15 dicas essenciais para aprovação nos exames da ISACA – CISA, CISM, CRISC e CGEIT

As certificações da ISACA certamente estão dentre as mais almejadas por especialistas e demandadas pelo mercado. Isso tem motivos simples:  O nível de experiência teórica/pratica, esforço e comprometimento requerido para ter sucesso nos exames é extremamente elevado.

Esse alto nível de exigências, que torna as siglas CISA, CRISC, CISM E CGEIT tão estimadas, também desmotiva parte dos profissionais. Afinal, pode ser um pouco frustrante gastar aproximadamente USD 600,00, se dedicar por semanas a fio e reprovar em um exame que só pode ser refeito meses depois (e com o mesmo investimento financeiro!).

Foi exatamente com o objetivo facilitar a vida de colegas e alunos que iam prestar o exame CISA, que em 2011 escrevi um artigo onde apresentava uma série de dicas e minha visão pessoal sobre como abordar essa pequena prova de 200 questões e 4 horas de duração. Ano passado atualizei para a versão 2.0, já incluindo a minha vivencia como instrutor de algumas turmas oficiais do curso preparatório.

Pela quantidade quase constante de leituras, estimo ter ajudado várias pessoas e, agora em 2015, quando já estava considerando um upgrade do post para a versão 3.0, veio a grata surpresa: isso não vai mais ser necessário!

Ontem descobri que os colegas da DARYUS consolidaram as minhas dicas em uma apresentação com um formato visual muito bacana com o ousado título de “15 dicas essenciais para aprovação nos exames da ISACA” e estou disponibilizando o material para leitura/download na minha conta do slideshare:

Um ponto importante: As dicas foram adequadas para todos os principais exames da ISACA, incluindo CISA, CISM, CRISK e CGEIT, afinal a diferença entre os exames é “apenas” o conteúdo.

Se você preferir a versão mais detalhada, leia o artigo original aqui: CISA: Dicas de última hora para o exame de certificação – V 2.0!

Para quem realmente for fazer a prova, fica aqui o meu sincero desejo de boa sorte! Esse ano estarei presente no RJ para fazer o CISM.

Essa fralda não está cheirando bem! E sim, isso é um problema de Segurança da Informação

Ok, até eu concordo: O assunto já está ficando batido. Sempre que escrevo sobre Segurança da Informação, invariavelmente acabo mencionando o quão usuários são avessos aos mais simples controles de segurança, mesmo que isso exponha os importantes ativos corporativos a riscos completamente desnecessários. Fato: #UsersHateSecurity!

Não considero uma cruzada pessoal, mas como profissional de SegInfo, gosto da ideia de, sempre que possível, colaborar com um mundo um pouco mais protegido, seja no ambiente profissional ou em nossas vidas pessoais, as constantes ameaças mostram que a escolha é simples: ou nos protegemos ou nos deixamos dominar por ameaças cada vez mais assustadoras e presentes. É por isso que gosto tanto de bons exemplos e os de hoje, com certeza, estão entre os melhores que já usei aqui.

Imagine a seguinte situação: Um jovem casal, que devido a vida moderna não tem tempo para cuidar do seu bebê de apenas 1 aninho, contratam os serviços de uma babá. Cientes de que o jovem infante é um dos principais ativos estratégicos do núcleo familiar, utilizam uma câmera IP para matar a saudade fazer monitoramento remoto e diminuir o risco de maus tratos por parte da referida ama-seca. Nada mais louvável.

Thats a really poopy diaper!

O problema acontece quando Consuela a babá Ashley Stanley está trocando as fraldas do jovem senhor e, através da câmera: “Nossa, essa realmente é uma fralda cheia de cocô!”. Infelizmente não era uma brincadeira dos pais, como ela imaginou inicialmente, e sim um cracker que havia burlado as fracas proteções da rede wifi familiar e obtido acesso remoto a câmera, já que ela estava configurada com a senha padrão de fábrica.

Infelizmente esse não nem de longe um acontecimento único. Em 2013 outro sociopata virtual invadiu um monitor infantil, para em seguida despejar uma série de obscenidades a uma criança de apenas dois anos e seus pais, que obviamente ficaram chocados ante a ideia de que um dispositivo conectado a internet pudesse ser invadido.

