SGSI – Infra News Telecom https://www.infranewstelecom.com.br A Infra News Telecom é um canal de comunicação para os profissionais de tecnologia da informação e de telecomunicações. Aborda as tendências e as mais modernas soluções para a construção, implantação e operação da infraestrutura de rede e TI, tanto no mercado corporativo como de operadoras e provedores de serviços. Thu, 16 Jan 2020 16:02:53 +0000 pt-BR hourly 1 https://wordpress.org/?v=6.8.5 https://www.infranewstelecom.com.br/wp-content/uploads/2020/02/cropped-infra-news-telecom-icone-do-site-32x32.jpg SGSI – Infra News Telecom https://www.infranewstelecom.com.br 32 32 Como a ISO 27001 pode ajudar a sua empresa com a LGPD https://www.infranewstelecom.com.br/como-a-iso-27001-pode-ajudar-a-sua-empresa-com-a-lgpd/?utm_source=rss&utm_medium=rss&utm_campaign=como-a-iso-27001-pode-ajudar-a-sua-empresa-com-a-lgpd Tue, 05 Nov 2019 19:10:24 +0000 https://www.infranewstelecom.com.br/?p=7558

Como a ISO 27001 pode ajudar a sua empresa com a LGPD

Longinus Timochenco, CISO – Chief Information Security Officer

  A LGPD exige que as organizações adotem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processam. Saiba como a ISO 27001 pode ajudar nesse processo.

  A LGPD – Lei Geral de Proteção de Dados exige que as organizações adotem medidas técnicas e organizacionais apropriadas, incluindo políticas, procedimentos e processos, para proteger os dados pessoais que processam.

  A ISO 27001, o padrão internacional para um SGSI – Sistema de Gerenciamento de Segurança da Informação, fornece um excelente ponto de partida para alcançar os requisitos técnicos e operacionais necessários para reduzir o risco de uma violação.

  O padrão especifica os requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um SGIP – Sistema de Gerenciamento de Informações de Privacidade) com base nos requisitos, objetivos e controles, estendido por um conjunto de requisitos específicos da privacidade, objetivos e controle.

  As organizações que implementaram a ISO 27001 poderão usar a ISO 27701 para estender o seu SGSI para cobrir o gerenciamento de privacidade, incluindo o processamento de dados.

  A implementação de ambos os padrões ajudará você a cumprir e demonstrar sua conformidade com os requisitos de privacidade e segurança da informação da LGPD.

  A LGPD obriga as empresas a examinar as melhores práticas e recomendações existentes, como a ISO 27001, para minimizar o risco de violação de dados.

  Prezados colegas, gosto de reforçar que não devemos trabalhar em função de cumprimentos das regulamentações e gerenciarmos o incidente. É fundamental as instituições compreenderem que aplicando boas práticas preditivamente, como essas citadas, é possível conquistar inúmeros benefícios para o negócio como o aumento de lucratividade, disponibilidade, transparências a todos, credibilidade e, sem dúvida, maior segurança e menos fraude.

  Trabalhos desse gênero se iniciam nesta ordem Pessoas, Processos e Tecnologia (sem hesitar). Quanto mais desenvolvermos a “educação com responsabilização” aplicada a todos, maiores serão os benefícios. E acreditem: é possível.

Por que as medidas técnicas não são suficientes para a conformidade com o LGPD?

 

  As empresas, muitas vezes, acreditam erroneamente que a adição de camada sobre camada de tecnologia de ponta os ajudará a evitar uma violação de dados. Eles não poderiam estar mais errados. Por quê?

  A resposta é simples: sem um programa abrangente de segurança da informação que também considere pessoas e processos, a sua tecnologia não fornecerá a proteção adequada.

  Os maus processos das empresas e os problemas relacionados à equipe estão entre os pontos mais comuns de falha na segurança dos dados.

  Sem o compromisso da liderança (um critério essencial para a conformidade com a ISO 27001), os melhores planos de segurança da informação serão comprovados como falhos.

  A conformidade com a ISO 27001 significa que a empresa está constantemente revisando e atualizando o seu SGSI, de acordo com as mudanças no ambiente de ameaças e nos desenvolvimentos dos negócios.

  Sem um sistema de gerenciamento eficaz, os controles geralmente são deixados em isolamento, tornando-se redundantes e disfuncionais.

  A obtenção da certificação na ISO 27001 ajuda a empresa a obter uma avaliação externa especializada da eficácia de seus planos de segurança da informação, garantindo, assim, que as medidas implementadas estejam funcionando.

