Arquitetura TI

Publicações arquivadas desta categoria

Seg 25 Jan 2010

Comparando ITIL e ISO 20000

Publicado por Márcio sob Arquitetura TI , Gestão , Citações
Sem Comentários 

O interessante artigo A ITIL E A ISO/IEC 20000 – O que elas têm em comum?, por Luciene Rosa, publicado em 11 de janeiro no portal de conteúdo da empresa Módulo, aborda e correlaciona dois dos principais modelos amplamente reconhecidos para o Gerenciamento de Serviços de TI (GSTI): ITIL e ISO 20000.

ITIL — Information Technology Infrastructure Library — é um conjunto de melhores práticas aplicáveis a infraestrutura, operação e manutenção de serviços de tecnologia da informação (TI). Foi desenvolvido no final dos anos 1980 pela CCTA (Central Computer and Telecommunications Agency) e atualmente está sob custódia do OGC (Office for Government Commerce) da Inglaterra.

Já a NBR ISO/IEC 20000 — Tecnologia da Informação - Gerenciamento de serviços — é a primeira norma internacional que visa definir um padrão mundial para o GSTI, através da uniformização dos conceitos e da visão dos processos que o implementam. Oriunda do padrão britânico BS 15000, foi evoluída para norma internacional pelo ISO/IEC em 2005, e publicada em português no Brasil pela ABNT em 2008.

Ficou de fora do artigo citado o modelo COBIT — Control Objectives for Information and related Technology — publicado pelo IT Governance Institute (ITGI), Information Systems Audit and Control Association (ISACA), EUA, que tem foco na gestão dos serviços de TI, abordando aspectos como controle, segurança e governança nos domínios de planejamento e organização, aquisições e implementação, entrega e suporte, e monitoramento e avaliação.

Para saber mais: referências sobre Governança e Gerenciamento de Serviços de TI, por Márcio d’Ávila.

 

Qua 2 Dez 2009

Mercado de ECM 2009

Publicado por Márcio sob Software , Arquitetura TI , Documento e Informação
[6] Comentários 

Finalmente! Esperava pela atualização das análises do mercado de ECM pelos principais institutos, desde a aquisição da Vignette pela Open Text, e foram publicados o Quadrante Mágico do Gartner, e o Forrester Wave, para 2009.

No que os dois relatórios 2009 tem consenso: EMC, IBM, Oracle e Open Text mantém forte liderança nesse mercado.

No que divergem: Para o Forrester, Microsoft avança e ganha momento mas tem diversas lacunas de funcionalidade, se posicionando apenas como forte competidor. Além disso, por seus critérios Hyland e HP são alternativas competitivas no nicho de conteúdo transacional e de negócios, sendo competentes em document management, imaging and capture, e records management; mas ficam devendo forte suporte em áreas como Web (WCM), document output management e digital asset management. E o open source Alfresco, embora mais atrás, tem aumentado sua amplitude na cobertura de ECM para desafiar os players proprietários como alternativa de baixo custo.

Já no critério do Gartner, Microsoft se posiciona tão líder quanto os outros quatro grandes, e Hyland (OnBase) e Autonomy (que adquiriu a Interwoven em março 2009) são respectivamente um desafiante e um visionário muito próximos de adentrarem o quadrante líder.

ecm forrester wave 2009 - Forrester Wave ECM 2009

Fonte: Forrester, The Forrester Wave™: Enterprise Content Management Suites, Q4 2009 [PDF]; 2009-11-12; por Stephen Powers, Brian W. Hill, and Craig Le Clair; para profissionais de Information & Knowledge Management; reproduzido por Oracle.

ecm gartner quadrante 2009 - Quadrante Mágico Gartner ECM 2009

Fonte: Gartner, Quadrante Mágico para Enterprise Content Management, 2009 [PDF]; 2009-10-15; por Toby Bell, Karen M. Shegda, Mark R. Gilbert, Kenneth Chin, Mick MacComascaigh; reproduzido por EMC, também por Oracle.

Veja também o relatório do instituto Datamonitor Documents and Records Management: An Analysis of Market Trends to 2013 (Strategic Focus), fevereiro 2009, em Scribd.

Records Management / Gestão Arquivística Documental

No meio do ano o Forrester já publicara uma análise específica sobre os fornecedores de soluções em Records Management (RM), que em português podemos chamar de Gestão Arquivística de Documentos (GAD). GAD/RM é um dos componentes do universo de ECM.

