A dificuldade do primeiro emprego em TI

Trabalhar com computadores e com tecnologia de ponta é o sonho de qualquer profissional apaixonado por novidades. A cada dia que passa, é um novo aparelho eletrônico sendo lançado no mercado, um novo software utilitário e outras tantas novidades que fazem a gente gostar ainda mais da informática.

É uma área desafiadora pois a necessidade de atualização é constante. A vontade de aprender e ultrapassar obstáculos deve ser a fonte alimentadora para as pessoas que almejam uma vaga que envolva diretamente a tecnologia.

A tecnologia da informação traz um leque bem diversificado das inúmeras possibilidades de se trabalhar com tecnologia. Pode ser com atividades que envolva programação, manutenção e suporte, banco de dados, segurança da informação e outras inúmeras áreas da tecnologia.

Escolher uma profissão é uma etapa bem importante na vida para aqueles que não tiveram ainda nenhum contato com o mundo profissional. Nesse momento, tem que se levar em conta não só o salário da profissão mas todo o esforço que será necessário para alcançar os seus objetivos.

No mercado de trabalho, existem diversas vagas para profissionais de TI em aberto esperando pelos profissionais. Entretanto, se você nunca trabalhou ou não tem nenhuma experiência de trabalho com informática, ficará muito difícil conquistar uma dessas oportunidades de emprego.

É justamente nesse ponto de vista que analiso as dificuldades de um profissional de TI conseguir uma vaga no mercado de trabalho quando se trata do primeiro emprego. A maioria das vagas pedem experiência comprovada, certificação e outros requisitos que impedem que os profissionais de TI que estão terminando a faculdade, possam ter uma oportunidade de trabalho.

Algumas ações tentam ajudar para que qualquer pessoa possa ter uma relação de trabalho, principalmente quando se trata do primeiro emprego. Uma dessa ações se refere ao Programa Menor Aprendiz. Jovens com 16 anos podem trabalhar nas empresas como menor aprendiz e ter as mesmas garantias trabalhistas legais que um funcionário comum.

Entretanto, que jovem nessa idade estará terminando a faculdade no curso de tecnologia? Então esse programa não atende à necessidade daqueles que estão se formando em curso de tecnologia. Se as empresas pedem experiência em suas oportunidades de emprego, como atender essa demanda de pessoas que se formam na área de TI mas nunca trabalharam?

Durante o curso, até por questões de formação, é obrigatório que o aluno do curso de tecnologia faça um “estágio” para permitir que ele seja aprovado na faculdade. Entretanto, quando esse profissional termina o seu estágio, que tem uma duração entre um ou dois anos, não tem a certeza que será efetivado como funcionário na empresa onde estagiou.

E se não é efetivado, como conseguir o verdadeiro emprego se a experiência que as empresas cobram são muito além das atividades realizadas como estagiário. É uma situação difícil de se equilibrar. Diversas empresas ignoram o fato do estágio ter ocorrido. Para elas, estágio não é emprego. Então estagiar não significar aprender? Não teve experiência adquirida durante o estágio?

Perguntas que quase não se tem respostas. Se a cada dia o mercado fica mais acirrado quanto aos requisitos mínimos para contratar profissionais de TI, como alguém que nunca trabalhou com informática vai poder concorrer a uma dessas vagas?

E esse problema só tende a piorar na medida que a idade do profissional avança. Alguém que se forma na área de TI e que possua mais de 40 anos de idade, terá uma dificuldade maior que um recém-formado jovem na mesma área. Diversos programas de Trainee nas empresas aceitam pessoas formadas com idades até 25 ou no máximo 30 anos (e olhe lá).

Com tudo, realmente fica muito difícil conseguir um emprego se antes ninguém der oportunidade para os profissionais que não possuem nenhum tipo de experiência com informática.

Até a próxima!

Anúncios

Espionagem na Tecnologia: a sua vida está sendo “monitorada” há muitos anos

As revelações bombásticas de ex-analista contratado pela NSA (Agência de Segurança Nacional dos EUA), Edward Snowden, que deixou o EUA e foi-se refugiar na Rússia trouxe a discussão em todo o mundo a respeito do tema: Espionagem.