No..No…No Security for Consuela

Em alguns casos, a própria fabricante está consciente da situação e faz o que pode para proteger os seus usuários. A Foscam, responsável pelo dispositivo que filmou a famigerada troca de fralda, atualizou seus equipamentos para exigir que a senha seja atualizada logo na primeira instalação. Câmeras mais antigas vão precisar que o usuário faça um upgrade no firmware para implantar essa e outras configurações de segurança. As previsões mais otimistas dizem que o upgrade dos firmwares será feito logo em seguida do primeiro voo tripulado a superfície de Marte, ou tupiniquim a Lua, sabe-se lá.

A realidade infeliz é que continuamos cada vez mais expostos e ameaças é o que não falta. Se infelizmente não somos capazes de sequer proteger os mais valiosos ativos em nosso núcleo familiar, fico imaginando qual atitude temos em nosso ambiente profissional. A resposta já é amplamente conhecida.

As piores senhas (dos piores usuários) de 2014.

Bem vindos a era da hiperconectividade (na verdade já iniciou faz um tempinho!) . Em tempos onde é considerado normal checar as redes sociais antes mesmo de sair da cama, a promessa da massificação dos wearables está logo ali, e com a internet das coisas em breve se tornando uma realidade, a onipresença da tecnologia/internet nas nossas vidas é fato óbvio. Claro, as ameaças estão cada vez mais presentes!

Novo Homem Vitruviano: Como a tecnologia vai afetar nosso comportamento?

Entretanto, enquanto a hiperconectividade avança a vertiginosos passos de Usain Bolt, nossa preocupação relativa a Segurança da Informação parece se inspirar em meios menos céleres (piada velha! eu sei!). A lista anual de “piores senhas”, anualmente divulgada pela SplashData, teve sua versão de 2014 divulgada ontem (20/01) e não surpreende.

Usando como base a análise de mais de 3.3 milhões de senhas que vazaram ano passado de alguma forma, as piores senhas continuam encabeçada pelas celebres “123456” e “password”. Novas entradas são, no mínimo, engraçados como “batman” (imaginei o usuário pensando “I am Batman!” durante o logon) e “696969” (não pesquise no google!). Claro, estamos olhando para um cenário internacional (leia-se Estados Unidos e parte da Europa), mas não é difícil imaginarmos que no Brasil muita gente ainda usa as favoritas nacionais como “deuseamor” e “jesuscristo”.

Não faço ideia de quem ainda usa senhas inseguras…

 

Em 2012 escrevi um artigo onde brincava com a ideia de uma Cultura de Segurança da Informação Utópica, em que controles de proteção seriam mínimos, já que os próprios usuários estariam conscientes de pelo menos parte dos riscos. Hoje o que ainda podemos ver é que mesmo as medidas de segurança mais simples ainda são vistas com desprezo.

A pergunta que fica é: Se não temos a disciplina necessária para seguir controles básicos, como usar senhas complexas, imagine o que passa quando falamos de criptografia, classificação da informação e gestão de vulnerabilidades técnicas. Pense nisso quando estiver transmitindo ou armazenando informações sensíveis?

Claro, a complexidade da sua senha deixa de ser relevante se você está disposto a divulga-la livremente….

…Na TV…

….Em um programa assistido por 2.83 milhões de pessoas!

Se você não está com vontade de ver o clipe todo, segue a melhor parte:

Repórter: Nós estamos falando hoje sobre cibersegurança e quão seguro senhas das pessoas são. Qual uma das senhas que você usa on-line atualmente?
Entrevistada: É o nome do meu cachorro e o ano em que concluí o colegial.
Repórter: Oh, que tipo de cão que você tem?
Mulher: Eu tenho um papillon chihuahua.
Repórter: E qual é o nome dele?
Mulher: Jameson.
Repórter: Jameson. E onde você foi à escola?
Mulher: Eu fui para a escola em Greensburg, Pensilvânia.
Repórter: Qual escola?
Mulher: Hempfield Senior Area High School.
Repórter: Oh. E quando você se terminou o colegial?
Mulher: Em 2009.

Resumindo: Desculpem informar, mas ainda estamos infinitamente distantes da utopia.

—

Senhas Complexas

Que tal algumas dicas básicas para usar senhas complexas e ficar mais protegido?

• Tamanho mínimo de 8 dígitos, incluindo letras MAIÚSCULAS e minúsculas, números e caracteres especiais (e.g. !@#$%¨&*(“}{ )
• Não usar informações pessoais como, por exemplo, nomes de familiares, datas de aniversário, placa de carro;
• NUNCA anote sua senha. Se tem dificuldades para lembrar existem ótimos programas para gratuitos gerenciar senhas como, por exemplo, o KeePass (http://keepass.info/download.html)
• NUNCA revele sua senha ou parte dela. Mesmo se for numa entrevista para um programa de TV ou durante uma foto para o jornal, essa prática não é muito legal!

