Arquivo da categoria: Segurança da Informação

LGDP PL53/20 18 LEI GERAL DE PROTEÇÃO DE DADOS

A LGPD PL53/2018 que é a versão brasileira da LEI GERAL DE PROTEÇÃO de DADOS que foi sancionada recentemente está livre para leitura na internet no site do senado Brasileiro.
Importante todas as empresas que tem a salva guarda dos dados de Brasileiros e vão ter que se adequar a lei até 2020. Os 2 links abaixo o resumem bem a noticia aprovada e dos documentos públicos para serem lidos.
Não precisa de curso ou orientação. Está livre para qualquer brasileiro se informar corretamente.
Os cursos claro te dão um dinamismo melhor e entendimento, mas a documentação está ai.
Aproveitem.

GDPR, Office 365 e Azure

Olá pessoal

Tem se falado no GDPR, mas o que é o GDPR?

Primeiro vamos traduzir e colocar em uma liguagem com um entendimento basico.

Em português é “Regulamento Geral de Proteção de Dados” (General Data Protection Regulation, GDPR) é a norma mais recente criada para fortalecer a proteção de dados pessoais de cidadãos da União Europeia.

Mas por que estas regulamentações estão sendo fundidas e regulamentadas aqui no Brasil? Simples, muitas regulamentações, médicas, bancarias, industriais e outras tem como base EUA e Europa. Softwares, dados e data centers, compliances e regras são todos originados la fora e regimentados aqui no Brasil.

Aqui no Brasil seguimos bastante informações e regras obrigatórias pela ABNT (Associação Brasileira de Normas Técnicas).

Aqui no Brasil deve-se ter ativado a partir da data de 25 de Maio de 2018.

O Banco Central já soltou uma portaria para que os bancos de adequem a regulamentação. Resolução 4.658 do Banco Central.

O GDPR é a maior mudança em privacidade e segurança da informação das últimas décadas, substituindo o último acordo europeu, datado de 1995. Por isso, as organizações devem se atentar a todas as regras para garantir a conformidade. A Microsoft tem feito isso desde que o acordo foi firmado, em 14 de abril de 2016, e foi a primeira provedora de nuvem global a oferecer termos e condições compatíveis com a nova regra em seus serviços. Assim, soluções como Azure, Microsoft 365 e Dynamics 365, já estão adequadas. No entanto, estar em conformidade com o GDPR vai além do uso de tecnologia, mas sim passa por processos internos, políticas e pessoas.

Como mencionado acima o GDPR vai muito alem de só tecnologia.

O Office 365 tem um link que te ajuda a entender melhor e ativar algumas resoluções sobre o GDPR.

https://www.microsoft.com/pt-br/TrustCenter/CloudServices/office365/GDPR

leia que é praticamente pauta obrigatória em algumas corporações como instituições financeiras e Instituições de saúde.

Mas como ativarei isso? Calma, como estou repetindo acima, é um tema extenso e precisa de tempo para entender.

Ou seja é um troço chato, mas……. é importante e alguns casos obrigatório.

No Office 365 alguns pontos quando você entra na Tenant.

Veja em https://protection.office.com e seu nivel de licenciamento atinge praticamente todos serviços do Office e seu ecosistema.

Mencionei Azure no tema por que o Office 365 utiliza varios recursos do Azure como Azure AD, Azure Information Protection e outros então todo serviços cloud da Microsoft está engajado.

Em Classificação da Informação: Ative a classificação da informação com botões de nível de importância dos documentos da organização.

Publico, Interna, Restrita, Confidencial.

Criações de rotulos como acima são uns dos pontos.

Em DLP (Data Loss Prevention) Prevenção de perda de dados, acredito que é um dos principais pontos do ecossistema que faz sentido ao GDPR.

Nesta ativação tem varias resoluções de regulamentações da Europa, EUA e do Brasil. Varias regulamentações exemplo em Medical and Health.

Na Pagina de GDPR tem varias orientações para você com mais compreensão realizar as configurações, coletas de dados e geração de relatórios para ficar em compliance com as resoluções.

Basta ter a vontade de ler, que é extenso, entender como é o ecosistema e ir fazendo as aplicações.

Governança de dados

A governança dos dados é um Dashboard que já começa a coletagem de informações das suas ativações que vai te dar rumos de configurações e ativações e ajustes de resultados de melhorias na segurança dos dados. Aqui você consegue verificar retenção de dados.

