Mostrando postagens com marcador Riscos de segurança da informação. Mostrar todas as postagens
Mostrando postagens com marcador Riscos de segurança da informação. Mostrar todas as postagens

Definindo critérios para postergar prazos de mitigação de riscos de segurança da informação

 Se você trabalha com riscos de segurança da informação, possivelmente já se deparou com aquele responsável solicitando postergação do prazo do plano de ação para mitigar riscos. E muito possivelmente já viu o prazo de mitigação de algum risco ser postergado bem mais de 3 vezes.

Aí, chega-se a uma incógnita: Como definir critérios para liberar prazos de postergação de riscos?


Frameworks sobre riscos de segurança da informação

Existem diversos frameworks que nos ajudam a definir e estabelecer um programa de riscos de segurança da informação, porém o NIST (National Institute of Standards and Technology) e a ISO 27005 não especificamente listam critérios para postergar prazos de riscos. Essas são referências amplas que fornecem diretrizes e frameworks para gerenciamento de riscos e segurança da informação, mas não abordam diretamente a questão da postergação de prazos.

O NIST, por exemplo, possui diversas publicações relacionadas ao gerenciamento de riscos, como o "NIST Special Publication 800-30: Guide for Conducting Risk Assessments", que aborda os princípios e processos envolvidos na avaliação e gerenciamento de riscos de segurança da informação.

Da mesma forma, a ISO 27005 estabelece diretrizes para o gerenciamento de riscos de segurança da informação com base no processo de avaliação de riscos. Ela fornece orientações sobre a identificação, análise e avaliação de riscos, bem como a seleção de medidas de tratamento adequadas.

O NIST, por exemplo, possui diversas publicações relacionadas ao gerenciamento de riscos, como o "NIST Special Publication 800-30: Guide for Conducting Risk Assessments", que aborda os princípios e processos envolvidos na avaliação e gerenciamento de riscos de segurança da informação.

Da mesma forma, a ISO 27005 estabelece diretrizes para o gerenciamento de riscos de segurança da informação com base no processo de avaliação de riscos. Ela fornece orientações sobre a identificação, análise e avaliação de riscos, bem como a seleção de medidas de tratamento adequadas.

Embora essas referências sejam valiosas para o contexto mais amplo do gerenciamento de riscos de segurança da informação, a especificidade de critérios para postergar prazos de riscos pode variar dependendo do setor, da organização e das práticas específicas adotadas.

Normalmente é recomendado consultar as diretrizes internas da organização em questão para obter critérios mais específicos relacionados à postergação de prazos de riscos.

Mas, e se você é a pessoa que precisa definir critérios para permitir postergar prazos dos planos de ações de riscos que mitiguem o risco em questão?

 

Definindo critérios para postergar o prazo do risco

Alguns critérios podemos sugerir (baseados em nossa experiência com o processo de gestão de riscos de segurança da informação) que podem ser considerados ao liberar postergações de risco:

1- Probabilidade de ocorrência: Avalie a probabilidade de o risco ocorrer. Se a probabilidade for alta ou crítica, pode ser necessário tomar medidas adicionais para mitigar o risco antes de considerar uma postergação.

2- Impacto potencial: Analise o impacto que o risco pode ter no projeto ou nas partes interessadas envolvidas dos referidos ativos. Se o impacto for significativo e puder ser evitado ou minimizado por meio de uma postergação, isso pode ser um argumento a favor da liberação.

3- Viabilidade da postergação: Verifique se é possível adiar a atividade ou a decisão relacionada ao risco sem prejudicar o andamento geral do projeto. Considere se a postergação é viável em termos de recursos, cronograma e dependências do projeto.

4- Riscos alternativos: Considere se existem riscos alternativos que possam surgir como resultado da postergação. Avalie se a postergação realmente reduz o risco geral ou se pode introduzir novos riscos ou complicações.

5- Opções de mitigação: Avalie se existem outras opções de mitigação disponíveis para lidar com o risco, além da postergação. Considere se existem medidas alternativas que possam ser implementadas para reduzir o impacto do risco sem a necessidade de adiar atividades.

6- Análise de custo-benefício: Realize uma análise de custo-benefício para determinar se os benefícios potenciais de postergar o risco superam os custos e impactos associados à postergação. Considere os custos adicionais, possíveis atrasos e implicações para outras partes do projeto. Pediram postergação? Na justificativa peçam o custo que justifique a postergação.

7- Consulta às partes interessadas: Envolver as partes interessadas relevantes na decisão de liberar uma postergação de risco. Considere as opiniões e preocupações das partes interessadas e busque um consenso sobre a melhor abordagem a ser adotada.

8- Quantidade de vezes postergadas: O risco foi postergado por mais de 3 vezes ao longo de 1 ano? Talvez o responsável do risco esteja só jogando o risco com a barriga, ganhando tempo. Aqui talvez valha exigir um termo de aceite do diretor responsável pelo ativo do risco para que a postergação seja liberada.