Sim.. aqueles caracteres logo acima da bandeira do Brasil eram a senha do WI-FI da Equipe de segurança do DF na época da copa … 7x 1 para a insegurança 🙂

Os números de 2014

Obrigado a todos que visitaram e tiveram a devida paciência para ler meus textos.

Como deixei de ser consultor agora em dezembro, 2015 vem com muitas novidades e novos desafios profissionais, mas de jeito algum pretendo deixar o blog de lado. Conto com a presença de vocês!

—

Os duendes de estatísticas do WordPress.com prepararam um relatório para o ano de 2014 deste blog.

Aqui está um resumo:

A sala de concertos em Sydney, Opera House tem lugar para 2.700 pessoas. Este blog foi visto por cerca de 15.000 vezes em Se fosse um show na Opera House, levaria cerca de 6 shows lotados para que muitas pessoas pudessem vê-lo.

Clique aqui para ver o relatório completo

Pesquisa Nacional de Segurança da Informação: Divulgação dos resultados!

Um dos trabalhos que mais me agradou esse ano, foi à possibilidade de coordenar a Pesquisa Nacional de Segurança da Informação realizada pela DARYUS Strategic Risk Consulting. Afinal, essa era uma oportunidade de colocar no papel um retrato fiel de fatos que vejo no meu dia a dia como consultor.

clique na imagem para baixar a pesquisa!

 

A pesquisa, realizada em parceria com a EXIN e IT MÍDIA, é fruto do esforço de um grupo profissional com ampla experiência prática no assunto, além de toda comunidade que se prontificou a contribuir. O objetivo era claro: Apresentar a forma como a maioria das empresas brasileiras encara a Segurança da Informação.

Será que esse tema tão relevante já está refletindo em controles de segurança e equipes preparadas? Será que já entendemos que Segurança da Informação transcende aspectos técnicos e requer uma gestão madura, com visão estratégica e abordagem sistemática? Esses e outros pontos igualmente relevantes estão agora respondidos na pesquisa!

Os resultados apontam um cenário já conhecido: Segurança ainda é vista como uma disciplina primariamente de tecnologia! Enquanto isso, Mais de 40% das falhas reportadas pelos pesquisados não estão associadas vulnerabilidades tecnológicas, mas sim em torno de pessoas e a maneira na qual os dados, informações e sistemas são utilizados nas organizações, que acabam gerando vazamentos, mal uso ou perda de informação.

Claro, já que apenas 36,36% dos pesquisados possuem um processo formal para tratamento de incidentes de segurança, é esperado que uma significativa parcela de eventos não seja sequer identificada.

Nos próximos dias a DARYUS, em parceria com a EXIN, realiza mais um workshop onde vamos discutir esses resultados. Até lá sintam-se livres para baixar e compartilhar a Pesquisa. Nossa mais sincera esperança é que, com a conscientização dos problemas hoje relatados, o amanhã nos traga medidas concretas, aumentando a maturidade e a proteção da informação e dos negócios.

[GRM 2014] Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo? – DOWNLOAD DOS SLIDES

Prezados Amigos,

No dia 11 de Setembro (sim a data é proposital!) tive a honra e participar mais uma vez do Global Risk Meeting. Em sua 9ª edição, evento foi a Recife com um foco central Crise: Descobrindo oportunidades.

Em minha palestra, desta vez representando a RealISO.com, abordei o tema Unbounded Security: Aonde foi parar meu perímetro corporativo e como protege-lo?. A ideia era discutir como novas tecnologias influenciam cada vez mais o comportamento das pessoas, especialmente quando esse paradigma é levado a um ambiente de trabalho que está migrando para o não convencional, com ampla liberdade em termos de mobilidade e onde dados corporativos estão organizados de forma cada vez mais dinâmica.

Será que estamos preparados para proteger organizações sem inviabilizar o negócio? Como lidar com Segurança da Informação quando seu perímetro de proteção desconhece fronteiras?

Para quem não conseguiu acompanhar o congresso, estou compartilhando os slides que usei, sintam-se livres para baixar e distribuir:

Como sempre, o GRM foi um grande sucesso, contando com a participação de profissionais de alto nível e uma organização impecável.

