PCI – Antigo padrão de barramento?

Não estamos falando de barramento, slot ou placa PCI (Peripheral Component Interconnect). O PCI que no interessa em GRC é o Payment Card Industry Security Standards Council, organização aberta para discutir, definir e disseminar padrões de segurança para os dados de portadores de cartões de pagamento, com objetivo de minimizar fraudes. Esse fórum foi fundado em 2004 pelos principais players mundiais do setor, entre eles American Express, MasterCard Worldwide e Visa Inc.

A principal contribuição do fórum é o DSS – Data Security Standards, documento contendo os procedimentos de anáise de segurança e a definição de 12 macro-requisitos para segurança de dados dos usuários de cartões de pagamento. O DSS define padrões para todas as organizações que processam, armazenam ou transmitem informações. A versão atual do PCI DSS (v1.2) nasceu em 2008 e ganhará uma nova versão até o final deste ano.

Requisitos de Boas Práticas de Segurança do PCI DSS
Construa e mantenha uma rede segura
Requisito 1: Instalar e manter um configuração de firewall para proteger os dados do portador do cartão
Requisito 2: Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança
Proteger os dados do portador do cartão
Requisito 3: Proteger os dados armazenados do portador do cartão
Requisito 4: Criptografar a transmissão dos dados do portador do cartão em redes abertas e públicas
Manter um programa de gerenciamento de vulnerabilidades
Requisito 5: Usar e atualizar regularmente o software ou programas antivírus
Requisito 6: Desenvolver e manter sistemas e aplicativos seguros
Implementar medidas de controle de acesso rigorosas
Requisito 7: Restringir o acesso aos dados do portador do cartão de acordo com a necessidade de divulgação dos negócios
Requisito 8: Atribuir um ID exclusivo para cada pessoa que tenha acesso a um computador
Requisito 9: Restringir o acesso físico aos dados do portador do cartão
Monitorar e Testar as Redes Regularmente
Requisito 10: Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do portador do cartão
Requisito 11: Testar regularmente os sistemas e processos de segurança
Manter uma Política de Segurança de Informações
Requisito 12: Manter uma política que aborde a segurança das informações para funcionários e prestadores de serviços

Além do DSS, o PCI define alguns requisitos de segurança para PIN Transaction (PTS/PED), focado nas características e gerenciamento dos dispositivos e demais atividades de processamento, e Payment Application (PA-DSS), focado no desenvolvimento e integração de software que manipulam as informações.

Para maiores detalhes, acompanhe o blog ou acesse PCI Quick Reference Guide.
Aproveitamos o post para publicar a apresentação do GU-GRC sobre PCI-DSS, realizada em novembro de 2009 na PUCRS. Acesse aqui.

Segurança da informação: uma coisa para a alta direção, outra coisa para o resto da organização?

Depois de todas as preocupações com cibersegurança mostradas por Barack Obama, sendo um forte pilar de campanha eleitoral pela primeira vez na história americana, um problema tem se mostrado latente: a falta de alinhamento entre os níveis estratégicos e operacionais.

Já depois de eleito, Obama seguiu com suas convicções e criou um cargo inédito no governo americano: coordenador de cibersegurança, ficando a cargo de Howard Schmidt a missão de mitigar os riscos nos ambientes computacionais. Imediatamente, houve reação por parte dos experts americanos em segurança da informação. Em geral, a atitude de Obama foi aplaudida, mas a utilidade de um coordenador de cibersegurança foi questionada.

Agora, passado quase um ano, a frustração vem se confirmando. Segundo um estudo patrocinado pela CA e conduzido pelo Ponemon Institute, a comparação de resultados entre duas pesquisas idênticas, feitas com a alta direção e o staff de TI em geral do governo americano, mostrou menos confiança na efetividade das ações de segurança por parte daqueles que estão na linha de frente das operações de TI.

