Mostrando postagens com marcador Gestão de Segurança da Informação. Mostrar todas as postagens
Mostrando postagens com marcador Gestão de Segurança da Informação. Mostrar todas as postagens

Por que a governança da segurança da informação é vital para proteger seus dados?

No mundo digital em constante evolução, a segurança da informação se tornou uma preocupação para empresas de todos os tamanhos. Vimos várias vagas de emprego sendo abertas neste ramo em empresas além das gigantes de software e das instituições bancárias. A crescente quantidade de dados sensíveis e a sofisticação das ameaças cibernéticas exigem que as organizações implementem medidas eficazes para proteger seus ativos digitais. Nesse sentido, a governança da segurança da informação desempenha um papel essencial. Neste artigo, vamos explorar a importância da governança da segurança da informação e como ela pode ajudar a proteger seus dados contra ameaças potenciais.


A proteção dos seus ativos digitais

Com o avanço da tecnologia, as informações se tornaram um dos ativos mais valiosos de uma organização. Dados confidenciais, informações de clientes, propriedade intelectual e segredos comerciais são apenas alguns exemplos do que precisa ser protegido. A governança da segurança da informação estabelece políticas, procedimentos e controles que garantem a confidencialidade, integridade e disponibilidade dessas informações. Isso reduz o risco de vazamentos, roubos ou comprometimentos indesejados, salvaguardando assim a reputação e os interesses do seu negócio.


Conformidade regulatória e jurídica

Com as regulamentações de proteção de dados se tornando cada vez mais rígidas (a exemplo da nossa LGPD), as organizações devem estar em conformidade com essas leis para evitar as sanções. A governança da segurança da informação ajuda a cumprir essas regulamentações, estabelecendo diretrizes claras sobre como os dados devem ser protegidos e gerenciados. Ao implementar medidas adequadas de segurança, como controles de acesso, criptografia e monitoramento, você demonstra compromisso em proteger a privacidade dos seus clientes e cumpre as obrigações legais, construindo confiança e respeito no mercado.


Continuidade dos negócios

A perda ou indisponibilidade de informações críticas pode ter um impacto significativo nas operações do seu negócio. A governança da segurança da informação envolve a criação de planos de continuidade de negócios que garantem a rápida recuperação de dados e sistemas em caso de incidentes de segurança, como ataques cibernéticos, desastres naturais ou falhas técnicas. Esses planos ajudam a minimizar o tempo de inatividade, reduzir os impactos financeiros e proteger a reputação da sua organização.


Construindo confiança e credibilidade

Nos dias de hoje, os clientes estão cada vez mais preocupados com a segurança de suas informações pessoais. Ao implementar uma governança eficaz da segurança da informação, você demonstra aos seus clientes que leva a proteção de seus dados a sério. Isso ajuda a construir confiança e credibilidade, fatores-chave para o sucesso do seu negócio. Quando os clientes se sentem seguros em compartilhar suas informações com você, eles têm mais probabilidade de escolher seus produtos ou serviços e recomendar sua empresa a outros.


Conclusão

A governança da segurança da informação é um pilar fundamental para proteger seus ativos digitais em um mundo cada vez mais conectado. Ela não apenas protege seus dados contra ameaças internas e externas, mas também garante a conformidade com as regulamentações, mantém a continuidade dos negócios e constrói confiança entre seus clientes. Investir em uma governança sólida da segurança da informação é uma decisão estratégica que traz benefícios significativos para o seu negócio a longo prazo.

Resenha do livro: Sistemas de Segurança da Informação - Controlando os Riscos


Hoje vou deixar por aqui uma resenha de um livro que li. O livro é o “Sistemas de Segurança da Informação – Controlando os Riscos”, do André Campos. Como o próprio subtítulo já fala, ele é voltado a riscos, mas isso não quer dizer que não aborda outros temas.

O livro é de 2007 e está dividido em 2 partes, sendo 9 capítulos falando sobre Sistemas de Gestão e outros 13 capítulos falando sobre Controles de Segurança da Informação. Por mais que a Segurança da informação tenha crescido muito de 2007 para cá, isso não faz do livro algo desatualizado. Até porque o autor se baseou nas normas ISO da família 27000 para escrever o livro.