Para acompanhar futuros eventos e notícias sobre Gestão de Riscos e Segurança da Informação, não deixe de curtir minha página no Facebook.

Brasileiros no Secret: Segredos, calúnias, bullying e expectativas irreais de privacidade são parte de um App cada vez mais controverso

OS PARADOXOS DA WEB NUNCA DEIXAM DE ME SURPREENDER. Desde que o Wikileaks e Snowden trouxeram a tona o grau de falta de privacidade, espionagem e monitoramento, ficamos revoltados com a possibilidade de sermos constantemente acompanhados por um “Big Brother”, vigiando cada passo no mundo virtual. Surpreendentemente (ou não) essas mesmas pessoas tornaram popular, e cada vez mais polêmico, o aplicativo Secret que tem por objetivo o compartilhamento de forma “anônima” de seus segredos mais indiscretos com “amigos” da rede social.

Compartilhe com seus amigos, secretamente. Fale livremente – mas nem tanto!

A ideia central do App não é ruim: Falar livremente, compartilhar o que você está pensando com amigos e estranhos de maneira anônima pode ter seus atrativos, principalmente para a geração mais nova e que está cada vez mais interconectada. Um dos posts mais populares repete que “Fora do Brasil o Secret é usado para ajudar pessoas com problemas sérios, apenas no Brasil que virou bagunça”.

E é exatamente ai que os problemas começam a acontecer, enquanto alguns segredos compartilhados no Secret são indiscretos, mas voluntários, o aumento exponencial dos usuários do App levou a massificação de posts contendo desde bullying, calunia e difamação até mesmo divulgação – não autorizada – de material constrangedor como fotos intimas. Nos colégios, onde a maior parte dos usuários são menores,  é comum a publicação de textos ofensivos ou montagens envolvendo colegas de classe.

O caso é que a maioria dos usuários imagina que a identidade de quem publica seus segredos no Secret serão mantidos secretos. Resposta curta: Não! Um – dentre muitos casos – de publicações vexatórias incluía não só fotos indiscretas, mas o nome da pessoa envolvida, juntamente com acusações de participação em orgias, além de ser portador de HIV, ambas acusações refutadas pela vítima. Isso a uma ação judicial contra o App, pedindo que o post fosse removido (já foi) e que os responsáveis fossem identificados. Claro, a empresa informou que não divulga dados de seus usuários de forma extrajudicial, mas com o andamento do processo, é quase certo que seja revelado quem criou a publicação.

Desabafos, Sentimentos, Bullying, Racismo, bem vindo ao Secret

Infelizmente a realidade do usuário da web no Brasil, mostra o quanto ainda somos “inocentes” quando o assunto é relacionado à legislação, crimes e infrações digitais. A proposta do Secret é ser um App onde usuários anônimos podem postar qualquer tipo de mensagem, que é comentada, compartilhada e curtida por outros usuários também anônimos. A verdade é que apesar de zelar pelo anonimato de seus usuários, o Secret possui registros que identificam diretamente os usuários às mensagens e comentários de sua autoria, e que, sob mandado judicial, pode revelar a identidade de usuários à Justiça. E lá se foi o anonimato.

A grande questão não é o App em si, que tem até uma filosofia interessante. O grande desafio é o comportamento do usuário básico da web brasileira, muitas vezes menor de idade e que não tem noção de que toda ação tem uma consequência, e que privacidade é uma expectativa irreal mundo virtual.

Mesmo que o Secret seja removido da Loja do Google, certamente outros aplicativos parecidos vão surgir quase na mesma velocidade dos clones do Angry Birds. A única solução que tem uma remota chance de funcionar bem, é investir desde cedo na educação do usuário brasileiro. Iniciativas como palestras e programas de conscientização não devem se restringir ao ambiente corporativo, mas ser iniciada ainda nas escolas e universidades. Precisamos urgentemente de uma inclusão digital inteligente, que privilegie o bom comportamento e explique as consequências para quem violar regras de conduta.

Quanto ao Secret, fica a dica: Vai postar um segredo? Esteja preparado para assumir que você foi o autor e enfrentar eventuais processos se você tiver ofendido alguém ou cometido um crime. Claro, se você identificar um post com conteúdo vexatório, inapropriado ou que te afete negativamente, procure imediatamente um advogado especializado e siga com um processo para lidar de forma adequada com a situação.

Nada se espalha tão rápido quanto um bom segredo….