O GU GRC da SUCESU convida para o segundo encontro de 2010, onde o tema será a Gestão de Continuidade de Negócios. Faça a sua inscrição gratuita clicando no flyer acima ou diretamente no site da SUCESU-RS.
OWASP AppSecLatam 2011
Há 12 anos
segunda-feira, 17 de maio de 2010
II Encontro GU GRC 2010 - Gestão de Continuidade de Negócios
O GU GRC da SUCESU convida para o segundo encontro de 2010, onde o tema será a Gestão de Continuidade de Negócios. Faça a sua inscrição gratuita clicando no flyer acima ou diretamente no site da SUCESU-RS.
Resumo da ISO 27002 - Parte 1/3
A ISO 27002 é uma norma que serve como um guia prático para desenvolver os procedimentos de segurança da informação da organização e práticas de gestão, ajudando a criar confiança nas atividades interorganizacionais. Esta norma era, até julho de 2007, a ISO/IEC 17799, tendo tido apenas seu nome atualizado, sem alteração de tópicos.
Neste série de 3 posts, serão resumidas as áreas e sub-áreas que esta norma abrange, baseado no documento oficial da ABNT (responsável pela norma no Brasil), de forma a mapear os requisitos para adequação de qualquer tipo de organização.
1. Política de Segurança da Informação
A diretoria deve definir uma política para dar a direção e suporte para a segurança da informação, com diretrizes e ordens para toda organização. Geralmente, esta etapa é desdobrada em um manual de políticas de segurança da informação, onde são esclarecidos padrões, procedimentos e diretriz de segurança aplicáveis a todos os níveis da empresa.
2. Organização da Segurança da Informação
Uma governança adequada de segurança da informação deve ser desenhada e implementada, contemplando as subáreas a seguir:
A organização deve ter conhecimento dos ativos de informação que possui e gerenciá-los levando em conta a segurança, através das etapas abaixo:
Esta área tem como objetivo gerenciar os sistemas de direito de acessos, bem como conscientizar as pessoas do que é uma segurança adequada, através de treinamentos e atividades educacionais.
Na próxima semana, apresentarei as áreas de Segurança física e do ambiente, Gerenciamento das operações e comunicações e Controle da acessos. Até a próxima.
Neste série de 3 posts, serão resumidas as áreas e sub-áreas que esta norma abrange, baseado no documento oficial da ABNT (responsável pela norma no Brasil), de forma a mapear os requisitos para adequação de qualquer tipo de organização.
1. Política de Segurança da Informação
A diretoria deve definir uma política para dar a direção e suporte para a segurança da informação, com diretrizes e ordens para toda organização. Geralmente, esta etapa é desdobrada em um manual de políticas de segurança da informação, onde são esclarecidos padrões, procedimentos e diretriz de segurança aplicáveis a todos os níveis da empresa.
2. Organização da Segurança da Informação
Uma governança adequada de segurança da informação deve ser desenhada e implementada, contemplando as subáreas a seguir:
- Infra-estrutura da segurança da informação: a organização deve ter um quadro de gestão da segurança da informação. A alta administração deve assegurar a direção e se comprometer dando suporte a questões pertinentes, como a aprovação das políticas de segurança da informação, além da definição de papéis e responsabilidades para a função de segurança da informação. Além disso, convém que uma consultoria especializada seja contratada, bem como mantidos contatos com especialistas e grupos de segurança externos, como forma de manter a organização a par das tendências e ameaças do ambiente.
- Partes externas: quando houver a introdução de uma empresa terceirizada, a segurança da informação não pode ser comprometida. Os riscos devem ser avaliados e mitigados sempre que houver acordos com clientes e terceiros.
A organização deve ter conhecimento dos ativos de informação que possui e gerenciá-los levando em conta a segurança, através das etapas abaixo:
- Responsabilidade pelos ativos: todos ativos que fazem parte do ambiente de informações, como hardware, software, dados e documentação de sistemas, devem ser atribuídos a um proprietário. Além disso, deve ser criado e mantido um inventário que reúna uma lista destes ativos, com o nome do proprietário e localização.
- Classificação de informações: as informações devem ser classificadas de acordo com sua necessidade, prioridade e nível esperado de proteção, podendo ser criado um sistema de classificações para padronizá-las.
Esta área tem como objetivo gerenciar os sistemas de direito de acessos, bem como conscientizar as pessoas do que é uma segurança adequada, através de treinamentos e atividades educacionais.
- Antes da contratação: todos os funcionários, fornecedores e terceiros devem entender suas responsabilidades e estar de acordo com os seus papéis. Podem ser incluídos em seus contratos de trabalho termos, condições de uso e responsabilidade com segurança, diminuindo o risco de roubo, fraude e mau uso de recursos.
- Durante a contratação: as responsabilidades gerenciais em relação à segurança da informação devem ser definidas. Empregados e terceiros devem ser conscientizados, treinados e educados em procedimentos de segurança. Um processo disciplinar formal para tratar das violações de segurança da informação pode ser estabelecido.
- Encerramento ou mudança da contratação: aspectos relacionados à saída de uma pessoa da organização ou a mudança de responsabilidades deve ser gerenciado, para que, por exemplo, acessos sejam removidos ou atualizados conforme necessidade.