Já sabemos que o conhecimento é o ativo mais importante de uma empresa, assim como as pessoas que trabalham dentro dela. Uma informação sigilosa mal guardada, é passível de levar a quebra de uma empresa. Basta que um determinado projeto revolucionário seja de conhecimento do concorrente que pronto, o estrago já está feito.

Imagina então quando informações sigilosas de uma sociedade inteira está disponível para um determinado Governo? E pior, sem o consentimento e nem de conhecimento dos coitados cidadãos que acreditam que possuem algum tipo de privacidade nos dias de hoje, que tanto nos esbarramos nos verdadeiros “Big Brothers” nas ruas e nos estabelecimentos comerciais.

Não é a toa que diversos países e autoridades mundiais ficaram em uma saia justa quando determinados documentos oficiais foram divulgados para o mundo, principalmente através da organização, sem fins lucrativos, WikiLeaks. Diversos problemas diplomáticos surgiram com a divulgação de informações secretas. Espionagem?!

Vamos nos remeter ao nosso cotidiano e verificar se também não estamos passíveis de espionagem tecnológica sem ao menos termos noção desse “monitoramento” diário. Antes de tudo, posso afirmar com total convicção: se você usa a tecnologia no seu cotidiano, nem que seja para receber ou realizar ligações de celular, desculpe mas… você está sendo monitorado.

A telefonia de celular, pelo próprio nome que caracteriza a forma de funcionamento do serviço móvel de telecomunicação, que se utiliza de antenas transmissoras de sinal de celular (as chamadas ERB – Estações Rádio Base) para levar o sinal da telefonia ao seu aparelho telefônico.

É a comunicação do seu celular com as várias antenas de celular em sua cidade que permite você se deslocar entre os bairros e municípios, falando no celular sem que a ligação seja interrompida (conhecido como Roaming). Quando isso acontece (a queda de sinal e é um gerador de reclamação nos Procons Estaduais) é porque uma determinada região está fora da área de cobertura de uma dessas antenas.

Mas o que tem a ver o sistema de telefonia celular com a espionagem tecnológica? Vou explicar: o seu celular enquanto passa de antena a antena para garantir que tenha sinal eu seu aparelho, existe uma comunicação entre as antenas ERB e o seu celular. Com isso, todo os seu percurso e trajeto dentro da cidade, fica registrado no sistema informatizado da operadora de telefonia por onde você passar, por onde passou e onde você está nesse momento. Em qual antena ERB, qual latitude e longitude (geolocalização).

Ou seja, se você tiver inimigos dentro da operadora de celular e alguém, mesmo que de forma ilícita, quiser saber onde você se encontra, basta acessar o sistema interno da operadora e te localizar em qual antena seu celular está “conectado”, ou melhor, recebendo o sinal de celular. Isso não é espionagem?

Não vamos muito longe. A navegação na internet é rica em rastros deixados no computador para indicar quando você acessou determinados sites, quais assuntos você frequentemente pesquisa no Google e assim, as empresas conseguem traçar o seu Perfil Econômico para divulgar produtos e serviços que tendem a se encaixar nas suas preferências.

Alguns vão falar que basta não aceitar os “cookies”, realizar a navegação privativa e outros recursos que dificultam essa “espionagem eletrônica”. Certíssimos! Mas convenhamos, esse procedimento de navegação é o padrão de todos internauta conectado na internet?

Claro que não! Você usa o gmail, hotmail, ou outro webmail gratuito? Já percebeu que os anúncios que aparecem em sua caixa postal ou dentro da plataforma do webmail, em forma de banners, são de produtos ou serviços que encaixam nas suas preferências pessoais ou profissionais?