De acordo como normas como o padrão internacional ISO 15489:2001 - Information and documentation — Records management Part 1: General e Part 2: Guidelines (originário do Padrão Australiano - AS), assim como normas e legislação do Brasil, os documentos arquivísticos são a informação registrada, produzida e recebida no decorrer das atividades de um órgão, entidade ou pessoa, dotada de organicidade e que sirva de prova dessas atividades. Os documentos e arquivos podem ser públicos (relativos ao poder, órgãos, agentes, empresas e serviços públicos) ou privados.

E a gestão arquivística consiste nos procedimentos referentes à produção, tramitação, uso, avaliação e arquivamento destes documentos em fase corrente e intermediária, visando a sua eliminação ou recolhimento para guarda permanente. (Resolução nº 20 Conarq, Art. 1º) Um elemento essencial para a gestão arquivística é a manutenção e aplicação de uma tabela de classificação (por assunto), temporalidade e destinação (ciclo de vida) de documentos.

Os quatro grandes de ECM também se posicionam na liderança desse segmento, mas existem outros dois líderes até mais fortes que os demais quando o foco é RM/GAD: Computer Associates (CA) e Autonomy (baseada na aquisição da Meridio em 2007).

gad forrester wave q2 2009 - Forrester Wave Records Management Q2 2009

Fonte: Forrester, The Forrester Wave™: Records Management, Q2 2009 [PDF]; 2009-06-23; por Brian W. Hill; para profissionais de Information & Knowledge Management; reproduzido por Oracle.

A área de Records Management nos Estados Unidos é muito direcionada em torno dos padrões de conformidade exigidos pelo Departamento de Defesa Americano (DoD). Mas os fornecedores de GAD também tem buscado certificação aderente aos dois mais proeminentes modelos mundiais: o Victorian Electronic Records Strategy (VERS) do Governo Australiano, e o MoReq2 - Model Requirements for the management of electronic records Europeu.

gad forrester certif 2009 - gad forrester certif 2009

O MoReq2 é originário do modelo inglês MoReq. Estes modelos foram a base de referência para o padrão brasileiro e-ARQ Brasil [PDF] do CONARQ - Conselho Nacional de Arquivos, bem como o recente MoReq-Jus - Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Poder Judiciário do CNJ - Conselho Nacional de Justiça.

Para saber mais:

 

Ter 15 Set 2009

Quadrantes Mágicos BI atualizados

Publicado por Márcio sob Software , Arquitetura TI , Oracle , Gestão
Sem Comentários 

Ontem falei da atualização de mercado do relatório de Quadrante Mágico do Gartner para ECM/WCM.

Hoje atualizo os quadrantes mágicos para as plataformas de inteligência de negócios (business intelligence - BI), desde meu artigo com a visão geral das ferramentas e do mercado de BI em 2008.

Magic Quadrant for Business Intelligence Platforms, 2009, por James Richardson, Kurt Schlegel, Rita L. Sallam e Bill Hostmann, 2009-01-16, Gartner. Reproduzido por MicroStrategy (PDF, requer registro gratuito); Oracle (Press: Oracle Placed in Leaders Quadrant in Latest Business Intelligence Platforms Magic Quadrant, 2009-01-22; Industry Analyst Reports sobre Oracle BI).

bi gartner magicq 2009 - Gartner Quadrante Mágico BI 2009

Fonte: Gartner, janeiro 2009.

Líderes: IBM (Cognos), Oracle, SAS, Microsoft, SAP (Business Objects), Information Builders, Microstrategy.

Magic Quadrant for Corporate Performance Management Suites, 2009, por Neil Chandler, Nigel Rayner, John E. Van Decker e James Holincheck, 2009-04-30, Gartner. Reproduzido por Oracle (Press: Leading Analyst Firm Positions Oracle’s Hyperion in Leaders Quadrant for Corporate Performance Management Suites, 2009-01-07; Industry Analyst Reports sobre Oracle EPM).

bi gartner magicq cpm 2009 - Gartner BI Quadrante Mágico CPM Suites 2009

Fonte: Gartner, abril 2009.

Líderes: Oracle (Hyperion), SAP (Business Objects), IBM (Cognos).

 

Seg 14 Set 2009

Atualizando mercado de WCM

Publicado por Márcio sob Internet , Web , Arquitetura TI , Tecnologia , Documento e Informação
1 Comentário 

Em maio, comentei sobre a Fusões de gigantes também no mercado de ECM, quando ocorreu a compra da Vignette pela Open Text. Aproveitei para fazer um panorama atual sobre o mercado de Gestão de Conteúdo Corporativo (ECM).