Privacidade dos dados

Por fim já tem um menu reforçando a privacidades dos dados com enfase ao GDPR com todas as informações, orientações dos serviços do Office 365, Microsoft 365 e outros serviços do Azure.

Estes serviço atinge direto o Onedrive, Sharepoint, Office e Office Online, Exchange online e outros.

Algumas orientações são importantes:

O Microsoft Office 365 e as ferramentas relacionadas permitem proteger dados pessoais das seguintes maneiras:

  • Ajuste as configurações de privacidade no Word, no Excel e no PowerPoint para limitar a conexão dos aplicativos do Office à Internet, tornar a marcação oculta visível e inspecionar e remover dados pessoais de documentos com o Inspetor de Documento.
  • Limite o acesso a arquivos ou pastas compartilhados no OneDrive for Business e gerencie quem pode exibir ou editar os arquivos.
  • Use a opção para criptografar documentos do Word, do Excel e do PowerPoint com proteção por senha.
  • Use o Azure Information Protection para criptografia e gerenciamento de direitos.
  • Use a opção de criptografia durante o Serviço de Importação de PST.
  • Criptografe mensagens ao transferir dados pessoais para partes externas por email com OME (Criptografia de Mensagem) do Office 365.
  • Use a Inteligência Contra Ameaças para descobrir e proteger de forma proativa contra ameaças avançadas no Office 365.
  • Proteja o email contra ataques de malware desconhecidos e sofisticados em tempo real usando a Proteção Avançada contra Ameaças para Exchange Online (que requer uma assinatura do Office 365 E5).
  • Identifique o uso de alto risco e anormal recebendo alertas de possíveis violações, permitindo-lhe acompanhar e responder a ações de alto risco com o Gerenciamento de Segurança Avançada.
  • Monitore e capture todas as atividades que ocorrem dentro de seu tenant usando a API de Atividades de Gerenciamento.
  • Use o Log de Auditoria Unificado para acompanhar e registrar atividades de processamento em todo o ambiente do Office 365, registrar a resolução de solicitações de direitos de entidades de dados e os eventos de log associados à alteração, ao apagamento ou à transferência de dados pessoais e fornecer insight sobre os dados transferidos para terceiros por email ou compartilhados usando o SharePoint Online e o OneDrive for Business.
  • Use o Acompanhamento de Mensagens do Exchange para determinar o destinatário de um email e se ele foi recebido, rejeitado, adiado ou entregue.

Use a API de Atividade de Gerenciamento do Office 365 para identificar atividades de compartilhamento de usuários no Exchange Online e no SharePoint Online.
===========================================================================

TEMA GDPR e SEGURANÇA

Como o tema é complicado eu montei uma planilha que vale para aplicação de segurança no Office 365 e montei um POC, estou compartilhando a planilha para dividir os trabalhos de implantação e configuração.

EM BREVE NA MESMA PASTA A PROPOSTA DE ESCOPO TÉCNICO DA IMPLANTAÇÃO E A CONFIGURAÇÃO.

Pesquisei aqui no Brasil que consegue implantar e só a MICROSOFT e uma empresa que presta consultoria através da CORP que tem condições técnicas de realizar a implantação.

A planilha ajuda bastante para saber o que fazer primeiramente.

Segue o link  https://1drv.ms/x/s!An-dPolj_Ee_hdUx_75nHFiPY-1qjQ 

===========================================================================

IMPORTANTE

Para ajudar os clientes que estão buscando informações que possam ajudar a realizar uma DPIA (Avaliação de Impacto de Proteção de Dados) que aborde seu uso do Office 365, a Microsoft fornece informações detalhadas sobre o processamento de dados do cliente e as medidas de segurança usadas para proteger esses dados. Essas informações são acessíveis por meio do Microsoft Trust Center.

 

Além de mostrar como iniciar uma configuração de proteção e sobre GDPR abaixo estão as fontes que usei para explanar e mostrar que o Office 365 e Azure está totalmente em compliance com GDPR.

https://www.jota.info/opiniao-e-analise/artigos/10-coisas-que-sua-empresa-deve-saber-sobre-o-gdpr-da-uniao-europeia-15012018

https://enterprise.microsoft.com/pt-br/articles/digital-transformation/gdpr-prepare-se-para-as-novas-regras-de-protecao-de-dados/

https://www.microsoft.com/pt-br/TrustCenter/CloudServices/office365/GDPR

https://www.eugdpr.org/

Pessoal, se tiverem dúvida entrem em contato.