Por exemplo, no gmail recebo anúncios de softwares, equipamentos de informática, ferramentas, etc. Como o gmail sabe disso? Bola de cristal? Nada, nesse caso, basta um algorítmico no webmail do gmail para percorrer os meus e-mails recebido e enviados e realizar uma indexação das palavras mais trocadas nos e-mails para se montar um perfil meu e assim, oferecer os produtos que mais tenho falado em meus e-mails.

O caso que mais chamou a atenção na mídia é os EUA gravarem todas as suas conversas que um dia você teve no Skype, MSN e outros meios. O servidor principal dessas plataformas ficam onde mesmo? Quando você loga, a sua base de dados com o seu cadastro na rede social está aonde? Em um servidor no Brasil? Claro que não. Está lá, na terra do Tio Sam.

Basta o Governo americano suspeitar de uma mensagem sua para você ser monitorado 24h. Se tiver conteúdo de terrorismo então, nem pense nas consequências. Aí que a espionagem acontecerá mesmo.

Ainda no Gmail, você pode perceber que as informações de quem acessa a sua conta e de qual IP você conectou o seu gmail, está tudo disponível para eles. Quer ver? Entre na sua conta do Gmail e ao final da página da caixa de entrada, no canto direito inferior da tela, procure por “Details” (“detalhes” para quem usa o tema em português – Brasil). Ficou surpreso? Olha a lista dos IP’s de onde você estava para entrar na sua conta, a data, a hora, a versão no navegador… Se você tem a informação é porque eles também tem. E pior, desde de quando você criou a sua conta.

Poderia dar inúmeros exemplos aqui mas eu só quero levar ao debate que não podemos nos surpreender quando alguém falar que estamos sendo espionados na internet. Já abrimos há muito tempo mão da privacidade em nome da comodidade (no casos de ter uma conta de e-mail sem pagar em troca do servidor saber o que eu gosto e o que eu ando fazendo).

Tem gente que se inscreve para determinados programas de televisão para expor toda a sua intimidade em troca de dinheiro. O que esperar então da tecnologia?

Só nos resta uma coisa: ter cuidado com aquilo que ainda temos controle porque de resto, o que você achava que era só seu, já faz parte da internet (e de todos) há muito tempo.

Até a próxima!

Cargo de TI com alto salário: o alvo principal quando se fala em redução de custos de uma empresa

Estudos, pesquisas, noites em “claro” e muita dedicação profissional: esses são alguns dos esforços que um profissional de TI qualificado realiza para chegar no topo de sua carreira. Depois de anos peregrinando um aumento ou uma promoção, esse profissional tem o desprazer em saber que em toda crise financeira no mercado, o seu cargo está a perigo.

O empresário enquanto está tendo lucro no seu negócio, enxerga o seu profissional de TI como um investimento que deu retorno. Após anos de dedicação desse profissional à empresa, horas de empenho nos finais de semana, sempre de prontidão com as necessidades da companhia, tem o seu momento retribuído.

A promoção de um bom profissional de TI vem de forma natural, mesmo que isso leve anos, o que é normal nessa área. Até porque, nas empresas que a atividade fim não é a tecnologia, o Setor de TI sempre é visto como custo. Isso quando não é visto como uma despesa. Portanto, as promoções são cada vez mais raras e muita das vezes, tem que partir do funcionário o pedido de promoção ou aumento de salário.

Entretanto, uma vez concedido a promoção para um cargo de maior responsabilidade (e normalmente vem com um aumento de salário junto), o profissional de TI tem um dilema pela frente que as vezes soa até estranho: em determinadas companhias, certos funcionários recusam um aumento de salário devido ao momento de crise que o país está atravessando e sabe que se aceitar a oferta, poderá entrar no alvo da empresa em uma possível fase de redução de custos internos.

Eu tenho visto, e acredito que seja um enorme erro cometido pelos administradores de empresas que infelizmente só olham para números, planejar uma redução de custos de uma empresa começando pela demissão dos funcionários com maior salário na empresa. Em um primeiro momento, pode ser o caminho mais rápido para trazer retorno aos acionistas e demonstrando resultados concretos de redução de custos para enfrentar uma crise.

