Um estudo sobre os habilitadores do COBIT® 5 sob a perspectiva da segurança da informação

Boa noite!

Eis que disponibilizo meu TCC do curso de Especialização em Qualidade e Gestão de Software pela PUC Goiás. É um artigo que tem como objetivo apresentar uma análise da aplicabilidade dos habilitadores do framework de governança de tecnologia da informação COBIT®5 na segurança da informação com o objetivo de descrever sucintamente essa aplicação, em combinação com as normas de segurança da informação e boas práticas encontradas na literatura, de forma a auxiliar na implementação de uma eficiente governança e gestão de segurança da informação.

Título: Um estudo sobre os habilitadores do COBIT® 5 sob a perspectiva da segurança da informação
Autora: Luzia M. de A. Dourado
Orientador: Prof. André Luiz

1º Congresso de Capacitação em Segurança da Informação – CONASIN

Olá!

Para quem tem interesse em ter uma carreira na área de Segurança da Informação, não pode perder o 1° CONASIN- Congresso de Capacitação em Segurança da Informação.

Com a finalidade de oferecer uma programação abrangente de orientação na formação qualificada aos profissionais que atuam ou que pretendem ingressar na área de Segurança da Informação, a Strong Security Brasil, com apoio da ISSA Brasil – Associação de Profissionais de Segurança da Informação, realiza o CONASIN, o primeiro congresso de capacitação em Segurança da Informação, evento online e gratuito que acontece de 15 a 19 de dezembro pela Internet e que reunirá os maiores especialistas da área com certificações internacionais para compartilhar suas experiências nos maiores desafios atuais da Tecnologia da Informação: garantir a formação continuada dos responsáveis pela área de Segurança da Informação das empresas.

O CONASIN terá 3 sessões diárias com início às 10, 15 e 19 horas, ministradas por especialistas das principais áreas da Segurança da Informação e formação profissional, tais como Auditoria, Continuidade de Negócios, Vulnerabilidades, Análise Forense, Teste de Invasão, Gestão de Carreira, Curriculum, como passar em provas de certificações, orientação vocacional entre outros temas. Os especialistas irão contar o “caminho das pedras” e o que fazer para chegar à profissionalização em Segurança da Informação.

“Ao todo serão 15 horas com os principais temas da atualidade e orientação sobre como se transformar em um profissional preparado para as atividades diárias na área de Segurança da Informação das empresas onde trabalham e ter o seu curriculum valorizado e atrativo para as principais vagas do mercado”, comenta Dario Caraponale, diretor da Strong Security Brasil, idealizador do CONASIN e especialista na área há mais de 20 anos e larga experiência em consultoria e fornecimento de cursos preparatórios para as principais certificações do setor.

“O CONASIN será uma grande oportunidade para que o profissional possa planejar sua carreira com o apoio de nomes de grande expressão nacional que irão falar de aprendizagem acelerada, retenção do conhecimento e capacidade de dar respostas no nível que as demandas de segurança exigem”, comenta Jaime Orts Y Lugo, diretor da ISSA Brasil.

Alguns dos especialistas que estarão online no CONASIN:

Mariana Cottini, Parceira de Negócio da SB Coaching
Andrea Thomé, Sócia Diretora da Primordial Consultoria e Sistemas
Marco Carvalho, CompTIA Business Development Manager
Alexandre Borges, Instructor (ISC)2
Felipe Lima, Professor, Coach para o sucesso em provas, concursos e exame da OAB
Edson Fontes, Professor de Pós-Graduação: FIAP, FIA-USP, Universidade Mackenzie e Escola Paulista de Direito
Tony Martinez, (ISC)2 Global Channel Manager
Alberto Pozada, CEO da ALATPI (EC-CouncilLatinAmerica)
Sean Lim, Vice presidente da EC-COUNCIL
Fabio Xavier, Coordenador do Curso de Pós graduação do IBTA e Chefe da Seção de Segurança da Informação do TCESP
Rodrigo Branco, Senior Security Researcher at Intel Corporation
Adilson Ferreira da Silva, Coordenador e Professor do curso superior de Tecnologia em Segurança da Informação da Fatec São Caetano do Sul.
Raymond Friedman, CEO e Presidente da Mile2
Mônica Graton, Professora na área de Recursos Humanos e Executiva da área de Recursos Humanos.
Sergio Ricardo, Mestre em Coach Pela FCU – Florida Christiam Univerty
Dario Caraponale, Engenheiro, MBA em Marketing de Serviços, psicanalista e certificado pela Sociedade Brasileira de Coaching e Behavioral Coaching Institute.

Clique aqui para fazer a inscrição!

Fonte: Segs

Proteja seus arquivos com o BoxCryptor!

Serviços de armazenamento online como o Dropbox são muito práticos, mas é normal hesitar em armazenar lá arquivos com informações “sensíveis”, como cópias de declarações de imposto de renda ou extratos bancários. Afinal, se por algum motivo sua conta for invadida, seus dados estarão em mãos erradas.

Se esse é o seu caso um serviço gratuito como o BoxCryptor pode resolver o problema, já que ele criptografa automaticamente quaisquer arquivos antes de enviá-los para sua conta no Dropbox (também oferece suporte para Box.net, Google Drive e Microsoft SkyDrive).

Uma vez que faça o download e instale o cliente do programa (disponível para Windows, Mac, iOS e Android), o  BoxCryptor irá criar na mesma hora um disco virtual em seu computador ou dispositivo. Ele identifica seus serviços de armazenamento na nuvem configurados e os insere dentro da pasta “BoxCryptor”. Por padrão, o programa utilizará encriptação AES-256 bit para proteger seus arquivos.