Abraços

Zerodium premio de $45k

Zero-day

A empresa Zerodium está oferecendo US$ 45.000 para hackers dispostos encontrar vulnerabilidades de zero day no  Linux.

O programa de  exploração privada anunciou a recompensas no Twitter . Até 31 de março, a Zerodium está disposta a oferecer pagamentos de até US$ 45.000 para explorações locais de escalonamento de privilégios (LPE).

As vulnerabilidades de zero day, não relatadas, devem funcionar com instalações padrão do Linux, como as populares plataformas Ubuntu, Debian, CentOS, Red Hat Enterprise Linux (RHEL) e Fedora.

O Zerodium difere de muitas empresas que procuram ajuda externa para descobrir vulnerabilidades. Enquanto muitos fornecedores de tecnologia, incluindo Google, Apple e Microsoft, muitas vezes oferecem recompensas financeiras para relatórios de erros válidos, esses relatórios são usados ​​para corrigir o software e proteger os dispositivos do usuário de um compromisso.

A empresa adota vulnerabilidades em uma ampla gama de dispositivos e sistemas operacionais de destino – como o Microsoft Windows, o Google Chrome, o Android, o Apple OS X e vários servidores de e-mail – para vender essas informações de forma privada aos clientes; individualmente, ou através do feed de pesquisa do dia zero da empresa.

Os clientes podem incluir agências governamentais que exigem explorações para fins, incluindo quebra de criptografia de dispositivo ou realização de vigilância.

Dependendo da demanda do mercado, o vendedor de explorações ofereceu recompensas que atingiram mais de um milhão de dólares no passado. Em 2015, a empresa ofereceu US $ 1,5 milhão para explorar as façanhas do iOS 10.

Ao longo do ano passado, os governos pediram intervenções em portas de aplicativos criptografados e serviços de criptografia de ponta a ponta. Considerando esta mudança nas prioridades do governo, o Zerodium aumentou os pagamentos de recompensas em 2017 até US $ 500.000 para falhas de zero dias em aplicativos criptografados , como iMessage, Telegram e WhatsApp.

O aumento no preço das vulnerabilidades do Linux sugere que pode haver uma alta demanda no mercado no momento.

O Zerodium geralmente oferece até US $ 30.000 para uma vulnerabilidade do dia zero do Linux, mas para aumentar as submissões, isso agora aumentou em US $ 15.000 até o prazo.

A fonte é do site ZDNET

O que é OWASP?

Olá pessoal

OWASP_Poland_logo

Com uma conotação em segurança que é um assunto que esta começando a ficar na cabeça dos profissionais de tecnologia da informação.

É item obrigatório quando se fala de aplicações WEB.

A segurança de aplicativos e softwares de computadores é simplesmente uma das etapas mais importantes do planejamento para o desenvolvimento. Afinal, o nível de confiabilidade é o que determinará o sucesso dele, e isso se refletirá no número de usuários ativos no aplicativo, por exemplo. E não tem como falar em segurança sem mencionar o OWASP.

É fundamental que os profissionais seja fora da area de Segurança desenvolvimento ou TI combata às falhas de segurança, enjaular ou blindar sistemas , aplicativos e sistemas contra invasões não autorizadas e vazamento de informações sigilosas dos usuários e empresas. Isso torna essencial acompanhar e participar ativamente do OWASP.

Quer entender melhor o assunto? A seguir, veja o que é OWASP e por que ele é tão importante para a sua empresa!

O que é OWASP?

A sigla OWASP é a abreviação para “Open Web Application Security Project”. Trata-se de uma entidade sem fins lucrativos e com reconhecimento internacional, atuando com foco na colaboração para o fortalecimento da segurança de softwares em todo o mundo.

O OWASP mantém uma lista com as 10 falhas de segurança de aplicativos da Web mais perigosas, juntamente com os métodos mais eficazes para lidar com elas. Abaixo, listamos o top 10 OWASP por ordem de maior risco para o menor, até a data de postagem deste post. Acompanhe:

  1. injeção de código;
  2. quebra de autenticação e gerenciamento de sessão;
  3. cross-site scripting (XSS);
  4. referência insegura e direta a objetos;
  5. configuração incorreta de segurança;
  6. exposição de dados sensíveis;
  7. falta de função para o controle de níveis de acesso;
  8. cross-site request forgery (CSRF);
  9. utilização de componentes vulneráveis conhecidos;
  10. redirecionamentos e encaminhamentos inválidos.