Todavia, a empresa poderá está cometendo um enorme erro em sua decisão pois ao médio prazo, essa redução de custo levando somente em consideração o valor do salário de seus funcionários, pode levar a empresa para uma carência de pessoas com experiência e dedicação em seus quadros. Dessa forma, após a crise passar, a empresa necessitará contratar novas pessoas e aí sim, o custo do novo empregado (e no caso do TI pode ser mais acentuado ainda) pode ficar o dobro da economia gerada com a dispensa do cargo que tinha maior salário.

Tem que se analisado o quanto a empresa gasta para treinar e capacitar um novo empregado. O tempo “parado” que o novo empregado de TI vai precisar para assimilar os processos internos da empresa e passar a conhecer do negócio. Nem estou falando que a cada profissional que entra na empresa, a expectativa de futuro é diferente a cada situação econômica que vive o país.

Como fica o Setor de TI de uma empresa em que os funcionários que são empregados ficam sabendo que a cada crise, a gerência da empresa demite aqueles que possuem altos salários? Você bateria na porta do seu líder para pedir um aumento? Mesmo sabendo que na próxima crise, o seu emprego poderá virar alvo de uma nova redução de custos?

Não é uma situação fácil de ser gerenciada. Os empresários precisam reter os seus talentos internos, mesmo que para isso seja preciso “sangrar” um pouco mais os lucros de seus acionistas e reduzir sim, com coisas que precisam ser cortadas, como: o cafezinho, as impressões de trabalho que não são de objetivo laboral (quantos trabalhos de escolas e faculdade são realizados dentro das empresas?) e que desperdiçam papel e tinta. Tem que economizar na energia, desligando monitores e computadores ao final da jornada de trabalho e outras atitudes ecologicamente corretas.

Infelizmente, não estamos acostumados a fazer determinados serviços que não são ligados diretamente a nossa função, como exemplo, limpar a nossa mesa com um pano e por quê não passar uma vassoura em nossa sala de trabalho? Isso já economiza com os gastos de serviço gerais (me desculpem mas eu sei que haverá demissão dos trabalhadores de serviços gerais, de copa, faxineiros, etc).

O que levanto para o debate é o resultado prático de se escolher o valor do salário para justificar uma redução de custo da empresa e por quê não economizar com outras coisas que somadas, podem até ultrapassar a economia com a dispensa dos profissionais de TI.

Contudo, devemos ser mais justos em nossas decisões e agir como verdadeiros gestores: quantificar todos os gastos do setor, com os gastos gerais de empresa e defender o seus profissionais que não podem levar a culpa por conseguirem salários dignos e justos, que são mais que merecidos após anos de dedicação à empresa.

Se isso não for levado em conta, chegaremos ao ponto de ver no mercado de trabalho de TI, somente vagas ocupadas por tecnólogos ou auxiliares de TI. Salários medianos e que não trazem expectativas de crescimento nenhum a longo prazo. Dessa forma, a recusa em se ter um salário alto só terá uma saída: mudar de área ou abrir a sua própria empresa. Mas também para contratar técnicos e não profissionais que desejam aumento.

E você, já pensou em ganhar um salário alto na empresa onde trabalha? Cuidado, um aumento pode ser a sua futura porta de saída…

Até a próxima!

Gestão em TI: trabalhar para ser chefe ou líder?

Já se sabe que o trabalho dignifica o homem. Essa é uma expressão que aprendemos desde cedo, quando ainda jovem, concluindo a faculdade e pesquisando o mercado sobre as oportunidades de trabalho. Muitos buscam as primeiras vagas que surgem, independente de olhar para o futuro, outros são mais planejados, procuram entender até que ponto podem crescer na vaga ofertada.

O mercado de trabalho em TI é muito competitivo e dinâmico, onde o profissional precisa se qualificar e atualizar com as novas tecnologias com certa habitualidade para não correr o risco de ficar “obsoleto” em termos de novidade tecnológica e perder bons salários por falta de atualização.