  Os riscos à privacidade são reais e, portanto, há exigências e especificações em alguns pontos cruciais que, a partir de agora, precisam ser levados em consideração com muita segurança da informação. Para tanto, é preciso um elevado nível de trabalho e atenção de todos nós (pessoas, empresas e instituições de diversas áreas) para realizar ações efetivas para a devida proteção dos dados. Esse é o objetivo da LGPD, que tem movimentado todo o mercado brasileiro. É preciso reconhecer também a manutenção da garantia da liberdade e o respeito à privacidade das informações. E, fundamentalmente, ter conhecimento do que estabelece a LGPD.

   A LGPD está batendo nas portas das empresas com vigor e a sua adequação no ambiente corporativo deve ser implementada com a urgência que o tema requer. Os desafios são muitos.

   Ignorar ou deixar de cumprir totalmente o LGPD pode ser caro para a sua organização. Um ISMS – Information Security Mnagement System alinhado à ISO 27001 pode ajudar a sua empresa a alcançar a conformidade com o LGPD de maneira econômica e inteligente.

]]> As principais preocupações de segurança da informação https://www.infranewstelecom.com.br/principais-preocupacoes-de-seguranca-da-informacao/?utm_source=rss&utm_medium=rss&utm_campaign=principais-preocupacoes-de-seguranca-da-informacao Mon, 19 Mar 2018 16:43:21 +0000 https://www.infranewstelecom.com.br/?p=1430

As principais preocupações de segurança da informação

Longinus Timochenco, da Stefanini Rafael

OUÇA O ÁUDIO COMPLETO

  Numa era cada vez mais digital, os incidentes com informações se tornam mais comuns e frequentes. Os computadores, telefones celulares e outros dispositivos têm se tornado mais acessíveis, interconectados e globalizados. Consequentemente, mais pessoas e organizações estão interconectadas e expostas aos riscos de fraude, roubo de informações, invasões, espionagem industrial, guerras cibernéticas, etc. A propagação do uso da Internet é um fator que agrava esta situação, uma vez que as relações de negócios se consolidam com base na troca de informações por meio da grande rede.

  A preocupação com a segurança da informação motivou a criação de padrões e normas internacionais. Em 1995, foi criada a norma BS 7799, um padrão britânico que trata da definição de requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). A partir daí foram desenvolvidas várias outras normas e legislações que definem diretrizes para garantir a segurança em um ambiente computacional. A norma mais recente é a ISO/IEC 27001, de 2005. Existem ainda outras regulamentações adotadas pelo Banco Central (resolução 2554), ICP-Brasil, Comissão de Valores Mobiliários (Instrução 358) e Governo Federal (decreto 4553).

  O novo padrão General Data Protection Regulation (GDPR) está chegando ao país para evitar casos de vazamentos de dados pessoais. Com a sua implementação, as organizações terão que notificar a organização responsável, a DPA – Data Protection Authority dentro de 72 horas, após ter detectado a violação. A notificação não precisa ser feita à DPA, se o vazamento não resultar em risco aos direitos e liberdades individuais.

Previsões de segurança até 2020

 

  Com o aumento contínuo das violações de segurança, crescem também os processos para combatê-las e evitá-las. No entanto, as principais ameaças nos próximos anos, provavelmente, serão de um tipo de hack conhecido pelos profissionais de segurança. Nossa primeira previsão sublinha o fato de que os ataques resultarão de vulnerabilidades conhecidas, traduzindo “Pecamos muito ainda no básico”.

  A seguinte lista compartilha outras suposições de Planejamento Estratégico (SPAs) pela consultoria Gartner para segurança nos próximos dois ou quatro anos.

  Até 2020, 99% das vulnerabilidades exploradas continuarão a ser conhecidas pelos profissionais de segurança e TI por pelo menos um ano. As empresas devem permanecer focadas em corrigir as vulnerabilidades que conhecem. Embora sejam fáceis de ignorar, elas também são mais fáceis e mais baratas de corrigir do que mitigar. Por volta de 2020, um terço dos ataques bem-sucedidos experimentados pelas empresas estarão na sombra dessas vulnerabilidades. As unidades de negócios lidam com a realidade da empresa e vão se envolver com qualquer ferramenta que os ajudem a fazer o trabalho. As empresas devem encontrar uma maneira de abordar a sombra de TI e criar uma cultura de aceitação e proteção contra detecção, resposta a incidentes rápidas/eficientes e punição.