Em 5 de agosto último saiu o Quadrante Mágico para Web Content Management (WCM) do Garner, para o mercado de gestão de conteúdo web (um segmento específico do ECM), de autoria dos analistas Mick MacComascaigh, Toby Bell e Mark R. Gilbert, Gartner.

ecm gartner quarante wcm 2009 - ECM Gartner Quadrante Mágico WCM 2009

Fonte: Gartner, agosto 2009, reproduzido por Oracle (Industry Analyst Reports sobre Oracle ECM/WCM).

A Oracle se posiciona este ano como líder, emparelhada com Autonomy, Open Text e SDL.

Irina Guseva comentou a análise em Parsing Gartner’s 2009 Magic Quadrant for Web Content Management em artigo para CMS Wire, 2009-08-10.

E ainda neste mês de setembro deve sair o novo relatório anual do Gartner com o Quadrante Mágico para ECM 2009. Vamos aguardar que alguma das principais empresas fornecedoras divulgue a análise para o público.

 

Qui 10 Set 2009

Segurança das aplicações web

Publicado por Márcio sob Segurança , Software , Arquitetura TI , Tecnologia , Ensaios , FAQ
Sem Comentários 

Depois do incidente de segurança envolvendo o portal da operadora Vivo que abordei ontem, um artigo de hoje da IT Web tem tudo a ver: 5 lições de segurança, por Greg Shipley, Tyler Allison e Tom Wabiszczewicz, da empresa Neohapsis especializada em GRC (GRC em inglês), para InformationWeek EUA, 10/09/2009.

No artigo, os especialistas quebram o silêncio típico do mundo corporativo sobre segurança e trazem uma síntese de sua experiência em observação direta das brechas de segurança do mundo real onde realizaram investigações forenses, para ajudar as empresas a entender como essas brechas acontecem e o que se pode fazer sobre elas.

Eles ressaltam: “Após centenas de casos, podemos afirmar, sem sombra de dúvidas, que os ataques estão mais sofisticados do que nunca. Com agilidade, eles exploram controles de segurança falhos e práticas operacionais negligentes e, munidos com ferramentas comuns para gerenciamento de rede, adaptam malwares. Táticas e tecnologias de segurança da informação também progrediram, mas não no mesmo ritmo.”

O mais admirável é que os recursos para mitigar as brechas de segurança são métodos razoáveis e bem conhecidos. O que é preciso é um esforço para que esses métodos sejam implementados e continuamente praticados de forma mais ampla e efetiva pelas corporações.

Problema - vulnerabilidades e ameaças nas aplicações

O Website de uma empresa geralmente serve como porta de entrada para os ataques. Aplicativos web são a porta preferida dos invasores.

Isso porque equipes de TI em geral investem apenas em segurança do perímetro e do tráfego da rede, incluindo proteções clássicas como firewall, antivírus, antispam, IDS/IPS, SSH, HTTPS e VPN. E mesmo nestes casos, não fazem um monitoramento proativo e contínuo, nem tem um plano de resposta a incidentes consistente e efetivo. Por outro lado, mantém sistemas desatualizados e ignoram aplicativos falhos que podem, facilmente, ser explorados.

Códigos de software com pouca ou nenhuma preocupação com segurança desde sua concepção — o que passa inclusive pela escolha de tecnologias que já englobem conceitos e mecanismos nativos de segurança, robustez e proteção — escancaram brechas de segurança por todos os pontos das aplicações.

Nas aplicações corporativas internas, as maiores preocupações costumam ser com vazamento de informações e com uso e permissões indevidos — até mesmo maliciosos, no caso de colaboradores insatisfeitos ou despreparados, negligentes, imprudentes.

Mas quando as aplicações são externas, especialmente em portais, sítios e serviços web abertos à Internet, o universo de ameaças subitamente se expande para o mundo todo, para qualquer pessoa no planeta com acesso internet, algum tempo disponível e intenções que podem ir da curiosidade inconsequente ao crime.