Entretanto, a nova geração tem um pique para aprender novas tecnologias que nossos antepassados nunca viram. Eles já nasceram com a internet, estão conectados com o mundo diariamente e possuem facilidade de aprender com os novos desafios. Os jovens de hoje buscam reconhecimento de seus esforços em um curto espaço de tempo, o que pode prejudicar ou beneficiar, dependendo do perfil da empresa onde trabalham.

Todavia, em um modo geral, devemos trabalhar sendo pensando em almejar um objetivo. Alguns sonham em trabalhar para ser coordenador de TI, outros em serem chefes de equipes de segurança da informação. Você vai encontrar quem fale que tem o objetivo de meramente está empregado e que a empresa o não dispense (as pessoas acham que isso é uma meta a longo prazo). Mas, raramente, você vai escutar: “eu quero trabalhar para ser um LÍDER um dia”.

O que leva as pessoas a não pensar em querer ser um Líder e sim, em ser um Chefe é a falta de conhecimento ou informação pela diferença entre eles. Não vou entrar na área do marketing nem dos princípios que regem a administração de empresas, somente vou comentar algo sobre eles que vai fazer você refletir e até quem sabe, descobrir que você já é um líder e não sabe!

Normalmente, a geração passada, aqueles conhecidos como a geração x (isso mesmo meus amigos, e aí eu me incluo pois são as pessoas que nasceram antes da década de 80) almejavam trabalhar para um dia ser Chefe e mandar no setor onde trabalhavam. Parecia que era bonito ser uma pessoa dando ordens para serem cumpridas, recebendo relatórios em sua mesa e tendo uma secretária para lhe oferecer boas xícaras de café.

Pois bem, esse é o verdadeiro chefe. Ele diz: “Pense”, “vai fazer” e espera sentado a resposta da ordem dada ao seus subordinados. Você tem dito essas palavras ultimamente? Então você realmente é um chefe!

Agora, se ao contrário disso, você fala para a sua equipe: “pensamos”, “vamos fazer”, “nós temos que…” então você é um Líder. Realmente você tem uma equipe de funcionários e não subordinados. Esse profissional de hoje, tem a percepção que todos estão no mesmo “barco” e que o sucesso é de todos assim como o fracasso também. A responsabilidade é dividido entre todos entre o líder e os liderados.

O líder empolga a todos ao seu redor para mostrar resultados, incentiva o estudo, a pesquisa, a contribuição de ideias (através de brainstorm) e outras iniciativas que cativam os seus liderados e enxergam no seu líder, o leme que dará rumo ao sucesso profissional deles.

Enquanto que o chefe, dará sempre ordens, pouco aberto a escutar seus subordinados e sempre com o medo de perder o seu emprego para um subordinado da geração Y, os antenados na tecnologia e que possuem boas ideias empreendedoras.

E aí, vai continuar a ser chefe ou prefere ser um Líder?!

Até a próxima!

Algumas competências que todo profissional de Segurança da Informação deveria ter

Em um mercado competitivo e dinâmico, o profissional de tecnologia precisa se atualizar constantemente com as novas tecnologias que surgem para evitar ficar desatualizado e perder boas chances de trabalho por falta de qualificação técnica.

Entretanto, algumas competências profissionais não são necessariamente ligadas à tecnologia em si. São habilidades necessárias para um bom desenvolvimento do trabalho ligado a Segurança da Informação.

Por exemplo, é de suma importância que as pessoas que queiram trabalhar com segurança da informação saiba identificar o problema de segurança e tratá-los. Não adianta encontrar uma falha e não ter a menor ideia de como resolver. Encontrar a falha não quer dizer problema resolvido. Muitas pessoas passam com os olhos pelo problema e nem desconfiam qual é a origem da falha por simplesmente desconhecer alguns preceitos básicos da área, como atualizações, hotfix e fóruns especializados.

Nesse mercado, é importante resolver vulnerabilidades no menor tempo possível (logicamente quando as soluções são compatíveis com o que se espera) para evitar prejuízos maiores. Todavia, é necessário ter a competência de analisar se uma solução sugerida serve para determinadas falhas encontradas.