  As vulnerabilidades de alto impacto e risco para o negócio devem ser, também, de responsabilidade da alta gestão, que precisa monitorar e promover suas resoluções proativamente, o que varia de país para país, conforme o nível de maturidade. Precisamos trabalhar na “tendência” para sermos mais efetivos e preditivos. Para atingir este nível é fundamental investir na educação, capacitação, conscientização periódica, regras claras (políticas/normas), monitoramento em tempo real, respostas a incidentes preditivos e penalidades. Só assim teremos mais transparência, confiança, credibilidade e tranquilidade em todos os ambientes.

  Até 2018, a necessidade de evitar quebras de dados de nuvens públicas deve estimular que 20% das organizações desenvolvam programas de governança de segurança de dados (DSG), identificando lacunas na política de segurança de dados. A segurança cibernética será apropriada para melhorar a visibilidade, tomada de decisões e gestão mais eficiente para o negócio.

  Em 2020, 40% das empresas envolvidas no DevOps protegerão aplicativos desenvolvidos por meio da adoção de tecnologias de autoteste, autodiagnóstico e autoproteção de segurança de aplicativos. Poucas empresas ainda adotam as “Metodologias de Desenvolvimento Seguro”, ou seja, muitas vezes sobem suas aplicações para produção com base em testes ineficientes, se preocupando apenas com a parte funcional e com os prazos de entrega, impactando diretamente nas vulnerabilidades, exposições e riscos para o negócio.

  Adote a autoproteção de aplicativos de tempo de execução (RASP) para DevOps. Avalie vendedores e fornecedores menos maduros para possíveis opções de segurança.

  Até 2020, 80% das novas ofertas para corretores de segurança de acesso baseados na nuvem (CASBs) serão empacotadas com plataformas de firewall de rede, gateway web seguro (SWG) e firewall de aplicativos da web (WAF).

  Até 2018, as empresas irão ampliar a contenção móvel nativa, em vez das opções de terceiros, que aumentarão de 20% para 60%.

  Até 2019, 40% das implementações de identidade de serviço (IDaaS) substituirão aquelas de gerenciamento de acesso e identidade no local (IAM).

  Até 2019, o uso de senhas e tokens, em casos de uso de risco médio, cairá 55% com a introdução de tecnologias de reconhecimento.

  Até 2018, mais de 50% dos fabricantes de dispositivos da IoT – Internet de coisas não poderão lidar com ameaças de práticas de autenticação fracas.

  Até 2020, mais de 25% dos ataques empresariais identificados envolverão IoT, embora a Internet das coisas represente apenas 10% dos orçamentos de segurança de TI.

Conclusão

Muitos profissionais da segurança da informação acreditam que os próximos três anos determinarão se as organizações podem ganhar a guerra cibernética.

  A postura das organizações ajudará na tomada de decisões mais inteligentes sobre seus investimentos em pessoas, processos e tecnologias, para alcançar o nível satisfatório e maior maturidade.

  Para chegar a este entendimento, nos dirigimos aos líderes de segurança da informação em todo o mundo para que identifiquem as tendências mais importantes para os próximos três anos.

  Com base nas descobertas, seguem algumas recomendações e observações:

  • Preparem-se para lidar com ameaças externas, como invasores de estados, nações, ciberguerra ou ciberterrorismo. Com o risco de exclusão de negligência, mais recursos devem ser alocados para lidar com um crescente criminoso cibernético sofisticado e sigiloso.

  • Estabeleçam programas regulares de treinamento cibernético e conscientização. Esses programas são críticos, tornando os funcionários e empreiteiros a primeira linha de defesa contra ataques maliciosos ou criminosos.

 • Desenvolvam uma estratégia para lidar com os riscos criados pela Internet das coisas. Conduzam uma segura avaliação de probabilidades e impactos sobre como a IoT afetará a segurança da sua organização.

  • Estejam cientes da crescente adoção de moedas virtuais, que poderão representar novos riscos para organizações e clientes.

  • Compreendam como usar grandes análises de dados efetivamente. Certamente haverá um volume maior de dados confidenciais a serem protegidos. Por outro lado, a disponibilidade de análises será muito útil na detecção e bloqueio de ataques cibernéticos.

  • Voltem para as escolas e recrutem especialistas em segurança cibernética. Um diferencial chave entre as organizações estará na capacidade de contratar e manter conhecedores e experientes praticantes de segurança cibernética.

  • Invistam nas tecnologias testadas e verdadeiras. Incluam criptografia de dados em repouso e em movimento, SIEM, tecnologias de segurança cibernética e firewalls.

  • Preparem-se para lidar com um crescente ambiente litigioso em função de ações coletivas e litígios de responsabilidade civil. A carga de custos de conformidade aumentará para as organizações devido a mandatos de proteção de dados e infraestrutura.

]]>