Como funciona o OWASP?

Quem sustenta o projeto é composto por uma gama de especialistas em segurança na web espalhados por todo o mundo. Eles compartilham seus conhecimentos e experiências sobre as vulnerabilidades, ameaças, ataques e informações sigilosas que são passadas com experiências e testes feitos.

A ideia é reunir as informações mais importantes que permitam a avaliação dos riscos de segurança e as formas de combatê-las eficientemente.

Por que o OWASP é importante?

O OWASP é um projeto de comunidade de segurança gratuita e aberta, que fornece uma riqueza absoluta de conhecimentos, ferramentas para ajudar qualquer pessoa envolvida nos processos de criação, desenvolvimento, testes, implementação e suporte de uma aplicação web a garantir que a segurança seja constituída desde o início e que o produto final seja tão seguro quanto possível.

Entre os principais benefícios que o OWASP proporciona às empresas e profissionais de TI, podemos destacar as seguintes:

  1. ajuda a tornar as aplicações mais blindadas contra ataques cibernéticos;
  2. colabora para a redução do índice de erros e falhas operacionais nos sistemas;
  3. contribui para uma codificação (criptografias) mais forte;
  4. eleva o potencial de sucesso das aplicações;
  5. melhora a imagem da empresa desenvolvedora do software.

Se você ainda não segue ou colabora com o OWASP, essa pode ser uma grande oportunidade de começar!

Mostrar aos clientes que a sua empresa participa ativamente da comunidade, colaborando com as informações, ajudará a mudar a forma como enxergam o negócio e melhorará significativamente a imagem da sua aplicação, ou do seu negócio como um todo.

Espero que tenha ajudado.

Veja o site do projeto OWASP e veja como ajudar ou participar.

Eu estou participando. E você, é aficionado por segurança, é de IT ou DEV? participe.

Valeu pessoal

 

Regra de NAT para acesso RDP pfSense

Olá pessoal, uma regra bem simples para acesso ao RDP através do Firewall pfSense.

pfSense-Logo

Bem simples, o pfSense é um dos firewalls UTM mais interessantes do mercado.

A primeira flexa, é a interface WAN neste caso é uma WAN da VIVO.

A segunda flexa é escolher o protocolo que é TCP.

A terceira flexa é o destino, quando você tem mais de um link WAN é possível escolher, neste caso já está com a WAN da VIVO.

A quarta flexa é escolher o protocolo RDP que de padrão já tem uma lista de protocolo padrão no pfSense.

A segunda parte é a principal onde vamos escolher o servidor a ser acessado.

A primeira flexa é escolher o servidor que será acessado através do link WAN de fora na porta RDP.

Escolhemos o Servidor Windows ip 192.168.0.6 neste caso. Se você for fazer neste caso escolher o IP do seu servidor da rede interna.

OBS: Não esqueça de ativar no seu servidor o acesso remoto.

A segunda flexa caso você tenha vários servidores de RDP é mascarar a porta de uma porta diferente para a porta RDP.

A terceira flexa é deixar a descrição detalhada da regra para identificar futuramente.

Salve a regra para que você acesse de fora.

Veja a regra já pronta.

Agora é só acessar via RDP.

Pronto agora é só acessar via RDP como na imagem acima.

Este foi testado em um ambiente de produção, mas testamos também no Azure e AWS que tem a o Appliance.

Veja no Marketplace das respectivas nuvens.

Veja neste link para Microsoft Azure https://azuremarketplace.microsoft.com/en-us/marketplace/apps/netgate.netgate-pfsense-appliance

Veja neste link para AWS https://aws.amazon.com/marketplace/pp/B00G6P8CVW

Este post temos como parceiro Rodrigo Soares ATCD e Fábio Silva MVP em Azure, Especialista em Cloud e Security.

Até a próxima pessoal.

PFSENSE, Firewall gratuito e poderoso.


O PfSense é um dos mais conceituados Firewalls do mercado. Além de ser Free, é uma poderosa ferramenta que pode ser usada para configuração de servidores DHCP, NTP, controlador de VPN, Proxy, Filtros de Pacotes e vários outros serviços referentes a segurança de ambientes corporativos.
Ele é baseado no sistema operacional FreeBSD, portanto seu kernel é leve e contém somente o necessário para o funcionamento do firewall.

