Desvendando a ISO 27036: Seu guia para proteger dados na relação com os seus fornecedores!

Já parou para pensar em como a segurança da informação é crucial hoje em dia? Ainda mais quando dependemos de fornecedores externos para várias atividades. E você sabia que existe uma ISO sobre esse tema? Mais uma ISO da família 27k, a ISO 27036 entra em jogo, como um guia para blindar seus dados nas relações com os fornecedores!

O que é a tal da ISO 27036?

Essa norma internacional é um manual de boas práticas para proteger informações quando sua empresa se relaciona com fornecedores. Ela cobre desde a escolha do fornecedor ideal até o acompanhamento do contrato, garantindo que seus dados estejam sempre a salvo.


A ISO 27036 é dividida em quatro partes, como se fossem capítulos de um livro:

ISO 27036-1:  Visão geral e conceitos

Essa parte te dá uma visão geral da norma, explicando os conceitos e princípios da segurança da informação na relação com fornecedores. É como se fosse o mapa da mina, mostrando o caminho para proteger seus dados.

ISO 27036-2: Requisitos

Aqui são apresentados os requisitos específicos para a segurança da informação. É tipo um conjunto de mandamentos que sua empresa precisa seguir para garantir a proteção dos dados.

ISO 27036-3: O manual de instruções: As diretrizes para a gestão da segurança da informação em relacionamentos com fornecedores

Essa parte te dá dicas práticas de como aplicar a segurança da informação no dia a dia. É como se fosse um manual de instruções, mostrando como colocar em prática os requisitos da norma.

ISO 27036-4: De olho na nuvem: Diretrizes para a segurança de serviços em nuvem

Essa parte é focada na segurança de serviços em nuvem, que se tornaram tão comuns hoje em dia. É como se fosse um guia específico para proteger seus dados quando eles estão na nuvem.


Por que a ISO 27036 é tão importante?

A ISO 27036 é uma ferramenta poderosa para empresas que querem proteger seus dados confidenciais ao lidar com fornecedores. Ao seguir essa norma, sua empresa pode:

  • Reduzir riscos de segurança: A norma ajuda a identificar e mitigar os riscos de segurança associados a relacionamentos com fornecedores.
  • Melhorar a conformidade: A ISO 27036 auxilia sua empresa a cumprir regulamentos e leis de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD).
  • Fortalecer a reputação: Ao demonstrar compromisso com a segurança da informação, sua empresa fortalece sua reputação e a confiança de seus clientes e parceiros.
  • Aumentar a eficiência: A norma fornece um framework estruturado para a gestão da segurança da informação em relacionamentos com fornecedores, otimizando processos e recursos.


A ISO 27036 é uma metodologia para proteger seus dados na relação com fornecedores. Ela é um importante meio para ajudar sua empresa com processos de VRM e TPRM, explicados no post anterior, disponível aqui para leitura. Ao entender e aplicar suas partes, sua empresa estará mais preparada para os desafios da segurança da informação no mundo digital.

Lembre-se: a segurança da informação é um trabalho constante e que depende de muitas partes! Além disso, é importante sempre revisar suas práticas para garantir que seus dados estejam sempre protegidos.

Referências: ISO.org

TPRM x VRM: Entendendo a diferença!

No mundo corporativo atual, a colaboração com fornecedores terceiros é cada vez mais comum. Seja para fornecimento de produtos, serviços ou informações, essas parcerias são essenciais para o crescimento e sucesso de qualquer organização. No entanto, essa colaboração também traz consigo uma série de riscos que precisam ser gerenciados. É aí que entram em jogo os conceitos de TPRM (Third-Party Risk Management) e VRM (Vendor Risk Management).

Embora os termos sejam frequentemente usados ​​de forma intercambiável, eles não são sinônimos. A verdade é que oVRM é um subconjunto do TPRM!