 

A que conclusão chegamos sobre postergar prazos de riscos?

Em nossa experiência com gestão de riscos de segurança da informação, este item vira mais um entre tantos assuntos já encaminhados pelos responsáveis, gestores ou diretores. Muitas vezes esta solicitação de postergação é só uma justificativa para se ganhar mais tempo para solucionar, ou mitigar, um problema.

É importante lembrar que a avaliação e a decisão de liberar uma postergação de risco devem ser feitas caso a caso, levando em consideração a natureza do projeto ou produto, os riscos envolvidos e o contexto específico de cada empresa.


Post original em BitFindeis.

Como mitigar riscos cibernéticos no home office?


Olá Pessoal,
Hoje de manhã (19/03/2020) participei de um webinar muito legal: “Como mitigar riscos cibernéticos no home office?”, feito pela [SAFEWAY]. Vou compartilhar aqui um resumo do que vi e achei legal. 😀

Começando com uma timeline do coronavírus até o momento até o momento, vide imagem abaixo:
Além disso, é importantíssimo vermos alguns dados:
  • 75% dos latino-americanos possuem notebook para trabalhar (aqui não importa se é pessoal ou de trabalho);
    • 30% se conectam em redes Wi-Fi públicas fora do escritório;
      • 8% utilizam VPN.
  • 44% trabalham em locais com políticas de segurança definidas;
  • 35% estão em empresas sem nenhuma política de segurança;
  • 21% desconhecem se sequer existe uma política de segurança.

Fonte: Kaspersky

Se formos analisar o perímetro de conexão de dentro da empresa é bem protegido. Até chegar à internet, precisa passar por ferramentas como:

Firewall;
Anti-spam;
DLP;
AD; 
Web filter;
SIEM;
Antivírus.


O ambiente ainda não é 100% seguro, mas já é considerado bem mais seguro que o perímetro da conexão em home office. Isso pois quando estamos em casa, nossa proteção normalmente é só um antivírus básico gratuito.



Qual o problema de um antivírus gratuito?

Normalmente ele não é inteligente. Ele é baseado em assinaturas enviados pela fabricante. Um Next Generation AV com EDR (Endpoint Detection and Response) consegue:
  • Detectar ameaças persistentes;
  • Criar regras customizadas;
  • Possui opções para remediar operações maliciosas.


O CISA identificou um aumento de atividades maliciosas da seguinte forma:
  • Aumento na busca por exploits de novas vulnerabilidades em VPNs;
  • Criação de 4000 domínios com o tema “Coronavírus”;
    • 5% suspeitos;
    • 3% maliciosos;
  • Roubo de informações sensíveis através de Wi-Fi público;
  • Campanhas de phishing para roubo de credenciais e extorsão.


Para mitigar isso, as empresas devem:
  • Aplicar updates de VPNs, ativos de infra estrutura e dos ativos entregues aos colaboradores;
  • Alertar os colaboradores que é esperado um aumento de e-mails falsos (phishing);
  • Implementar duplo fator de autenticação sempre que possível, inclusive na VPN;
  • Limitar o acesso apenas aos programas/arquivos absolutamente necessários `função de cada colaborador;
  • Forçar um timeout de sessão em todas as aplicações consideradas sensíveis;
  • Implementar política de senhas forte (mínimo 10 caracteres, com letras maiúsculas, minúsculas, números e caracteres especiais, todos embaralhados);
  • Modificar a senha padrão dos roteadores Wi-Fi;
  • Fornecer serviços para armazenamento remoto de arquivos e outras tarefas, não permitindo armazenamento local.

Por que tudo isso?

Muitas empresas vão utilizar o home office de agora, período do Coronavírus, como laboratório para implementar definitivamente o home office.

Espero que tenham gostado, até mais! 

O que o Coronavírus tem haver com a Segurança da Informação?

O que o Coronavírus tem haver com a Segurança da Informação? 🤔
Tudo!😱 Já existem grupos hackers tirando proveito de pessoas que buscam informações sobre o COVID-19.😷 Separei algumas notícias sobre o assunto para você.

Links para mais detalhes das notícias abaixo:
➡ Os Riscos das empresas com o Home Office em relação ao Corona Vírus: https://www.jornalcontabil.com.br/os-riscos-das-empresas-com-o-home-office-em-relacao-ao-corona-virus/
➡ Ransomware 'CovidLock' explora medos de novo coronavírus: https://cointelegraph.com/news/covidlock-exploits-coronavirus-fears-with-bitcoin-ransomware
➡ Relatórios: risco em 98% da IoT e ameaça de APT da China: https://www.cisoadvisor.com.br/relatorios-risco-em-98-da-iot-e-ameaca-de-apt-da-china/
➡ Os malwares mais frequentes no Brasil e no mundo em fevereiro: https://www.cisoadvisor.com.br/os-malwares-mais-frequentes-no-brasil-e-no-mundo-em-fevereiro/
Imagem: deste blog