaris, OpenOffice. Com a aquisição, vem toda a orientação e o investimento da Sun em software aberto, reforçando muito as iniciativas open source da Oracle. Resta saber se a Oracle vai alimentar ou minguar essa orientação, pois mesmo declarando algum compromisso com código aberto, na prática o “DNA” da Oracle é de forte apetite comercial.

Para saber mais (Atualizado em 2009-04-23):

Charada premiada – Uma promoção tecno-cultural do Blog do Márcio d’Ávila

Vou promover uma iniciativa inédita e experimental neste blog: um sorteio para os leitores participativos deste blog, concorrendo a brindes.

Vão ser sorteados aqui 10 brindes surpresa, oferecidos pela DevMedia, a quem acertar a charada e cumprir as tarefas, conforme a seguir.

Charada premiada:

  1. O contrário de “sem”.
  2. A expressão “Ande rápido!” em uma palavra só.
  3. Primeira letra do alfabeto.
  4. Duas mais duas menos três.
  5. “Desse jeito” em uma palavra só.
  6. “In ______”: alimento em seu estado natural. (latim)
  7. Concede, presenteia, doa, entrega. (duas letras)
  8. O general passou em _______ à tropa. (inspeção minuciosa)
  9. Palavras 26 a 29 do meu artigo Disseminando Engenharia de Software.

Desvende a charada acima e faça as duas seguintes tarefas:

  • Poste aqui neste artigo um comentário respondendo: “(1) O que o artigo citado no último item da charada divulga? (2) E qual a sua opinião a respeito daquele artigo?” Ao postar o comentário, você deve se identificar (nos campos próprios do comentário) com seu nome e e-mail corretos e verdadeiros. NÃO poste a solução da charada como comentário.
  • Envie para o e-mail blog-promo [arroba] mhavila.com.br, utilizando como remetente o endereço de e-mail com o qual você se identificou no comentário, uma mensagem de correio eletrônico, informando (1) seu nome completo, (2) sua cidade e estado de sua residência, (3) e a frase solução da charada.

Dica: Os dez brindes sorteados são todos iguais e são surpresa, mas quem resolver a charada corretamente vai saber…

Condições/Regulamento:

Participação: A participação é aberta aos leitores deste blog do Márcio d’Ávila, residentes no Brasil. Devido à natureza do brinde surpresa, é recomendável (embora não obrigatório) que o participante seja ligado à área de informática. Cada leitor do blog só pode participar uma única vez. Participações em duplicata da mesma pessoa, mesmo se utilizadas contas de e-mail distintas, serão descartadas, prevalecendo apenas a primeira participação (em ordem cronológica).

Privacidade: O seu e-mail, fornecido no campo apropriado do formulário e no remetente da mensagem, não é exibido no comentário e nem divulgado publicamente ou cedido a terceiros. Apenas os 10 ganhadores terão seu nome completo e e-mail fornecidos à DevMedia para contato e entrega do brinde. Quem me conhece ou acompanha meu blog sabe que eu trato segurança e privacidade a sério.

Período de participação: serão aceitas participações no período de 16 de abril de 2009 (publicação deste artigo) até as 23h59:59 do dia 8 de maio de 2009, horário de Brasília, considerado o selo de data-hora de recebimento da mensagem de correio eletrônico pelo servidor de e-mail da minha conta pessoal. Não me responsabilizo por quaisquer problemas técnicos no envio e transmissão dos comentários e/ou mensagens de correio eletrônico, que ficam desta forma considerados fatores de sorte e risco de cada participante desta promoção.

Critério do sorteio: Encerrado o período de participação, todos os participantes válidos serão ordenados por ordem cronológica de chegada. A cada um é então atribuído um número posicional iniciando do 1, até N (onde N é o número de participantes válidos). O critério de sorteio será: (1) tomar os números dos 5 prêmios da extração da Loteria Federal de 20/maio/2009 (quarta-feira) e os dos 5 prêmios da extração de 23/maio/2009 (sábado); (2) para cada um dos dez números de prêmio tomados, a posição do ganhador será P = (X mod N) + 1, onde X é o número do prêmio da Loteria Federal considerado e N o total de participantes; (3) se P for um ganhador já premiado, toma-se o próximo participante não premiado na ordem sequencial. Se por qualquer motivo não houver sorteio da Loteria em uma das duas datas previstas no item (1), será considerada a próxima extração distinta ocorrida imediatamente após a data prevista.