Na próxima semana, apresentarei as áreas de Segurança física e do ambiente, Gerenciamento das operações e comunicações e Controle da acessos. Até a próxima.
quarta-feira, 28 de abril de 2010
PCI – Antigo padrão de barramento?
Não estamos falando de barramento, slot ou placa PCI (Peripheral Component Interconnect). O PCI que no interessa em GRC é o Payment Card Industry Security Standards Council, organização aberta para discutir, definir e disseminar padrões de segurança para os dados de portadores de cartões de pagamento, com objetivo de minimizar fraudes. Esse fórum foi fundado em 2004 pelos principais players mundiais do setor, entre eles American Express, MasterCard Worldwide e Visa Inc.
A principal contribuição do fórum é o DSS – Data Security Standards, documento contendo os procedimentos de anáise de segurança e a definição de 12 macro-requisitos para segurança de dados dos usuários de cartões de pagamento. O DSS define padrões para todas as organizações que processam, armazenam ou transmitem informações. A versão atual do PCI DSS (v1.2) nasceu em 2008 e ganhará uma nova versão até o final deste ano.
A principal contribuição do fórum é o DSS – Data Security Standards, documento contendo os procedimentos de anáise de segurança e a definição de 12 macro-requisitos para segurança de dados dos usuários de cartões de pagamento. O DSS define padrões para todas as organizações que processam, armazenam ou transmitem informações. A versão atual do PCI DSS (v1.2) nasceu em 2008 e ganhará uma nova versão até o final deste ano.
Requisitos de Boas Práticas de Segurança do PCI DSS
Construa e mantenha uma rede segura
Requisito 1: Instalar e manter um configuração de firewall para proteger os dados do portador do cartão
Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Proteger os dados do portador do cartão
Requisito 3: Proteger os dados armazenados do portador do cartão
Requisito 4: Criptografar a transmissão dos dados do portador do cartão em redes abertas e públicas
Manter um programa de gerenciamento de vulnerabilidades
Requisito 5: Usar e atualizar regularmente o software ou programas antivírus
Requisito 6: Desenvolver e manter sistemas e aplicativos seguros
Implementar medidas de controle de acesso rigorosas
Requisito 7: Restringir o acesso aos dados do portador do cartão de acordo com a necessidade de divulgação dos negócios
Requisito 8: Atribuir um ID exclusivo para cada pessoa que tenha acesso a um computador
Requisito 9: Restringir o acesso físico aos dados do portador do cartão
Monitorar e Testar as Redes Regularmente
Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do cartão
Requisito 11: Testar regularmente os sistemas e processos de segurança
Manter uma Política de Segurança de Informações
Requisito 12: Manter uma política que aborde a segurança das informações para funcionários e prestadores de serviços
Além do DSS, o PCI define alguns requisitos de segurança para PIN Transaction (PTS/PED), focado nas características e gerenciamento dos dispositivos e demais atividades de processamento, e Payment Application (PA-DSS), focado no desenvolvimento e integração de software que manipulam as informações.
Para maiores detalhes, acompanhe o blog ou acesse PCI Quick Reference Guide.
Aproveitamos o post para publicar a apresentação do GU-GRC sobre PCI-DSS, realizada em novembro de 2009 na PUCRS. Acesse aqui.
Para maiores detalhes, acompanhe o blog ou acesse PCI Quick Reference Guide.
Aproveitamos o post para publicar a apresentação do GU-GRC sobre PCI-DSS, realizada em novembro de 2009 na PUCRS. Acesse aqui.
segunda-feira, 26 de abril de 2010
Segurança da informação: uma coisa para a alta direção, outra coisa para o resto da organização?
Depois de todas as preocupações com cibersegurança mostradas por Barack Obama, sendo um forte pilar de campanha eleitoral pela primeira vez na história americana, um problema tem se mostrado latente: a falta de alinhamento entre os níveis estratégicos e operacionais.
Já depois de eleito, Obama seguiu com suas convicções e criou um cargo inédito no governo americano: coordenador de cibersegurança, ficando a cargo de Howard Schmidt a missão de mitigar os riscos nos ambientes computacionais. Imediatamente, houve reação por parte dos experts americanos em segurança da informação. Em geral, a atitude de Obama foi aplaudida, mas a utilidade de um coordenador de cibersegurança foi questionada.
Agora, passado quase um ano, a frustração vem se confirmando. Segundo um estudo patrocinado pela CA e conduzido pelo Ponemon Institute, a comparação de resultados entre duas pesquisas idênticas, feitas com a alta direção e o staff de TI em geral do governo americano, mostrou menos confiança na efetividade das ações de segurança por parte daqueles que estão na linha de frente das operações de TI.
Com isso, podemos trazer para a realidade brasileira e nos fazer a pergunta: a alta direção das empresas está sabendo conduzir programas de segurança da informação corretamente? Os níveis operacionais estão recebendo a mensagem adequada e as ações estão acontecendo, ou tudo não passa de uma motivação que acaba “morrendo” antes de chegar a todos os que deveriam ser envolvidos nestes programas?