Configuração do Ambiente Virtual


O sistema de Firewall funcione corretamente, é necessário que a máquina física ou virtual contenha pelo menos duas placas de rede. Uma iremos configurar com DHCP e conectar o modem de internet e na outra será estática para a porta de comunicação da rede interna.

Vamos começar criando o ambiente. No Virtualbox vá em Novo > Dê o nome para a Máquina, no caso, PfSense > Selecione BSD como Sistema Operacionel e FreeBSD 64 Bits.


Agora é só prosseguir criando o disco virtual e a memória RAM, o BSD é um sistema muito leve, portanto 128 de RAM já é o suficiente para a instalação. Porém se for aplicar em um ambiente real, coloque 512 mb, 1 Gb dependendo da quantidade de hosts da sua rede.

Criei duas placas virtuais em modo bridge no VirtualBox para demonstrar certinho como se faz.

Vá nas configurações da Máquina Virtual > Rede > Nos adaptadores 1 e 2, habilite os mesmos, coloque em modo Bridge, selecione a placa e clique em “Ok” deixando as duas iguaizinhas. Ok, vamos dar o Boot no Sistema.


 


 

Download do PfSense 2.2.4


O PfSense é um sistema que roda em cima do FreeBSD, ou seja, ele é muito, mas muito leve. Vamos baixá-lo direto da página de Download do site oficial do sistema.

Link: https://www.pfsense.org/download/mirror.php?section=downloads

Neste link selecione a arquitetura do seu sistema e em seguida selecione a opção “Live CD With Installer”. Em seguida clique em alguma das mirrors e faça o Download do arquivo compactado.


O arquivo “pfSense-LiveCD-2.2.4-RELEASE-amd64.iso.gz” que vai ser baixado está numa compactação gzip, então você não irá conseguir descompactá-lo com o tar.

# gzip -d  pfSense-LiveCD-2.2.4-RELEASE-amd64.iso.gz


Agora ele irá descompactar a ISO pra gente conseguir prosseguir normalmente.

 

 

Instalação do Firewall 

 

Inicie o VirtualBox selecionando a ISO do pfSense para dar o boot inicial. Na tela de Boot, você vai se deparar com a opção do PfSense para a utilização em modo LiveCD, ou seja, utilizá-lo sem a necessidade de instalação. Aperte 1 para iniciar o Boot default do sistema em modo Multi User. 

 

 


 

 

Logo depois de selecionar a opção 1, ele vai descompactar o Kernel e te pedir o modo que quer que o sistema inicie. Logo, espere o tempo de boot acabar para ele iniciar o installer. Nele digite a opção 99 para iniciar a instalação do sistema. 

 


 

 

Selecione a Opção Accept These Settings e dê Enter para prosseguir. Logo selecione Quick/Easy Install e Enter e Enter para começar a instalação do Software.

 



 

Após a instalação é hora de customizar o Kernel. Mas calma, o Kernel Standard do FreeBSD já vem o mais genérico e funcional possível para o bom funcionamento do Firewall. Selecione a opção Standard e prossiga. 

 


 

Após a instalação é só selecionar a opção reboot. É legal entrar no menu de dispositivos e desmarcar a ISO do PfSense depois de fazer o reboot pra evitar que ele tente reinstalar novamente. 

 

Na hora do boot é só selecionar F1, Enter que ele vai voltar na tela padrão do PfSense. Mais uma vez selecione a opção 1 e aguarde o boot do sistema. 

 

Agora ele vai pedir pra você configurar a VLAN que ele vai trabalhar, ou seja, atribuir os IPs as placas de rede que instalamos na máquina. Note que ele reconheceu as duas, e provavelmente atribuiu a identificação delas como em0 e em1

 


 

 

Selecione a opção 2 para atribuir um endereço para as placas. Vamos fazer assim:

 

em0 -> Vai receber uma configuração DHCP para conexão com a internet

em1 -> Vai receber uma configuração com um IP Estático da rede interna

 

Selecione 2) Set interface(s) IP address > Selecione a Opção 1 para editar a placa em0 e em seguida selecione Yes(y) para atribuir o endereço DHCP para IPv4, Novamente para o IPv6 e mais uma vez para o Web configurator. 