Para entender melhor essa distinção, vamos analisar cada um deles separadamente:

VRM (Vendor Risk Management)

O VRM se concentra na gestão de riscos associados ao uso de fornecedores terceirizados. Isso inclui a identificação, avaliação e mitigação de riscos relacionados a produtos, serviços ou informações fornecidas por fornecedores.

TPRM (Third-Party Risk Management)

O TPRM é um termo mais amplo que abrange todos os tipos de terceiros, incluindo fornecedores, parceiros, contratados e outros. O TPRM se concentra na gestão de riscos associados a todos os relacionamentos com terceiros, independentemente do tipo de relacionamento.


Principais diferenças entre VRM e TRPM?

Característica VRM TPRM
Escopo Focado em fornecedoresAbrange todos os tipos de terceiros
FocoRiscos relacionados a produtos, serviços ou informações fornecidas por fornecedoresRiscos relacionados a todos os relacionamentos com terceiros
AbordagemGeralmente reativaGeralmente proativa


Resumindo...

VRM: Gerencia os riscos específicos de fornecedores.

TPRM: Gerencia os riscos de todos os tipos de terceiros, incluindo fornecedores.


Implementando TPRM na sua empresa

Para implementar um programa de TPRM eficaz, siga estas dicas:

  • Defina seus objetivos: Determine quais riscos você precisa gerenciar e quais são seus objetivos de TPRM.
  • Identifique seus terceiros: Mapeie todos os seus relacionamentos com terceiros, incluindo fornecedores, parceiros e contratados.
  • Avalie os riscos: Avalie os riscos associados a cada relacionamento com terceiros.
  • Mitigue os riscos: Implemente medidas para mitigar os riscos identificados.
  • Monitore e revise: Monitore continuamente seus relacionamentos com terceiros e revise seu programa de TPRM regularmente.

A gestão de riscos de terceiros é um aspecto crítico da gestão de riscos corporativos. Ao entender a diferença entre TPRM e VRM e implementar um programa de TPRM eficaz, sua empresa estará melhor preparada para enfrentar os desafios do mundo empresarial moderno.

Gostou deste artigo? Compartilhe nas suas redes sociais e ajude outras empresas a entenderem a importância da gestão de riscos de terceiros!


ReferênciasVRM and TPRM: What’s the difference? - Third Party Trust

É possível falar de ESG na Segurança da Informação?

 Olá pessoal!

Nos últimos anos temos visto a crescente importância da palavra "ESG" (Environmental, Social, and Governance) no mundo dos negócios. As empresas estão cada vez mais falando em práticas sustentáveis, responsabilidade social e boa governança. Mas e quanto à segurança da informação? Será que é possível falar de ESG nesse contexto específico? A resposta é um maravilhoso "sim". Não apenas é possível falar de ESG na segurança da informação, como também é essencial para o sucesso e a sustentabilidade dos negócios atualmente.


O ESG na Segurança da Informação

A segurança da informação possui um papel fundamental na proteção dos dados, na privacidade dos usuários e na confiabilidade dos sistemas de informação. Sendo assim, é natural que os princípios ESG sejam aplicados nesse contexto. Ao integrar os princípios ambientais, sociais e de governança na segurança da informação, as empresas podem fortalecer sua postura de responsabilidade corporativa e atender às demandas crescentes por práticas sustentáveis e éticas.


Aspectos ambientais na segurança da informação

Os riscos ambientais estão presentes no mundo digital. Demandamos de muita energia, produzimos resíduos eletrônicos e a pegada de carbono associada à infraestrutura de TI são apenas alguns exemplos. Ao adotar práticas sustentáveis na infraestrutura de segurança da informação, como por exemplo a redução do consumo de energia e o gerenciamento adequado de resíduos eletrônicos, as organizações podem mitigar esses impactos e contribuir para a preservação do meio ambiente.


Aspectos sociais na segurança da informação

A segurança da informação também tem impactos sociais. A proteção dos dados pessoais, o combate à cibercriminalidade e a inclusão digital são apenas algumas das áreas em que a segurança da informação desempenha um papel de destaque. Adotando práticas responsáveis, as empresas podem garantir a privacidade dos usuários, proteger seus direitos digitais e promover a confiança na era digital.


