As padronizações mais utilizadas e reconhecidas no Brasil e no mundo são a ISO 17799

Prévia do material em texto

As padronizações mais utilizadas e reconhecidas no Brasil e no mundo são a ISO 17799, ISO/IEC 27002 e PCI-DSS que foram apresentadas e discutidas nessa unidade. As políticas dessas normas são tão importantes que as organizações aderem a elas para garantir a proteção de suas informações contra invasores maliciosos. Por isso, os profissionais dessa área precisam sempre estar atualizados e conhecerem bem esses padrões. 
Considerando as informações apresentadas e os conteúdos estudados, responda: Quais são as políticas das normas citadas acima e qual é a relevância delas para a proteção de informações das empresas? 
A norma ISO 17799 é que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento de TI, proporcionando confiabilidade das transações comercias e proteção das informações de negócio como um todo.
O objetivo é prover diretrizes para analise e avaliação de riscos e ameaças a sistemas de informação das organizações.
Sua importância pode ser dimensionada pelo número crescente de pessoas e organizações que a utilizam, devido à variedade de ameaças a que a informação é exposta na rede corporativa e de comércio eletrônico
A norma brasileira segue a mesma estrutura de capítulos, itens e controles que são:
1- Política de segurança da informação
2- Organização a segurança da informação
3- Gestão de ativos
4- Segurança em recursos humanos
5- Segurança física e do ambiente
6- Gerenciamento das operações e comunicações
7- Controle de acessos
8- Aquisição, desenvolvimento e manutenção de sistemas de informação
9- Gestão de incidentes de segurança da informação
10- Gestão da continuidade do negocio
11- Conformidade
Relevância é desempenhar um grupo de tarefas e princípios para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Pontos fortes:
Organizar a segurança da informação
Para que seja possível implementar uma boa segurança da informação, é necessário estabelecer uma estrutura para gerenciá-la.
Nesse sentido, as atividades que a remetem devem ser coordenadas pelos representantes dos diferentes setores da organização, atribuindo funções e papéis relevantes — as responsabilidades têm que estar claramente definidas.
1 - Gerir ativos.
De acordo como a ISO 17799, qualquer coisa que tenha um valor para a empresa é um ativo. Assim sendo, a gestão desses ativos é um dos seus pontos mais importantes, afinal, isso significa a proteção das informações do negócio.
Para que os ativos sejam devidamente protegidos, devem ser, em primeiro lugar, levantados e identificados. Feito isso, o próximo passo é classificá-los conforme o nível de segurança recomendado para cada um deles, documentando as regras e definindo seus tipos de uso.
2 - Gerenciar as operações e as comunicações.
Outro aspecto que vale ressaltar é o gerenciamento das operações e das comunicações. Os procedimentos e as responsabilidades que envolvem o processamento das informações têm que estar muito bem definidos, do contrário, as chances de erros e “desencontros” serão consideravelmente maiores.
Além disso, recomenda-se também utilizar a segregação de funções, isto é, evitar que uma única pessoa realize todas as partes de um processo. O indicado é responsabilizá-la por uma “parcela do total”, e não “por tudo”, pois isso ajuda a reduzir o risco de má utilização ou de uso indevido dos sistemas.
3 - Adquirir, desenvolver e manter os sistemas de informação.
Segundo a norma ISO 17799, a infraestrutura, os sistemas operacionais, as aplicações de negócio, os produtos e os serviços desenvolvidos pelos usuários são todos componentes dos sistemas de informação.
Por esse motivo, seus requisitos de segurança devem ser identificados e acordados antes da sua implementação (aquisição) e/ou desenvolvimento. Os dados devem ser protegidos pensando na manutenção, integridade e autenticidade dos seus informes: essa confiabilidade precisa ser aplicada por meios criptográficos.
4 - Controlar os acessos.
Não menos importante está o controle de acesso. Tanto os recursos de processamento das informações quanto os processos de negócio devem ser controlados com base em regras de segurança.