 

 

Selecione 2) Set interface(s) IP address > Selecione a opção 2 para editar a placa em1 e em seguida atribua um IP Fixo pra ela, logo atribua a subrede. Eu atribui como 24 para setar o padrão. 

 

Agora no navegador, digite o IP fixo atribuido à placa de rede.

 

http://IP-DO-SERVIDOR

 


 

As credenciais Default são 

 

Username: admin

Password: pfsense

 

Agora avance e altere as configurações de host e DNS, rede conforme o a sua necessidade e troque a senha do admin no final da configuração e dê um reload no firewall. 

 

 


 

 

Como vocês puderam ver não é necessária muita técnica para instalar o PfSense. 

 

Depois da configuração é só acessar a URL novamente e acessar o painel de controle do firewall. 

Nele é possível realizar configurações de VPN, Proxy, Firewall, DNS, NTP, redirecionamento de portas e outros módulos do PFSENSE.

 

A versão instalada foi a 2.2.4

 


Espero que tenham gostado.

DevOps: saiba como ela pode promover a segurança da informação

devops

A segurança da informação é hoje uma das grandes preocupações das empresas de todos os portes. E não era para menos, as ameaças não param de aumentar. Um levantamento feito pela Symantech no início de fevereiro detectou que as empresas brasileiras receberam mais de 40 mil spams para roubo de dados em apenas oito dias. Isso mostra o quanto os hackers estão interessados em invadir contas de e-mails para, a partir delas, chegar aos servidores e colocar em ameaça informações sensíveis como transações financeiras entre outras.

Além das crescentes tentativas de ataques externos por phishing, as próprias vulnerabilidades das soluções desenvolvidas pelas empresas, que agora lidam com um pool muito grande de ferramentas e equipamentos tecnológicos, podem ameaçar a segurança da informação. E, nós sabemos, é muito comum que as equipes de projetos de segurança sejam também responsáveis pela operação da segurança, quando não são também responsáveis por outras áreas de TI. Este dia a dia corrido sobrecarrega os profissionais que, por sua vez, deixam involuntariamente brechas em algum ponto do processo.

E a segurança da informação, neste processo, também se torna uma preocupação das equipes de desenvolvimento, cada vez mais pressionadas para entregar aplicações com agilidade e eficácia.

A boa notícia é que na mesma proporção também crescem os esforços para manter os dados corporativos seguros. Você sabia que a metodologia DevOps pode ajudar a promover a segurança da informação no processo de desenvolvimento da sua empresa? É sobre isso que vamos conversar neste artigo. Confira!

Antes de tudo, vamos relembrar rapidamente o que é, afinal, a DevOps:

O que é DevOps?

Nascido da necessidade de melhorar a entrega de serviços agilidade, o movimento DevOps enfatiza comunicação, colaboração e integração entre desenvolvedores de software e operações de tecnologia da informação (TI). Ao invés de ver estes dois grupos como silos, ou seja, departamentos separados que não trabalham juntos, DevOps reconhece a interdependência das operações de desenvolvimento de software e de TI e ajuda no desenvolvimento mais ágil, com iterações mais frequentes.

Em outras palavras, trata-se de uma metodologia de desenvolvimento de software que cumpre a difícil missão de integrar desenvolvedores de software e profissionais de infraestrutura de TI. E desta integração nascem benefícios como padronização dos desenvolvimentos de desenvolvimento, facilitação da gestão de lançamentos de novas versões, controle e documentação de relatórios, menor tempo de entrega do software, além de diminuir as chances de erros e problemas com testes de qualidade.

Dito isso, vamos agora à explicação de como é possível conseguir mais segurança da informação com a utilização da metodologia DevOps!

Como DevOps promove a segurança da informação?

As organizações adotam a metodologia DevOps para agilizar o processo de desenvolvimento através da combinação de várias etapas em um único processo, automatizado. Assim, diferentemente do processo tradicional de desenvolvimento (cascata), os profissionais de TI de todas as áreas trabalham em conjunto desde o início para reduzir drasticamente o tempo para lançar um produto. Em vez de continuar a existir como um autônoma, entidade isolada de segurança, a segurança da informação passa a ser integrada no processo desde o início.

Dito de outra forma: o método DevOps integra uma série de áreas funcionais, incluindo a segurança, para o produto final. Assim,  a entrada de todos os envolvidos no desenvolvimento começa mais cedo e, em seguida, o processo é automatizado para garantir tempos de liberação previsíveis, curtos e de qualidade. O resultado? Soluções mais seguras, menos vulneráveis, entregues em menos tempo.