Aspectos de governança na segurança da informação

A boa governança dos dados é muito importante para a segurança da informação. Isso envolve a definição de políticas claras, a conformidade com a regulamentações e a prestação de contas para todas as partes interessadas. Ao implementar políticas de segurança da informação baseadas em ESG, as organizações podem demonstrar uma postura responsável e ética em relação à proteção dos dados, promovendo a confiança e a transparência.


Adotando práticas sustentáveis, promovendo a responsabilidade social e garantindo uma boa governança dos dados, as empresas estarão se posicionando como líderes responsáveis e fortalecendo os princípios ESG.


Post original em BitFindeis.

CTF: Desafiando e conscientizando! O poder dos eventos de conscientização para públicos específicos

Olá pessoal!

Hoje vamos falar um pouco sobre como a conscientização se mistura com a emoção. Estamos falando dos eventos de Capture the Flag (CTF), que vão além de uma simples competição e têm o poder de engajar e educar públicos específicos de forma única. Vamos explorar a importância de criar eventos de conscientização para públicos específicos e como os eventos de CTF podem ser um exemplo perfeito disso.


A importância da conscientização:

Antes de entrarmos nos detalhes dos eventos de CTF, vamos refletir sobre a importância da conscientização direcionada a públicos específicos. Quando falamos de conscientização, estamos nos referindo a despertar o conhecimento e a compreensão sobre um determinado tema ou problema. É como acender a luz em uma sala escura, revelando o que antes estava escondido nas sombras. Ao direcionar eventos de conscientização para públicos específicos, podemos atingir resultados mais impactantes e eficazes.


O que é um evento de CTF e como ele se encaixa?

Eventos de CTF são eventos de Capture the Flag. Originalmente inspirado em jogos infantis, o CTF evoluiu para uma competição desafiadora no mundo da tecnologia e da segurança cibernética. Os participantes enfrentam uma série de desafios e quebra-cabeças para capturar "bandeiras" virtuais e acumular pontos.

CTF como ferramenta de conscientização

Mas como exatamente os eventos de CTF se encaixam na conscientização direcionada? Bem, esses eventos têm o poder de educar e conscientizar sobre questões de segurança cibernética de uma forma divertida e envolvente. Ao criar desafios que simulam situações reais, os participantes são expostos a diferentes cenários e aprendem a identificar vulnerabilidades, proteger sistemas e tomar medidas preventivas.

CTF para públicos específicos

Sim, existem vários tipos de CTF. Os CTFs podem ser direcionados para públicos específicos. Vamos dar uma olhada em alguns exemplos:

  • CTF para estudantes universitários: Um evento especialmente projetado para estudantes universitários interessados em segurança cibernética. Com desafios adaptados ao nível de conhecimento dos participantes, eles têm a oportunidade de aprimorar suas habilidades e aprender com especialistas na área.
  • CTF corporativo: Empresas estão cada vez mais realizando eventos de CTF internos para conscientizar seus funcionários sobre os riscos de segurança e incentivar boas práticas. Esses eventos promovem o trabalho em equipe e incentivam a adoção de medidas de segurança no ambiente corporativo. Na empresa onde trabalho atualmente, fazemos 1 evento de CTF aberto a toda a comunidade. Este evento fecha nossa semana de segurança da informação.
  • CTF para crianças: Nada como começar cedo! Eventos de CTF voltados para crianças são uma ótima maneira de despertar o interesse pelas questões de segurança cibernética desde cedo. Com desafios divertidos e educativos, as crianças aprendem enquanto se divertem.


Os eventos de CTF são uma excelente ferramenta para criar conscientização direcionada a públicos específicos. Eles combinam desafios, diversão e aprendizado em uma experiência única. Ao desenvolver eventos de conscientização para públicos específicos, podemos despertar o interesse, educar e promover a adoção de medidas preventivas. Então, vamos desafiar e conscientizar, um CTF de cada vez!


Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.


Post original em BitFindeis.

Motivos para celebrar algumas datas importantes da Segurança da Informação e Privacidade

A comemoração de datas importantes relacionadas à segurança da informação, privacidade, criptografia e outros temas relacionados desempenha um papel fundamental na conscientização e promoção de boas práticas nesses campos. Essas datas são oportunidades para refletir sobre os desafios e avanços na proteção de informações pessoais e empresariais no mundo digital em constante evolução.


Por que celebramos essas datas?

Ao celebrar essas datas, buscamos educar o público sobre os riscos cibernéticos, as ameaças à privacidade e à segurança da informação, bem como fornecer informações e recursos para ajudar as pessoas a se protegerem. Além disso, as datas importantes servem como lembretes para implementar medidas proativas e adotar boas práticas de segurança em nosso cotidiano.
A conscientização gerada por essas datas é essencial, pois muitos indivíduos e organizações podem não estar cientes dos perigos e vulnerabilidades que existem no ambiente digital. Ao promover a educação e a discussão sobre segurança cibernética, privacidade, criptografia e outras áreas relacionadas, essas datas contribuem para uma maior proteção de informações sensíveis, como dados pessoais, financeiros e profissionais.
Além disso, a comemoração dessas datas permite que os profissionais da área, especialistas em segurança cibernética e defensores da privacidade compartilhem conhecimentos, experiências e melhores práticas. Isso cria uma rede de apoio e colaboração para enfrentar os desafios cada vez mais complexos e sofisticados no mundo digital.

Quais datas são realmente importantes para a área de Segurança da Informação?

  • 28 de janeiro - Dia Internacional da Privacidade: Instituído para conscientizar sobre a importância da proteção de dados pessoais e promover a privacidade online. Destaca a importância da privacidade na era digital e promove boas práticas de privacidade.
  • 2ª terça-feira de fevereiro - Dia da internet segura: Promove a conscientização sobre a segurança online, especialmente entre crianças e jovens, com o objetivo de tornar a Internet mais segura e responsável.
  • 31 de março - Dia mundial do Backup: Essa data foi criada para conscientizar e incentivar as pessoas a fazerem cópias de segurança (backups) de seus dados importantes de forma regular.
  • 1ª quinta-feira de maio - Dia da Senha (ou World Password Day): Essa data foi criada com o objetivo de conscientizar as pessoas sobre a importância de utilizar senhas fortes e seguras para proteger suas contas online.
  • 25 de maio - Dia Internacional da Privacidade de Dados: Celebração anual focada na conscientização sobre os direitos à privacidade e a proteção de dados pessoais.
  • 30 de setembro - Dia Internacional da Conscientização sobre a Fraude: Destaca a importância de se proteger contra fraudes, golpes e práticas enganosas em diversos setores.
  • Mês de outubro inteiro - Mês da consciência sobre segurança da informação: Esse mês foi designado com o objetivo de aumentar a conscientização sobre a importância da consciência sobre segurança da informação nas organizações. Esse mês é normalmente comemorado com muitos eventos relacionados ao tema, especialmente na América do Norte. 
  • 19 de outubro - Dia do profissional de TI: Essa data foi criada para homenagear e reconhecer o trabalho dos profissionais que atuam na área de Tecnologia da Informação, que desempenham um papel fundamental na sociedade moderna.
  • 21 de outubro - Dia global da criptografia: Essa data foi criada para aumentar a conscientização sobre a importância da criptografia e seu papel na proteção de dados e comunicações. A criptografia é uma técnica que envolve a codificação de informações para que somente as partes autorizadas possam acessá-las, garantindo assim a confidencialidade e a integridade dos dados.
  • 30 de novembro - Dia internacional da Segurança da Informação: Essa data foi criada para aumentar a conscientização sobre segurança da informação.


Essas são apenas algumas datas importantes relacionadas à segurança da informação e privacidade. Vale ressaltar que as datas podem variar de acordo com o país e o contexto, porém, as datas listadas  são amplamente reconhecidas internacionalmente.