Com isso, podemos trazer para a realidade brasileira e nos fazer a pergunta: a alta direção das empresas está sabendo conduzir programas de segurança da informação corretamente? Os níveis operacionais estão recebendo a mensagem adequada e as ações estão acontecendo, ou tudo não passa de uma motivação que acaba “morrendo” antes de chegar a todos os que deveriam ser envolvidos nestes programas?

A íntegra do estudo pode ser conferida na Information Week.

Apresentações do evento realizado dia 22/04

O GU-GRC realizou ontem, 22/04, o primeiro evento do ano, no auditório da Sec2b, em Porto Alegre.

O evento iniciou com a apresentação institucional da Sucesu e do Grupo de Usuários, feita pelo coordenador do GU-GRC, Vladimir Bidniuk.

Na sequência, o diretor da Sec2b, Giuliano Forlin, apresentou a empresa para os participantes, destacando principalmente a necessidade de capacitação de profissionais no mercado de segurança da informação.

Seguindo a pauta da noite, Jeferson Thomas, do banco Sicredi, e Marcos Donner, da Embratec Good Card, apresentaram sua palestra com o tema "O papel da Segurança da Informação na Governança Corporativa", ilustrando pontos desde o conceito de governança até a importância de uma gestão de riscos baseada em controles eficazes.

Por fim, Reinaldo Freiberg, gerente da Sec2b, expôs a palestra "Gestão Estratégica da Segurança da Informação na Governança Corporativa", conectando os temas da primeira apresentação à necessidade de uma governança consistente com a estratégia do negócio, sendo apoiada pela alta direção e claramente perpetuada pela organização, com papéis e atividades bem definidas.

O GU-GRC agradece à presença e fica à disposição para quaisquer dúvidas a respeito da Sucesu e atividades do grupo.

As apresentações podem ser obtidas nos links abaixo:

• Institucional da Sucesu e apresentação do GU-GRC (PDF - 6mb)
  
• O papel da Segurança da Informação na Governança Corporativa (PDF - 836kb)
• Gestão Estratégica da Segurança da Informação na Governança Corporativa (PDF - 1,2mb)

Alinhando COBIT 4.1, ITIL V3 e ISO 27002

As melhores práticas de TI precisam ser alinhadas com os requisitos do negócio e integradas umas às outras e com procedimentos internos. O COBIT pode ser usado em um nível mais alto, fornecendo governança e um framework de controle baseado em um modelo de processos de TI apropriados para organizações em geral. Práticas específicas e padrões como ITIL e ISO/IEC 27002 cobrem áreas distintas e podem ser mapeadas com o framework COBIT, provendo então uma hierarquia de materiais de orientação.
Este documento explica para usuários de negócio e gestores o valor das boas práticas de TI e como a harmonização, implementação e integração destas práticas podem tornar a implementação delas uma tarefa mais fácil.


Download (pdf - 842kb)



Fonte: ISACA

Evento gratuito de GRC - Segurança da Informação com enfoque em Governança Corporativa - Porto Alegre

O grupo

Visão

Ser reconhecido como um Grupo de Referência para discussões e disseminação das questões inerentes ao GRC, congregando as áreas de Gestão e Tecnologia da Informação das organizações e de seus profissionais devido à sua qualificada atuação.

Missão

Congregar e auxiliar na compreensão das questões sobre o GRC aos diferentes segmentos de mercado, contribuindo para que se tornem um importante e relevante ponto para o negócio.

Objetivos

• Criar referência local e nacional;
• Disseminação da cultura GRC e seu alinhamento tecnológico, inicialmente através de workshops;
• Possibilitar congregação de mercado;
• Integração com o GU-SEG e GU CIO-RS

Coordenador

• Vladimir Barcellos Bidniuk - vladimir.bidniuk@rs.sucesu.org.br

Vice-Coordenadores

• Marcos Donner
• Gabriel Hoff
• Jeferson Thomas
• Luis Antonio Baptista
• Rodrigo Petry
• Fernando Lima Matos