Vamos a um detalhamento maior desta proposição:

DevOps promove análises verificativas desde o início do processo de desenvolvimento

Ao usar a metodologia DevOps, a equipe de desenvolvimento preza por fatores relacionados à confiabilidade, proteção e análise do desempenho desde as primeiras etapas. Além disso, DevOps permite ao gestor o monitoramento mais apurado de tudo o que envolve os esforços de desenvolvimento e testes.

DevOps requer testes em todas as etapas do desenvolvimento

Ao invés de começar a fazer testes somente quando o produto estiver finalizado, com DevOps, as equipes testam a performance da aplicação etapa por etapa. Assim fica mais fácil identificar falhas, desajustes, aplicações incompletas e necessidades ainda não supridas pelas funcionalidades. Podemos dizer que o software é corrigido de forma mais instantânea, permitindo que as outras etapas tenham um grau de confiança maior.

DevOps promove a sincronização das equipes permitindo múltiplos mecanismos de autenticação

O método DevOps pode ser disponibilizado em uma ferramenta multi-inquilino (funcionando em ambientes híbridos). Isso permite diversos mecanismos de autenticação, inclusive no próprio servidor. Isso faz com que as equipes trabalhem mais sincronizadas, fazendo com que os erros involuntários, muitas vezes causados por má interpretação de requisitos, sejam mitigados.

DevOps traz mais poder de intervenção durante o desenvolvimento

A dinâmica do processo de desenvolvimento trazida pela metodologia DevOps facilita a detecção de falhas. Isso faz com que os profissionais envolvidos consigam intervir em tempo para fazer as correções e não comprometer as etapas posteriores.

DevOps é um novo paradigma para profissionais de desenvolvimento e segurança da informação — uma conclusão

Em suma, podemos resumir que a metodologia DevOps traz mais segurança no código (testes ao longo do desenvolvimento), correções ao longo do processo (no processo tradicional, os testes são feitos ao final), traz os profissionais de segurança da informação para o meio do processo de desenvolvimento, o que também melhora a detecção de vulnerabilidades e as correções e promove uma cultura de prevenção.

DevOps é, portanto, não só uma cultura de desenvolvimento mais ágil e de integração das equipes de desenvolvedores com a operação de TI, mas também é um salto em matéria de segurança da informação. Trata-se de um método que faz com que a segurança deixe de ser um ponto isolado, passe a fazer parte de todo o desenvolvimento da aplicação. E isso é também um novo paradigma para os profissionais de TI que estão, cada vez mais, em busca de maior agilidade e assertividade em suas entregas.

Você já utiliza a metodologia DevOps no desenvolvimento? Quer saber mais sobre o assunto? Baixe grátis o e-book: ‘Guia Rápido DevOps — Aprenda de maneira simples o que é e como implantar DevOps’.

 

Guerra virtual: site mostra em tempo real todos os ataques hackers pelo mundo – InfoMoney

http://m.infomoney.com.br/blogs/blog-da-redacao/post/4414953/guerra-virtual-site-mostra-tempo-real-todos-ataques-hackers-pelo

COMO RASTREAR E SABER A CIDADE DE UM IP | MR ROOT – BRASIL

http://www.mrrootbrasil.com/2016/01/como-rastrear-e-saber-cidade-de-um-ip.html?m=1

Dica para não ser rastreado no Facebook.

Facebook: veja se você está sendo rastreado e saiba como acabar com isso

http://www.tecmundo.com.br/facebook/84827-facebook-veja-voce-sendo-rastreado-saiba-acabar.htm

randieri.com

Il blog di Cristian Randieri

TEC OFFICE PRODUTIVO

Tec Office Produtivo é um grupo de treinamentos, dicas e tutorias de informática sobre aplicativos utilizados em escritórios.

Escadas Especiais

Projetos, fabricação e instalação de escadas em geral

Jaqueline Ramos

Devops & Cloud

Blog do Douglas Romão

MVP Office Servers and Services | Especialista .NET/SharePoint

Thiago Lúcio - Desenvolvimento Web/ Web Designer

Blog de Thiago Lúcio Bittencourt. Web Designer e Desenvolvedor Front-end.

🔵Fábio FOL

Gestão Estratégica Corporativa de uma forma Executiva e Prática