Translate

segunda-feira, 6 de dezembro de 2010

Teste seus conhecimentos em segurança de sistemas

Por Roger Grimes, da Infoworld(EUA)

Perguntas testam o conhecimento dos profissionais e avaliam em que áreas eles devem buscar aprofundamento.

Conhecer bem sobre segurança depende da compreensão de uma série de pontos básicos que devem ser incorporados no plano de defesa de qualquer organização. Para testar os profissionais, a Infoworld elaborou uma série de perguntas que, se respondidas corretamente, indicam que a companhia está pronta para atender aos principais requisitos de segurança. Caso contrário, é melhor rever os conceitos e buscar aprofundamento em cima dos tópicos essenciais que regem os princípios modernos para a área.

Leia cada pergunta, responda mentalmente e depois confira as respostas corretas.

1 – Qual é o fator que mais contribuí para a freqüência com a qual um software sobre ação de crackers?

2 – Qual é a maior ameaça de segurança para a maioria dos ambientes?

3 – Qual é a melhor forma de reduzir o risco na rede?

4 – Qual software é o melhor na redução dos riscos de rede?

5 – Qual é o tamanho ideal para uma senha segura?

6 – Qual é a melhor maneira de inserir a senha em um sistema não confiável, como um computador de um hotel?

7 – Quais são as melhores ferramentas para identificar atividades de hackers, malwares e usuários confiáveis que executam ações não autorizadas?

8 – Aplicativos na nuvem podem ser confiáveis?

9 – Como lidar com uma situação na qual se encontra muitas informações sem o gerenciamento adequado na organização.

10 – Qual é a melhor forma de barrar ameaças da internet?


1 – Qual é o fator que mais contribui para a frequência com a qual um software sofre a ação de crackers?
Os softwares atacados com mais frequência são os mais populares em seu nicho, sejam browsers, formatadores de documentos, servidores web e assim por diante. Os assaltantes focam em bancos porque são os que podem render mais dividendos e os crackers focam em softwares populares pelo mesmo motivo.

2 – Qual é a maior ameaça de segurança para a maioria dos ambientes?
A maior ameaça reside nos ataques de engenharia social, que engana os usuários finais para que executem programas como cavalos de tróia. Os usuários são levados a instalar softwares supostamente necessários, como patches de atualização ou antivírus falsos, e acabam abrindo as portas da rede e informações internas para pessoas de fora.

3 – Qual é a melhor forma de reduzir o risco na rede?
Impedir que os usuários finais instalem cavalos de tróia. Como fazer isso é a questão maior, mas uma boa estrutura de defesa inclui uma boa proteção contra a instalação de programas não autorizados por usuários finais, a limitação de usuários com privilégios administrativos e o uso de softwares de proteção de boa qualidade, que abranjam todas as ameaças virtuais mais comuns.

4 – Qual software é o melhor na redução dos riscos de rede?
Os produtos de controle de aplicações, também conhecidos como softwares de listas brancas, são os melhores para a redução de ataques maliciosos na maioria dos ambientes, se bem implementados. Embora nem todos os softwares do mercado tenham abrangência em 100% das ameaças maliciosas, eles protegem contra os mais significantes.

5 – Qual é o tamanho ideal para uma senha segura?
Depende do sistema e da importância, mas, em geral, uma base mínima aceitável nas auditorias de segurança é de oito dígitos. Com 10 dígitos, a senha já começa a ficar mais forte para a maioria dos ataques. Alguns especialistas já apontam que 12 caracteres é o ideal para garantir que a senha não será facilmente descoberta por ataques brutos mais sofisticados. Para contas extremamente críticas, recomenda-se adotar de 15 dígitos para cima. E tudo isso só tem efetividade se as senhas forem trocadas a cada 90 dias. O ideal é estabelecer políticas de rede para que os usuários sejam obrigados a fazer isso.
6 – Qual é a melhor maneira de inserir a senha em um sistema não confiável, como um computador de um hotel?
O ideal é jamais inserir uma senha crítica em um sistema que não esteja completamente sobre o controle do usuário ou da corporação que contrata o usuário. Isso significa nunca conferir e-mail de quiosques nas conferências, computadores de hotéis e até mesmo computadores de amigos. É arriscado demais, levando em consideração que metade de todos os computadores no mundo estão infectados por algum tipo de malware.
7 – Quais são as melhores ferramentas para identificar atividades de hackers, malwares e usuários confiáveis que executam ações não autorizadas?
Os softwares de detecção de intrusão, honeypots (iscas para identificar ataques) e gerenciamento de registros (logs) de eventos são as melhores ferramentas nessas circunstâncias. Os dois primeiros, em particular, são ótimos para detectarem atividades que fogem do normal. E os ataque só são registrados nos logs se os administradores configurarem os alertas de forma apropriada.

8 – Aplicativos na nuvem podem ser confiáveis?
Sim, é possível confiar na nuvem para a maioria das atividades de propósito geral, tanto quanto nas aplicações internas que exigem o nível de confiança padrão. As nuvens se aproximam de todos os ambientes, de uma maneira ou de outra. Embora algumas nuvens não ofereçam a segurança ideal, provavelmente já oferecem uma proteção melhor do que a praticada na maioria dos ambientes fora da nuvem.

9 – Como lidar com uma situação na qual se encontra muitas informações sem o gerenciamento adequado na organização.
A primeira coisa é fazer um inventário das informações. Em seguida, deve-se apagar o que não é necessário e implantar segurança no restante, por meio de políticas específicas para cada tipo de informação.

10 – Qual é a melhor forma de barrar ameaças da internet?
Primeiro, o ideal é construir um sistema de identidade abrangente e níveis de confiança nas comunicações, de forma que cada receptor saiba exatamente quanta segurança pode depositar em um pacote de informação. Essa é a atividade básica de segurança, obrigatória para qualquer sistema de infraestrutura em larga escala.

Fonte:http://idgnow.uol.com.br/seguranca/2010/12/06/teste-seus-conhecimentos-em-seguranca-de-sistemas/

Nenhum comentário:

Postar um comentário