Se você pensou: “Poxa, mas ele não fala nada sobre Hacking?” Não! É um livro técnico para gestão da segurança da informação. Muita gente ainda acha que segurança da informação só envolve implantar ferramentas como antivírus, firewall, DLP. Mas não. Para que as implantações sejam bem sucedidas, uma série de controles e avaliações deve ser feita. Quer um exemplo:

  • Se você for implantar uma ferramenta nova no seu ambiente corporativo, o fornecedor da ferramenta passou por critérios de avaliação de segurança da informação? A rotina dos seus colaboradores pode alterar por causa dessa ferramenta, foi avaliado riscos que ela pode introduzir?
E assim por diante... Estas definições são algumas das rotinas comuns de quem trabalha com Governança e Gestão da Segurança da Informação.

Voltando ao livro, na primeira parte fala muito sobre conceitos de Segurança da Informação, como definir um escopo de SGSI (acrônico para Sistema de Gestão de Segurança da Informação), como controlar riscos e sobre quais aspectos avaliar riscos, e fala também sobre monitorar e auditar o SGSI.
A segunda parte envolve mais controles em forma de políticas e normas. De modo geral, o livro sugere vários controles sob vários aspectos, como pessoas, segurança física, controles de acesso, plano de continuidade, etc..

A leitura é técnica, então é bom estar acostumado a esse tipo de leitura.

O que me motivou a ler este livro?

Basicamente, li o livro na integra para relembrar todo o conteúdo que eu já tinha visto na pós. Claro que as ISOs já mudaram de 2007 para cá, mas em linhas gerais o conteúdo ainda está atual. Alem disso, em 2014 foi feita uma edição atualizada do livro. Até porque, nem só de hacking é feita a vida de uma pessoa que trabalha com segurança da informação! 😉

Se você quiser ler o livro também (a edição atualizada de 2014), ele está disponível neste link da Amazon AQUI.

Se você for ler ou já tiver o lido, me diz o que achou abaixo. 😉

Resumo do evento de segurança da informação SC Experience, 2ª edição

Dias 20 e 21 de novembro estive num evento voltado para segurança da informação em Florianópolis: a segunda edição do SC Experience. Foram 2 dias com muuuuuito conteúdo voltado à segurança da informação e como sempre faço, foi deixar um resumo do que vi lá durante estes 2 dias. 😍
Para começar, havia 2 trilhas de conteúdo para o primeiro dia e 3 trilhas para o seguindo dia. Eu escolhi ir nas trilhas de CyberSecurity (1º dia) e Gestão de Segurança da Informação (2º dia). Vamos ao resumo 😀: 
1º dia – Trilha de CyberSecurity
KeyNote – Patrícia Peck
Pensa numa mulher com muito conhecimento em TI e Direito! A palestra dela foi muito TOP!
Ela falou de tendências para o mercado que envolve dados e segurança digital: 5G, Cloud e inteligência artificial.
Recomentou algumas leituras, como: O risco de TI, Dominados pelos números, Dataclima, A era das máquinas espirituais e ler o Manual IBGS que é um  manual de boas práticas de riscos cibernéticos.
Uma frase bem bacana foi “Só problemas de crianças acessando apps se o problema for mitigado desde cedo.”, ou seja, na concepção. Nesse sentido o problema é não ter feito a pergunta: o celular será usado por uma criança.? Isso eh privacy by design.
Deu um enfoque bem interessante ao risco de não descartar ou higienizar os HDs de PCs antes de doar PCs antigos. Porque? Pois é possível recuperar informações de HDs velhos. Já pensou uma planilha com o salários de seus funcionários sendo recuperada num HD velho que foi doado à um terceiro? Por causa disso, muitas empresas não estão mais doando HDs junto a PCs antigos.
Uma coisa que já ouço muito, mas muitas pessoas ainda não dão valor é que “Os dados são a riqueza da sociedade digital”. São o novo petróleo.
Falou muito de LGPD e GDPR e disse que as maiores denúncias com relação a este assunto foram telemarketing, e-mail marketing, behavior mkt e video vigilância.
Envio de SMS de cobrança errado.
Envio de mala direta para menor de idade.