Outra competência básica para um profissional de segurança da informação é ter conhecimento das normas/procedimentos que regem determinadas áreas, como ABNT, SOX, RFC, etc. Dependendo do mercado que o profissional irá atuar, a empresa como um todo tem que atender as exigências de uma determinada norma. Por exemplo, as empresas bancárias/financeiras para entrar na bolsa de valores americana, devem seguir a norma SOX (Lei Sarbanes-Oxley).

Nessa norma, exige-se a criação de mecanismos de auditoria e controle de segurança confiável nas empresas, incluindo a criação de comitês internos para minimizar os riscos aos negócio, mantendo um controle nas operações e atividades da empresa, garantindo a rastreabilidade de qualquer ação realizada em seus sistemas e processos internos.

Executar constantes testes de segurança nos sistemas internos da empresa e emitir um laudo sobre a situação atual é dever inerente para quem trabalha nessa área. É através dos relatórios do resultado de testes de vulnerabilidade é que o profissional poderá tomar determinadas ações ou pelo menos planejar como e quando agir.

Não se pode esperar pelo pior (como a invasão dos sistemas ou paralisação total dos serviços) para entrar em ação. A inércia é um fator determinante para o fracasso de uma organização em relação as questões de segurança da informação pois dependendo do problema encontrado, o trabalho para correção pode ser inviável e aí, as consequências negativas graves serão inevitáveis.

É necessário a criação de procedimentos de investigação e busca de evidências para situações que exijam uma intervenção mais técnica e profissional para levantar a autoria de determinadas situações, algumas delas até criminosas. O ato de um funcionário apagar arquivos sigilosos da empresa ou alguma informação ser repassada para terceiros (sem ter autorização ou mediante suborno), é necessário investigar e chegar na autoria desse crime.

Com procedimentos claros e objetivos, o tempo para executar o processo de investigação será menor pois as ferramentas, o “onde” e “como” procurar está todo descrito no procedimento e que o profissional de segurança da informação saberá exatamente como agir nesses casos.

Com isso, percebemos que não é só de tecnologia que devemos saber quando falamos sobre segurança da informação. Algumas competências intrínsecas ao perfil desse funcionário devem ser atendidas para que a real segurança da informação não fique apenas no nome do cargo, e sim, na atividade fim.

Até a próxima!

A Importância do uso de uma Real-Time Blackhole List dentro de uma organização corporativa

O desenvolvimento da informática faz com que as empresas se automatizem cada vez mais nos seus processos internos, trazendo inúmeros benefícios para os empresários e para os seus funcionários. Essa automatização tem um papel fundamental no sucesso do negócio pois a concorrência no mercado é tão grande que se o empresário não souber gerir direito o seu empreendimento, estará fadado ao fracasso financeiro ou perder grandes clientes por falta de agilidade e competência.

Agregado a otimização, a empresa necessita divulgar o seu produto/serviço no mercado para conseguir alcançar o consumidor final para que ele compre ou pelo menos tome ciência do que está sendo comercializado. Essa divulgação nada mais é do que a realização da publicidade do produto, uma técnica utilizada no marketing que tem como objetivo de criar ou mudar os hábitos do consumidor para levá-los a adquirir o que se está ofertando.

E com isso, podemos observar a utilização de uma das estruturas do Marketing (conhecidos como os 4 P’s – Produto, Preço, Ponto de Vendas e Promoção) que é a promoção do produto, um esforço persuasivo de comunicação a respeito da organização como forma de comunicação promocional comumente utilizada pelas empresas e organizações para se comunicarem com o seu mercado.

Entretanto, o que temos visto ultimamente é a utilização de ferramentas de promoção em massa que se contrapõe à venda pessoal, abusando excessivamente de envio de e-mails promocionais diários sobre o mesmo produto/serviço, ocasionando em um recebimento e envio de milhares de e-mails de divulgação para toda a parte do mundo.