Resultado: A divulgação do resultado será feita por mim em comentário neste mesmo artigo deste blog, no prazo de até uma semana após a ocorrência da última extração da Loteria Federal considerada para o sorteio. Eventuais informações adicionais durante ou ao final da promoção também serão postadas por mim aqui neste artigo.

Entrega dos brindes: As datas e condições adicionais de entrega dos brindes serão de inteira responsabilidade da DevMedia, após a divulgação dos ganhadores aqui neste blog e consecutivo envio dos dados de nome completo e e-mail destes por mim à DevMedia.

Fair Play: Para que eu não seja obrigado a fazer um regulamento complicado e cheio de cláusulas, será presumido que todos os participantes devem seguir os princípios da boa fé, da honestidade e da razoabilidade. Quaisquer tentativas identificadas de fraude ou abuso serão passíveis de sumária desclassificação. Casos omissos serão resolvidos por mim dentro deste mesmo espírito de fair play.

Disseminando Engenharia de Software

A DevMedia, grupo de comunicação que publica no Brasil as revistas Java Magazine, SQL Magazine, Web Mobile, Clube Delphi e .net Magazine, lançou recentemente a Engenharia de Software Magazine, disponibilizada mensalmente, exclusivamente em meio digital para download (edição 1 gratuita).

É uma iniciativa pioneira para promover e disseminar a engenharia e a arquitetura de software, áreas que nos últimos anos tem se expandido em abrangência, complexidade e importância no projeto e desenvolvimento de sistemas. A revista abre espaço para boa informação em melhores práticas, metodologias, tecnologias, ferramentas, mercado e casos de sucesso.

Na área acadêmica, a Sociedade Brasileira de Computação (SBC) organiza anualmente, há mais de duas décadas, o Simpósio Brasileiro de Engenharia de Software (SBES). A 23ª edição do SBES ocorrerá de 5 a 9 de outubro em 2009 na UFC, em Fortaleza, Ceará, realizado junto com o Simpósio de Banco de Dados (SBBD).

Já com enfoque mais prático e no mesmo espírito da revista ES Magazine, a DevMedia organiza agora outro evento, a Engenharia de Software Conference, que será realizada nos dias 22 e 23 de maio deste ano em São Paulo, SP,

Com caráter inovador e independente, a Engenharia de Software Conference não tem patrocínio de nenhuma empresa fabricante de software, para garantir imparcialidade. Serão 40 horas de conteúdo, distribuídas em 30 palestras. A conferência é voltada para profissionais atuando no campo de engenharia de software. É uma oportunidade excelente de capacitação, divulgação e networking.

O evento da DevMedia conta com a presença de palestrantes renomados, como a keynote Ana Regina Rocha, uma das idealizadoras do Modelo Mps.Br (Melhoria de Processos do Software Brasileiro), implementadora e avaliadora SOFTEX e membro do grupo de pesquisa em Engenharia de Software da Universidade Federal do Rio de Janeiro.

Veja a seguir a divulgação do Engenharia de Software Conference.

Raras são as oportunidades de ter acesso a informações que realmente podem transformar sua carreira. Essa é uma delas.
Dias 22 e 23 de maio, a DevMedia promove em São Paulo o evento
Engenharia de Software Conference.

Serão 30 palestras que vão desde o projeto até o último teste de um software, passando pelos modernos conceitos de gerenciamento.

Com palestrantes renomados e temas pertinentes o evento promete excelentes oportunidades de aprendizado e networking.

Reserve sua agenda. Inscrições Limitadas


DevMedia

Gestão, administração e governança são ciência clara

Quem se formou técnico de TI e um dia se vê enveredando pela gestão de TI tem que aprender, o mais rápido possível: Gestão (de projetos, de processos, de recursos), administração e governança são ciências claras e objetivas, não são intuição nem tentativa-e-erro. Ou seja, também é essencial se formar gestor.

A cada conceito ou metodologia de gestão, administração e governança ao qual sou apresentado, vejo como tudo se encaixa — com a ressalva das devidas proporções e adaptações — na realidade.

Foi assim com os Níveis da administração, com o Zachman Framework, com a Pirâmide de Maslow. Igualmente assim com PMBOK, ITIL, COBIT, GRC.

Você começou técnico e acabou gestor? Meu conselho: Não perca tempo “batendo cabeça”, não reinvente a roda, não tateie no escuro. Estude, capacite-se e profissionalize-se já! É sábio aquele que aprende com seus erros e acertos. E esperto aquele que aprende com os dos outros.

Pode ser com curso(s), livros ou simplesmente navegando no mar de informação da internet. O importante é aprender e, então, praticar.