Aplicações sem segurança tipicamente expõem vulnerabilidades amplamente conhecidas — do conhecimento de qualquer hacker de plantão — e graves como:

  • Autenticação vulnerável, com usuários e senhas fracas, pouco ou nenhum controle a tentativas de acesso “força bruta” etc.
  • Baixa granularidade de permissões, de forma que um vez acessado com usuário legítimo muitas vezes se permite acessar alguns serviços ou situações que não seriam efetivamente necessárias ou mesmo devidos àquele usuário.
  • Ausência de validação, consistência e crítica de dados no lado servidor, quando um usuário está com JavaScript desativado ou defeituoso no lado cliente.
  • Ausência de validação de condições limite nos tipos, formatos, valores e tamanhos recebidos em dados ou parâmetros fornecidos pelo usuário, permitindo ataques como Estouro de buffer e de pilha, Corrupção de memória, Negação de serviço (DoS).
  • Ausência ou insuficiência de tratamento robusto, inteligente e proativo de exceções na aplicação. Muitas vezes a maior parte das inúmeras situações de erro ou exceção possíveis são esquecidas, descartadas ou subestimadas pelos programadores.
  • Ausência de mecanismos de rastreabilidade e auditoria, como gravação de registros de log/históricos de acessos e ações do usuário e do próprio sistema.
  • Mecanismos de proteção (integridade e privacidade) de dados com criptografia ausentes, simplórios/precários, ou mal implementados.
  • Não evitar Injeção de código, Injeção de SQL, Injeção de HTML e Cross site scripting (XSS) nas entradas de dados e parâmetros fornecidos pelo cliente/usuário.
  • Utilizar ou permitir a Inclusão de arquivos locais (ou remotos).

A lista de possibilidades comuns poderia se estender. Mas por aí já se percebe que boa parte das aplicações na web são “queijos suíços” em potencial, em se tratando de abundância de furos de segurança.

Solução - informação e ferramentas desde o início

Ao abordarem que se deve levar segurança de TI a sério, os peritos apontam o caminho: “A melhor defesa de uma empresa é a integração da segurança no ciclo de vida de desenvolvimento de aplicativos. A criação de códigos com poucas falhas de segurança oferece um retorno maior do que se tentar reparar aplicativos em uso.”

A organização internacional Web Application Security Consortium (WASC) reúne um grupo de especialistas e praticantes de segurança e representantes de comunidades de código aberto, voltada para intercâmbio de idéias e organização e promoção de melhores práticas, em segurança de aplicação na World Wide Web. WASC consistentemente lança informação técnica, artigos, guidelines de segurança e outras documentações úteis sobre segurança de aplicações web.

Entre o material da WASC, destaco uma compilação com descrição de mais de 50 ameaças e vulnerabilidades em aplicações web, o Glossário de Segurança Web e o padrão de referência para avaliação de vulnerabilidades de aplicações web, Web Application Security Scanner Evaluation Criteria (WASSEC). O material é aberto, público e gratuito (em inglês).

Para a varredura e análise de vulnerabilidades em aplicações existem ferramentas para auxiliar e prover alguma automação e agilidade nos trabalhos. Há desde softwares livres como o Wapiti - Web application vulnerability scanner / security auditor até produtos comerciais como IBM Rational AppScan e HP WebInspect / Application Security (veja também Web Application Scanners Comparison).

Também o padrão internacional ISO/IEC 15408: Information technology — Security techniques — Evaluation criteria for IT security é um conjunto de normas disponíveis gratuitamente.

O padrão ISO 15408 é baseado no Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC). Este, por sua vez, é originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido).

CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI. O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, denominados Security Assurance Requirements (SARs).

Até eu dou modestas contribuições de informação sobre boas práticas que podem garantir um código de aplicação mais segura, nos artigos: Eficiência e segurança com SQL parametrizado e Senhas armazenadas com segurança.

Não faltam informação e recursos livremente disponíveis, em abundância e muitas delas de alta qualidade e fácil utilização, para que as empresas e instituições comecem a praticar e adotar a construção de aplicações seguras.

Essa preocupação é especialmente crítica na web, que cada vez mais se apresenta como um veículo de serviços e aplicações em larga escala e abrangência.

Empresas do meu Brasil (e do mundo!), cuidem seriamente da segurança de suas aplicações e serviços, especialmente na internet!

Para saber mais:

  • Referências sobre Segurança Digital e Privacidade, incluindo Informação sobre segurança, Entidades e centros, Criptografia, Infraestrutura de chaves públicas (ICP), Malware, Segurança de e-mail, Firewall, Prevenção e detecção de intrusos, Padrões, Protocolos e aplicações, Privacidade, Bibliografia e outros tópicos relacionados.
 

- Próxima Página »