A consequência imediata desse uso de divulgação em massa é o trânsito de milhares de mensagens virtuais trafegando na internet e muito desses e-mails acabam só fazendo volume desnecessários nas caixas postais dos destinatários, que nem sempre possuem o perfil do consumidor relacionado ao produto em questão.

Esses e-mails indesejáveis que acabam poluindo as caixas postais dos usuários são conhecidos como spam. Para uma empresa, é perda de tempo e produtividade ficar deletando esses spam pelos seus funcionários, que gastam minutos preciosos de produção para simplesmente limpar a sua caixa postal com mensagens virtuais promocionais. E o pior que o recebimento desse tipo de e-mail se repete todos os dias e se não tiver uma solução adequada, seria o mesmo que secar o gelo com toalha de papel.

Uma forma de minimizar esse impacto na organização, é fundamental que os profissionais de TI configurem em seus servidores de e-mail o uso do Real-Time Blackhole List, que são listas “negras” de IP (endereços ip de computador) gerados por organizações internacionais relacionando os computadores que geram spam na internet.

Cada órgão tem o seu critério para inserir ou remover da lista os endereços IP suspeitos de enviar spam pela internet. Quando queremos que o nosso servidor de e-mail, dentro da empresa, consulte uma dessas lista para verificar se o IP de origem é um spam conhecido, o servidor tem que está configurado para buscar o ip do servidor de origem na Blacklist (lista negra) informada nas configurações de nosso servidor corporativo. Caso esteja cadastrado, o seu servidor de e-mail irá ignorar a conexão e assim, sua caixa postal corporativa não receberá o tal temível spam.

Agora, se você quer utilizar uma outra forma de controlar o recebimento de spam (e que dá mais trabalho) é fazer com que, por padrão (default), o seu servidor de e-mail negue todas as conexões de servidores de origem e somente receberá o e-mail origem após o seu servidor de e-mail consultar uma Whitelist (lista branca) onde constará o IP dos servidores de e-mail de origem que não são conhecidos como spam.

Eu não aconselho utilizar a técnica do whitelist porque basta uma oportunidade do servidor “legítimo” que se encontra nesse tipo de lista branca enviar um spam para que a sua empresa receba o e-mail indesejável. Se você pesquisa em uma lista negra antes de receber um e-mail, é mais provável a recusa de um servidor que você nunca teve contato pois esse servidor de spam basta entrar na lista negra que automaticamente o seu servidor de e-mail começará a recurar o recebimento de e-mails dessa origem.

Já na lista branca, um servidor que antes não era classificado como spam e agora passa a ser, você como administrador de TI vai ter que retirar da lista branca manualmente para que impeça o recebimento de e-mails.

Portanto, a importância no uso de uma lista de consulta em tempo real de possíveis servidores como spam, torna o processo de recebimento de e-mails mais otimizado e diminui o risco das caixas postais corporativas ficarem repletas de mensagens indesejáveis. Claro que alguns desses e-mail vão ser entregues mas como sabemos, nada na informática é possível ter 100% de êxito.

Segue abaixo alguns exemplos de listas RBL para se configurar no seu servidor de e-mail:

Você também pode pesquisar manualmente se um determinado IP está em alguma lista negra. Acesse o link abaixo e digite o IP suspeito:

Até a próxima!

O Papel do Security Officer

Existem desafios que todo profissional designado para a função executiva de gestor de segurança da informação deve conhecer, enfrentar e superar. Evidentemente, sempre considerando o porte da organização e as características do negócio pois muita das vezes, o profissional deseja implementar vários controles de segurança mas ficará impedido pelo alto valor do investimento.

O Security Officer tem que ser o mediador, orientador, questionador, analisador de ameaças, impactos e consequentemente responsável por um estudo de viabilidade para cada situação e etapas a serem impostas, na esfera das estratégias de análise dos riscos. Afinal, ele estará envolvido com os diversos setores da organização, receberá e emitirá opiniões sobre as atividades desenvolvidas e a forma de como assegurar a segurança das informações.