Assim sendo, o acesso do usuário autorizado deve ser garantido, e o do não autorizado, prevenido. Os procedimentos englobam do cadastro inicial até o cancelamento dos registros. Quanto aos usuários em si, cada qual deve saber quais são as suas responsabilidades e permissões no que diz respeito ao uso e à segurança dos equipamentos e sistemas.
ISO/IEC 27002 é uma atualização da ISO anterior ISO 17799 que foca nas boas práticas para a gestão da segurança da informação.
Norma internacional que estabelece código de melhores práticas para apoiar a implantação do sistema de gestão de segurança da informação (SGSI) nas organizações. Hoje em dia ela é fundamental para a consolidação de um sistema de gestão de segurança da informação garantindo a continuidade e manutenção dos processos de segurança, alinhados aos objetivos estratégicos da organização.
O objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.
Relevância: Todas as organizações com um SGSI ou boas práticas de segurança da informação terão que mapear e atualizar seus controles em vigor de acordo com as novas orientações da ISO/IEC 27002 atualizada, de acordo com as necessidades e o contexto organizacional
Pontos fortes:
Melhor conscientização sobre a segurança da informação.
Maior controle de ativos e informações sensíveis.
Oferece uma abordagem para implantação de políticas de controles.
Oportunidade de identificar e corrigir pontos fracos.
Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos.
Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação.
Melhor organização com processos e mecanismos bem desenhados e geridos.
Promove redução de custos com a prevenção de incidentes de segurança da informação.
Conformidade com a legislação e outras regulamentações.
PCI-DSS É um padrão de segurança de dados da indústria de cartão de pagamentos. PCI DSS vêm do inglês “Payment Card Industry Data Security Standard”, ou seja, é o Padrão de Segurança de Dados da Indústria de Pagamento com Cartão.
O objetivo é desenvolver e adotar os melhores padrões e recursos de segurança para gerar, de forma globalizada, pagamentos seguros. Ou seja, o PCI-SSC tem como finalidade a criação de uma base sólida de controles para aumentar a segurança em todo o ciclo de uso dos cartões.
A criação do fórum teve início em 2006, fundado inicialmente pelas empresas American Express, Discover, JCB International, Mastercard e Visa Inc.
É garantir maior segurança nas transações de cartão de crédito, isto é, no processamento, transmissão e armazenamento, protegendo os dados de titulares e de seus cartões, evitando casos de fraude e apropriação indevida dos dados.
O banco emissor e a adquirente dos cartões dividem a responsabilidade pelo cumprimento dessas diretrizes e pela punição dos responsáveis por casos de vazamento de dados. Os comerciantes, por sua vez, precisam garantir que seus sistemas e processos mantenham os dados dos consumidores (como nome do titular, número do cartão, código de segurança e data de validade) seguros, seja qual for o tamanho do negócio ou o volume de operações. Detectar falhas e prevenir ataques também é tarefa do estabelecimento que manipula o cartão. A escolha de um processador de pagamentos ou gateway de pagamentos adequados ao PCI DSS é a forma mais concreta de atingir esse objetivo.
Objetivos e requisitos:
Construir e manter a segurança de uma rede de sistemas utilização de um firewall atualizado e criar senhas fortes para proteger o sistema e outros parâmetros de segurança.
Proteger os dados do titular docartão preservando os dados do titular (como nome, endereço, telefone e e-mail) e utilizar criptografia ao transmiti-los em redes abertas e públicas.
Manter um programa de gerenciamento de vulnerabilidade usar e atualizar sistemas antivírus, antispyware e antimalware, além de desenvolver e manter sistemas e aplicativos seguros contra hackers.
Implementar medidas rigorosas de controle de acesso internamente, designar permissão para acesso aos dados do cartão de acordo com a necessidade, restringindo ao máximo o número de pessoas que entram em contato com eles, seja física ou digitalmente. Garantir, também, que o acesso aos componentes do sistema seja sempre autenticado e identificado.
Monitorar e testar as redes regularmente fazendo testes periódicos em sistemas e processos de segurança, além de monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão
Manter uma política de segurança de informações definindo e garantindo a eficiência de uma política de segurança válida para todas as equipes.