Novos paradigmas para Blue Team com a adoção de Cloud -  Rodrigo Montoro
Essa palestra foi um pouco mais técnica, mais o que anotei de mais interessante foi:
Olhar com carinho para frameworks de Segurança da Informação, como o CIS e seus 20 controles (basic, foundational, organizational).
Segmentar acessos da cloud, assim como já ocorre nas redes internas segmentar garante que pessoas não tenham acesso a coisas que não deveriam.
Estudar IAM/cloudtrail

Lições aprendidas com o ataque massivo - Flavio Gonçalves
Essa palestra mostrou um caso real, de uma empresa que opera com servidores de telemarketing e que sofre um ataque massivo aos servidores, com o propósito de fazer ligações para outros países que as empresas receberem uma conta de telefonia caótica. O problema foi de ter uma porta indevidamente aberta. O que se descobriu é que os sistemas até podem ser bem implantados, mas a maioria começa a sofre com as customizações e a falta de avaliação de impacto para alterações novas em sistemas. Utilizaram ferramentas como o Kali Linux e o MySQL Scanner para descobrir o problema.
Implantaram um módulo de segurança de forma gratuita para todos os clientes exatamente por ter havido o ataque. O cliente pensava que o servidor era de responsabilidade do fornecedor, sendo que no contrato dizia que é de responsabilidade do cliente. Ponto de atenção aqui: eu vejo muito disso. E quando dá um problema, o cliente vem chorando. Alguma comunicação aqui deixou muito a desejar.
Temos 2 lições aprendidas da palestra:
  1. Dinheiro para segurança da informação fica mais fácil depois que ocorre algum incidente;
  2. Como comunicar para cliente? Quando menos claro é mais demorar, pior é. Por e-mail, quando acontece um incidente, é terrível.
A conclusão da palestra foi: sempre verificar se as regras de segurança permanecem em segura.

Privacidade e Investigação Corporativa. O que devo saber? - Marcelo Lau
Essa é uma daquelas palestras legais para dar um tapa na cara do povo. Eu já tinha visto ela, então vou resumir bem rapidamente o que vi:
Teremos 3 grandes áreas em crescimento no mercado:
Segurança da informação, inteligência artificial e cientista de dados.
Fez uma provocação bem legal: Você dá o seu CPF de graça na farmácia sem que haja alguma promoção? Se é de graça, desconfia que o produto é você e não o remédio.
Disse que as próximas eleições estarão cheias de Deep Fakes
Materiais e vídeos que ele mencionou durante a palestra: https://materiais.datasecurity.com.br/scexperience2019

Crimes cibernéticos e forense digital (o dia-a-dia de um perito) - Wilson Leite
Outra palestra TOP, agona na visão de uma pessoa que lida diretamente com crimes digitais.
Crimes de informática impróprios: usam PCs para praticar ou deixam rastros lá;
Crimes de informática próprio: visam sistemas informáticos.
Falou um pouco sobre uma técnica utilizada por alguns criminosos, que ocultam mensagens, senhas e etc em imagens de alta resolução, que pegam uma parte da imagem e alteram para conter partes de senhas e mensagens.
Falou do serviço “No more ramsonware” para tentar fazer decriptografia de discos. Nem sempre funcionam.
Falou uma coisa bem interessante: que a seleção dos novos agentes de polícia possui um enfoque maior com uma prova de TI. Super me animei! 😍 Mas obviamente ainda precisa saber do básico de direito.
Sugeriu para ver um documentário no Netflix “Mercado livre das drogas”.
Que um agente precisa aprender a ler LOGs de Sistemas Operacionais.
Também mencionou algumas ferramentas utilizadas: Caine Linux, deft, kali Linux, autopsy (recuperar arquivo avagado, etc), iped (busca de HD indexador e processador de evidências digitais)  e o Cellebrite (extração de dados de celular).
Não vou falar aqui das técnicas que dificultam a vida de um perito, pois as considero super importantes em termos de manter sigilo de dados de empresas. 😉
Ainda anotei para me aprofundar em assuntos como “cloud forense” e sobre a “comunidade científica de forense”.

PCI-DSS, como implementar a “LGPD dos Dados de Cartão” - Thomas Ranzi
Falou de padrões de segurança da informação, como PCI, BACEN e GDPR/LGPD e como ele aplicou o PCI para implantar a LGPD nos dados de cartões da Nexera.
Www.immuniweb.com Para análise de vulnerabilidades em sites.
Também falou da importância de campanhas internas de conscientização.