A íntegra do estudo pode ser conferida na Information Week.
Já depois de eleito, Obama seguiu com suas convicções e criou um cargo inédito no governo americano: coordenador de cibersegurança, ficando a cargo de Howard Schmidt a missão de mitigar os riscos nos ambientes computacionais. Imediatamente, houve reação por parte dos experts americanos em segurança da informação. Em geral, a atitude de Obama foi aplaudida, mas a utilidade de um coordenador de cibersegurança foi questionada.
Agora, passado quase um ano, a frustração vem se confirmando. Segundo um estudo patrocinado pela CA e conduzido pelo Ponemon Institute, a comparação de resultados entre duas pesquisas idênticas, feitas com a alta direção e o staff de TI em geral do governo americano, mostrou menos confiança na efetividade das ações de segurança por parte daqueles que estão na linha de frente das operações de TI.
Com isso, podemos trazer para a realidade brasileira e nos fazer a pergunta: a alta direção das empresas está sabendo conduzir programas de segurança da informação corretamente? Os níveis operacionais estão recebendo a mensagem adequada e as ações estão acontecendo, ou tudo não passa de uma motivação que acaba “morrendo” antes de chegar a todos os que deveriam ser envolvidos nestes programas?
A íntegra do estudo pode ser conferida na Information Week.
sexta-feira, 23 de abril de 2010
Apresentações do evento realizado dia 22/04
O GU-GRC realizou ontem, 22/04, o primeiro evento do ano, no auditório da Sec2b, em Porto Alegre.
O evento iniciou com a apresentação institucional da Sucesu e do Grupo de Usuários, feita pelo coordenador do GU-GRC, Vladimir Bidniuk.
Na sequência, o diretor da Sec2b, Giuliano Forlin, apresentou a empresa para os participantes, destacando principalmente a necessidade de capacitação de profissionais no mercado de segurança da informação.
Seguindo a pauta da noite, Jeferson Thomas, do banco Sicredi, e Marcos Donner, da Embratec Good Card, apresentaram sua palestra com o tema "O papel da Segurança da Informação na Governança Corporativa", ilustrando pontos desde o conceito de governança até a importância de uma gestão de riscos baseada em controles eficazes.
Por fim, Reinaldo Freiberg, gerente da Sec2b, expôs a palestra "Gestão Estratégica da Segurança da Informação na Governança Corporativa", conectando os temas da primeira apresentação à necessidade de uma governança consistente com a estratégia do negócio, sendo apoiada pela alta direção e claramente perpetuada pela organização, com papéis e atividades bem definidas.
O GU-GRC agradece à presença e fica à disposição para quaisquer dúvidas a respeito da Sucesu e atividades do grupo.
As apresentações podem ser obtidas nos links abaixo:
O evento iniciou com a apresentação institucional da Sucesu e do Grupo de Usuários, feita pelo coordenador do GU-GRC, Vladimir Bidniuk.
Na sequência, o diretor da Sec2b, Giuliano Forlin, apresentou a empresa para os participantes, destacando principalmente a necessidade de capacitação de profissionais no mercado de segurança da informação.
Seguindo a pauta da noite, Jeferson Thomas, do banco Sicredi, e Marcos Donner, da Embratec Good Card, apresentaram sua palestra com o tema "O papel da Segurança da Informação na Governança Corporativa", ilustrando pontos desde o conceito de governança até a importância de uma gestão de riscos baseada em controles eficazes.
Por fim, Reinaldo Freiberg, gerente da Sec2b, expôs a palestra "Gestão Estratégica da Segurança da Informação na Governança Corporativa", conectando os temas da primeira apresentação à necessidade de uma governança consistente com a estratégia do negócio, sendo apoiada pela alta direção e claramente perpetuada pela organização, com papéis e atividades bem definidas.
O GU-GRC agradece à presença e fica à disposição para quaisquer dúvidas a respeito da Sucesu e atividades do grupo.
As apresentações podem ser obtidas nos links abaixo:
quinta-feira, 22 de abril de 2010
Alinhando COBIT 4.1, ITIL V3 e ISO 27002
As melhores práticas de TI precisam ser alinhadas com os requisitos do negócio e integradas umas às outras e com procedimentos internos. O COBIT pode ser usado em um nível mais alto, fornecendo governança e um framework de controle baseado em um modelo de processos de TI apropriados para organizações em geral. Práticas específicas e padrões como ITIL e ISO/IEC 27002 cobrem áreas distintas e podem ser mapeadas com o framework COBIT, provendo então uma hierarquia de materiais de orientação.
Este documento explica para usuários de negócio e gestores o valor das boas práticas de TI e como a harmonização, implementação e integração destas práticas podem tornar a implementação delas uma tarefa mais fácil.
Download (pdf - 842kb)
Fonte: ISACA
Este documento explica para usuários de negócio e gestores o valor das boas práticas de TI e como a harmonização, implementação e integração destas práticas podem tornar a implementação delas uma tarefa mais fácil.
Download (pdf - 842kb)
Fonte: ISACA
terça-feira, 20 de abril de 2010
Assinar:
Postagens (Atom)