Segundo Mário César Peixoto, o Security Officer não deixa de ser um engenheiro social do bem, devido a ter que conhecer suas técnicas, seu modo de agir, enfim, o perfil com atitudes e suspeitas de que esteja deparando com um ataque da Engenharia Social. O Engenheiro Social é o profissional que utiliza a boa vontade das pessoas em querer ajudar para obter todas as informações importantes e confidenciais de uma instituição, para futuramente, promover algum tipo de ataque à organização.

O papel do Security Officer é ser mais uma poderosa ferramenta para ajudar na diminuição de pontos vulneráveis que possam mais tarde se tornar ameaças crônicas, resultando em impactos sérios e as vezes irreparáveis, principalmente se as consequências da ações descontinuarem o negócio da empresa.

Esse profissional tem que está ciente que seu objetivo é fazer segurança pois é o responsável pela execução do processo de segurança da informação. Ele tem que garantir que os requisitos de segurança existem, são de conhecimento dos envolvidos e são cumpridos ao longo do tempo.

Uma das responsabilidades do Security Officer dentro de seu papel é definir a abordagem estratégica que vai adotar para a organização, em que necessariamente tem que estar alinhada às normas e procedimentos éticos da corporação, definir a forma de atuação do grupo de segurança, ter por base as normas e melhores práticas do mercado, proteger os recursos de informação, definir os controles para as novas iniciativas do negócio e acompanhar a eficácia da proteção ao longo do tempo.

Realmente não é tarefa fácil elaborar e executar um plano de Segurança da Informação, mas é possível na medida em que se conheçam verdadeiramente os negócios da empresa, tendo a liberdade de propor novos planos à Diretoria. Não adianta somente propor solução, tem que se preocupar em evitar a descontinuidade do negócio antes de ocorrer qualquer tipo de incidente de segurança.

Entende-se então que não existe uma solução padrão para ser aplicada em todas as empresas e sim, planos personalizados conforme a necessidade de cada organização. Não se podem copiar procedimentos e normas de segurança de uma instituição corporativa e implantar em outro lugar. Cada local possui seu próprio negócio, seus ativos da informação e os objetivos são completamente distintos, o que leva sempre a criação de procedimentos exclusivos para o planejamento da segurança da informação de cada segmento empresarial.

O Security Officer tem que criar uma política de segurança da informação em que a política reflete a filosofia da organização sobre o assunto segurança, que deve ser de fácil lembrança e deve informar as regras básicas que precisam ser seguidas. As normas e os procedimentos tratarão do detalhamento e de como executar esses controles.

O sucesso do processo de segurança da informação depende do nível do comprometimento dos usuários. As pessoas precisam entender da necessidade de proteção da informação e também precisam ser treinadas para fazer corretamente essa proteção. Nesse momento, o próprio Security Officer tem que está preparado e firme em suas decisões para que no futuro, determinadas ações cometidas pelos usuários não entrem em conflito com a postura do profissional de segurança da informação.

A proteção da informação atua sobre um leque abrangente de assuntos, situações novas e recentes tecnologias. Algumas vezes, o Security Officer não saberá detalhes de como normatizar determinadas coisa, mas deve saber contar com a colaboração de especialistas no assunto para implantação adequada.

Além desses desafios, o profissional de segurança da informação deve ter, pelo menos, duas características básicas: amar o que faz e ser ético. Com essas características e complementando com profissionalismo, o processo de segurança da informação existirá de uma forma efetiva na organização.

Resumidamente, o papel do Security Officer é ser responsável pela coordenação dos processos inerentes à segurança da informação. Onde este “chefe” de segurança junto com um plano diretor de segurança, tomará os devidos cuidados quanto ao tratamento de dispor e descartar informações baseando-se nas políticas de segurança impostas e estruturadas conforme as necessidades que cada organização tem em particular.

Fonte:

PEIXOTO, Mário César Pintaudi.Engenharia Social e Segurança da Informação. Ed. Brasport: Rio de Janeiro, 2006.