 

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.


Post original em BitFindeis.

Como criar um processo de onboarding em segurança da informação de novos colaboradores eficaz?

 O processo de onboarding de novos colaboradores é uma etapa crucial para garantir uma integração suave e eficaz dos funcionários em uma organização. No entanto, quando se trata de segurança da informação, é essencial que os novos membros da equipe sejam adequadamente informados e treinados sobre as melhores práticas de segurança da informação, conforme as políticas da empresa. 


 Etapas para criar um processo de onboarding em segurança da informação

Mas afinal, quais são as etapas-chave para criar um processo de onboarding eficaz que priorize a conscientização e a importância da segurança da informação desde o primeiro dia?


  • Planejamento antecipado: Antes mesmo do início do processo de onboarding, é fundamental incluir a segurança da informação no planejamento. Determine quais são os tópicos e conhecimentos essenciais que devem ser abordados e identifique os recursos e materiais necessários para transmitir as informações de forma clara e concisa. Considere a criação de um programa estruturado para orientar os novos colaboradores sobre as políticas, diretrizes e protocolos de segurança da informação.
  • Comunicação clara e abrangente: Ao apresentar a segurança da informação aos novos colaboradores, certifique-se de que as informações sejam apresentadas de maneira clara e fácil de entender. Utilize materiais visuais, como apresentações ou infográficos, para explicar os conceitos-chave. Evite o uso excessivo de jargões técnicos, a menos que seja absolutamente necessário, e forneça exemplos práticos para ilustrar os principais pontos.
  • Treinamento interativo: Promova uma abordagem interativa para o treinamento em segurança da informação durante o processo de onboarding. Além de fornecer informações teóricas, envolva os novos colaboradores em atividades práticas que os ajudem a aplicar o conhecimento adquirido. Por exemplo, simulações de ataques de phishing ou exercícios de conscientização podem ajudar a reforçar a importância de estar alerta e identificar possíveis ameaças.
  • Destaque as políticas e procedimentos de segurança: Durante o processo de onboarding, é crucial apresentar as políticas e procedimentos de segurança da informação da organização de forma clara. Explique as diretrizes específicas para o uso de senhas, acesso a sistemas, compartilhamento de informações confidenciais e outros aspectos relevantes. Certifique-se de que os novos colaboradores compreendam plenamente as consequências de violar essas políticas e a importância de seguir as melhores práticas de segurança em todos os momentos.
  • Mentoria e suporte contínuo: Além do treinamento inicial, é importante oferecer mentoria e suporte contínuos aos novos colaboradores em relação à segurança da informação. Designe um mentor ou membro experiente da equipe para responder a quaisquer dúvidas ou preocupações relacionadas à segurança. Incentive os funcionários a relatar incidentes de segurança ou suspeitas de atividades suspeitas e estabeleça um canal de comunicação seguro para isso.

Um processo de onboarding eficaz sobre segurança da informação é fundamental para estabelecer uma cultura de segurança desde o início da jornada de um novo colaborador na organização. Ao planejar antecipadamente, comunicar de forma clara, oferecer treinamento interativo, destacar políticas e procedimentos de segurança e fornecer suporte contínuo, as empresas podem garantir que seus funcionários estejam bem preparados para proteger os ativos de informação e contribuir para um ambiente de trabalho seguro e confiável. Investir em um onboarding robusto de segurança da informação é um investimento valioso para a proteção dos dados e a prevenção de ameaças cibernéticas.

 

Quer aprender a criar um programa de conscientização de sucesso?

Temos um curso online na Udemy para que você consiga "Criar um programa de conscientização sobre segurança da informação" na sua empresa, com várias dicas e materiais extra.

Também temos um livro sobre o tema intitulado: "Cultura em segurança da informação em tempos de transformação digital" disponível a venda pela Amazon.

Acesse o curso AQUI e o livro AQUI.


Post original em BitFindeis.