2º dia – Trilha de Gestão de Segurança da Informação
Cases de “Insucessos” em Segurança e GRC - Jairo Willian Pereira
Mais uma palestra muito TOP. Eu recebi, praticamente, uma pós inteira de segurança de informação num tempo de 1,5 horas. Então super recomendo para entusiastas da área.
Falou de erros que acontecem diariamente.
ICS-SCADA É ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNETICA E-CIBER, sugeriu que todos da área lêssemos.
Praticamente todos os problemas acontecem baseados em:
  • atualização
  • configuração

A transformação digital e o IOT esquecem de tratar a segurança da informação. Logo teremos uma série de problemas por causa de casas e outros locais super automatizados.
Cultura de SI se trata na base!
Antes de fazer um pentest, garanta que o básico esta feito!
Tem ISO pra praticamente tudo relacionado em segurança da informação. Então não saia procurando indicadores de SegInfo na internet quando tem uma ISO (que é um padrão mundial) falando sobre o assunto.
O Gartner tem um modelo governança segurança da informação: chama-se DSG. Leiam!
Gestão de incidentes com tipificação bem feita: Se preocupe com comunicação
Escolha a ferramenta para te ajudar com as vulnerabilidades de acordo com a maturidade do seu negócio.
Cuide da segurança de informação para atender a estrategia da empresa, não somente para atender um rótulo (PCI, BACEN, LGPD, etc.).

Utilizando segurança orgânica inteligente para proteger informações corporativas - Eugênio Moretzsohn
Essa palestra também foi bem diferente do que eu estava acostumada: era um militar com toda uma carreira (invejável por sinal) em segurança de informação. Ele falou muito sobre estratégias de combate. De que a inteligência de informação não começou com a 2ª guerra mundial, mas sim na guerra do fogo, por tribos para garantir suas sobrevivência.
Falou da estratégia do reforço territorial: mostre quem está no comando! Mantenha sempre o local externo sempre limpo e arrumado. Se alguém pixa, pinta o mais rápido possível por cima.
Melhor forma de se proteger é educando. (Estão percebendo como educação de pessoas está aparecendo recorrentemente? 😉).
Check-list de segurança orgânica da família de ISO 27000.
Eleja um comitê de Segurança da Informação multidisciplinar. Acredite, você vai descobrir o inimaginável.
Trate segurança dentro de casa, pois o compliance pega na mão, já aauditoria pega no pé.
Investir fortemente em educação de segurança interna. (Sim, ele enfatizou isso 2 vezes em pontos diferentes 😉).
As bases da prevenção são a educação e a fiscalização. (errei, foram 3 😉).

Engenharia Social: A Fisiognomonia como técnica avançada de Human Hacking - Davis Alves, Ph.D
Já assisti várias aulas e webinars do Davis no site da TI Exames, mas nunca sobre esse tema. Sabe aquele livro “O corpo fala”? A palestra foi basicamente isso, mas sobre características físicas. Exemplo: Pessoas de olhos cláros são mais frias e focadas. Isso se chama: Fisiognomonia. Técnica essa utilizada muito pela polícia americana.

Temos uma espiã entre nós! Contos e casos de uma Engenheira Social. - Marina Ciavatta
Esta foi a palestra de uma espiã contratada pelas próprias empresas para que ela invada as mesmas e prove que seus sistemas físicos não são tão seguros como parecem. Ela falou para ler o Manifesto Hacker e fez uma palestra basicamente voltada a roubo de informações e equipamentos baseados em engenharia social, muito parecida com a palestra do Eugênio Moretzsohn.
Sempre preste atenção nas informações valiosas com as quais lidamos todos os dias.
Não confie em desconhecidos. Deu um enfoque muito grande sobre termos cuidado do que divulgamos nas redes sociais relacionado à empresa. E isso não é só para aquela foro do seu computador contendo a senha num post-it. Falou de um caso que ela fez para entrar disfarçada numa empresa, copiando um crachá de um funcionário que postou foto dele na internet. Ela usou a desculpa de “O meu crachá não está passando aqui, você pode passar para mim?” para a recepcionista. Basicamente, o jeito mais fácil é invadir locais utilizando gentileza, pressa e “um jeito desastrado” para conseguir acesso a locais.
E problemas comuns continuam sendo:
  • armários trancados com a chave dentro.

Como conscientizar sua empresa de que segurança da informação é importante?
  • crie campanhas;
  • faça treinamentos para a equipe;
  • realize testes constantes;
  • compartilhe suas preocupações;
  • confronte pessoas entranhas, reporte.

A conclusão foi: treine seus funcionários! Não deixe que a gentileza faça com que você passe o crachá no lugar de outra pessoa.

Para tempos de privacidade de dados: Gestão do Conhecimento - Dr. Maurício Rotta
Teoria da escassez: os desejos humanos são praticamente infinitos em um mundo de recursos limitados.
Economia do conhecimento: segue a teoria da abundancia, quanto mais compartilho, mas ganho.
As pessoas precisam ter consciência do que compartilham com as empresas.

Lembra que eu falei que no 2º dia tinham 3 trilhas? A última palestra foi extremamente difícil de escolher em qual eu iria! Tinha as seguintes palestras:
  • Case: Liberando software seguro. Vulnerabilidade se trata em casa! - Heber da Silva e Eric Castoldi na trilha de Dev Security;
  • Elo mais fraco: Cases práticos da proteção humana - Dr. Paulo Silva na trilha de Gestão de segurança da informação;
  • Convergência de redes de acesso e segurança aliados a automação, como a Fortinet pode ajudar? - Fortinet – Alessandro Nobre  na trilha de soluções.

Eu queria ir nas 3! Mas não tinha como. 😐
Escolhi ir na trilha de Dev Security, e ver meus colegas de trabalho falando como eles implantaram o SAST na cadeia produtiva de desenvolvimento da empresa, considerando produtos novos e legado de quase 30 anos. Sim, eles trabalham na mesma empresa que eu, e acabei respondendo pergunta sobre como estamos implantando a LGPD no desenvolvimento. Hahaha! Frase de conclusão da palestra foi:

  "Qualidade e segurança não são negociáveis."

Caramba, trabalhei 6 anos na qualidade de produtos e agora estou na segurança, não tinha como terminar melhor!

Para mais informações das palestras e do evento, acesse o site do evento: https://scexperience.com.br/

Espero que tenham gostado do resumo. Até mais! 😉

Como as empresas podem se preparar para a LGPD?

Ontem estive num evento promovido pela IBM em parceria da IT-EAM e da VMS Advogados. O evento era sobre a LGPD e foi muito produtivo. Eu esperava muitas pessoas da área de segurança de informação, mas estava bem equilibrado, tendo pessoas das áreas jurídicas e RH de várias empresas aqui da região de Blumenau.
Obviamente, essas empresas estavam ali apresentando para fazer um jabá e vender seus serviços de como ajudar a implantar a lei, que entra em vigor em agosto de 2020. Porém, eles deram muitas ideias, e evidenciaram que aqui onde trabalho, estamos no caminho certo (apesar de ainda estarmos beeeem no início.
Uma das coisas que mais gostei é que eles deram um passo-a-passo sobre como as empresas podem se preparar para a LGPD. Olha o resumo aí (que é quase um checklist de como implantar a lei na sua empresa 😀):

Como as empresas podem se preparar?
  1. Entenda as obrigações;
  2. Criar uma equipe LGPD multifuncional;
  3. Nomear um "Encarregado" de cada área;
  4. Saber quais os dados estão armazenados e a sua localização;
  5. Revisar todas as políticas e declarações de privacidade;
  6. Analise o consentimento do cliente e os mecanismos de escolha;
  7. Analisar os processos que abordam solicitações de acesso, correção e exclusão de dados;
  8. Revise os cronogramas de retenção de dados (são mesmos necessários após cumprir o tempo das obrigações legais);
  9. Documentar as atividades de conformidade de privacidade;
  10. Rever todas as transferências externas de dados pessoais;
  11. Implementar e documentar as medidas de segurança apropriadas;
  12. Treinar colaboradores (todos, LGPD deve estar na veia de TODOS);
  13. Desenvolver capacidades e processos de auditoria interna;
  14. Implementar uma abordagem de privacidade (e Segurança) por Design para novos sistemas e serviços;
  15. Criar protocolos de notificação e resposta a violações.

Obs: Obtenha patrocínio executivo e orçamentos para apoiar as mudanças! Essa observação é fundamental. Essa lei trata muito sobre uma mudança de cultura nas empresas. O brasileiro está acostumado a reter o maior número possível de informações, sendo isso muitas vezes nesnecessário. Com esta lei, a menos que você tenha um consentimento do uso de dados de seus clientes e fornecedores, coletar dados diversos sem necessidade será violar a lei. Como não estamos acostumados com isso, será fundamental que a diretoria/presidência da empresa deem todo o apoio necessário e enfatizem para suas áreas que essa lei é séria, tem prazo para entrar em vigor e a multa é salgada!

Abaixo, as fotos dos slides que considerei as mais importantes. 


(Clique nas imagens para vê-las maior)

Espero que tenha te ajudado a destrinchar essa lei. Até mais! 😀