Você pode continuar vendo todo o seu conteúdo dentro da pasta do BoxCryptor e pode continuar usando sua pasta original do Dropbox também. Para encriptar um documento ou pasta, você clica nele com o botão direito e escolhe a opção Encrypt. A partir deste momento, se você visualizar o documento ou pasta através do Dropbox, ele estará ilegível. Através do BoxCryptor, porém, você verá o arquivo original, sem encriptação.

Uma vez que uma pasta seja encriptada, qualquer conteúdo extra adicionado a ela será encriptada quando ele sincronizar com o Dropbox. A partir do BoxCryptor, você poderá identificar quais arquivos e pastas estão protegidos pela etiqueta verde que recebem. No Dropbox, você reconhecerá os arquivos protegidos pela extensão .bc adicionada ao seu nome.

O BoxCryptor é construído em cima do conceito de segurança de “zero-knowledge”: ou seja, seus desenvolvedores não tem qualquer acesso aos seus arquivos e toda a encriptação acontece no seu computador, não nos servidores da empresa. Isso acrescenta uma camada extra de segurança, já que os arquivos que você deseja proteger não saem de sua máquina sem encriptação em momento algum. Por outro lado, isso significa também que a responsabilidade é toda sua: se você esquecer a chave de segurança da encriptação, você não acessa nunca mais os arquivos encriptados. Mantenha uma cópia armazenada em outro lugar ou guarde sua senha com muito, muito cuidado.

Faça o download do programa aqui. Disponível para windows, Mac OS, windows phone, android, iOS, blackberry e chrome.

Fonte: Código Fonte UOL

Palestra Virtual sobre experiências com gestão de segurança da informação

Amanhã, dia 20 de Agosto, às 20h00, será ministrada uma palestra virtual sobre gestão de segurança da informação, baseada em experiências do palestrante Fernando Palma. Para mais informações e se inscrever, clique aqui.

Fonte: Portal GSTI.

Atualização da norma ISO 27001

Olá, gestores!
Para aqueles que acompanham as boas práticas em gestão de segurança da informação, é bom se informar sobre as atualizações da ISO 27001:2013.
Há uma ótima palestra virtual do consultor Cláudio Dodt sobre as atualizações. Veja:
O vídeo tem a duração de 01 hora, portanto, para aqueles que querem uma leitura rápida sobre as mudança, segue uma síntese (mas não deixem de ver o vídeo:

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (e.g. 27001 x 9001) é saber que apesar das normas possuírem requisitos em comum, existem várias diferenças no que tange a definições.

Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está completamente  alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301.

Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está válida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível obter ou renovar a certificação na versão antiga até Setembro de 2014.

O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da versão anterior:

Documentos:
Scope of the ISMS (clause 4.3)
Information security policy and objectives (clauses 5.2 and 6.2)
Risk assessment and risk treatment methodology (clause 6.1.2)
Statement of Applicability (clause 6.1.3 d)
Risk treatment plan (clauses 6.1.3 e and 6.2)
Risk assessment report (clause 8.2)
Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
Inventory of assets (clause A.8.1.1)
Acceptable use of assets (clause A.8.1.3)
Access control policy (clause A.9.1.1)
Operating procedures for IT management (clause A.12.1.1)
Secure system engineering principles (clause A.14.2.5)
Supplier security policy (clause A.15.1.1)
Incident management procedure (clause A.16.1.5)
Business continuity procedures (clause A.17.1.2)
Statutory, regulatory, and contractual requirements (clause A.18.1.1)
Registros:
Records of training, skills, experience and qualifications (clause 7.2)
Monitoring and measurement results (clause 9.1)
Internal audit program (clause 9.2)
Results of internal audits (clause 9.2)
Results of the management review (clause 9.3)
Results of corrective actions (clause 10.1)
Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

Claro, se um documento referenciado acima faz parte do anexo A, este só é obrigatório se existir um risco que exija sua implementação.  Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo! Mas o que realmente muda?

Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a 27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição, Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

5 Security Policies
6 Organization of information security
7 Human resource security
8 Asset management
9 Access control
10 Cryptography
11 Physical and environmental security
12 Operations security
13 Communications security
14 System acquisition, development and maintenance
15 Supplier relationships
16 Information security incident management
17 Information security aspects of business continuity
18 Compliance

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito específicos ou desatualizados foram excluídos. Veja:

Novos controles:
14.2.1 Secure development policy – rules for development of software and information systems
14.2.5 System development procedures – principles for system engineering
14.2.6 Secure development environment – establishing and protecting development environment
14.2.8 System security testing – tests of security functionality
16.1.4 Assessment and decision of information security events – this is part of incident management
17.2.1 Availability of information processing facilities – achieving redundancy

Controles Excluídos:
6.2.2 Addressing security when dealing with customers
10.4.2 Controls against mobile code
10.7.3 Information handling procedures
10.7.4 Security of system documentation
10.8.5 Business information systems
10.9.3 Publicly available information
11.4.2 User authentication for external connections
11.4.3 Equipment identification in networks
11.4.4 Remote diagnostic and configuration port protection
11.4.6 Network connection control
11.4.7 Network routing control
12.2.1 Input data validation
12.2.2 Control of internal processing
12.2.3 Message integrity
12.2.4 Output data validation
11.5.5 Session time out
11.5.6 Limitation of connection time
11.6.2 Sensitive system isolation
12.5.4 Information leakage
14.1.2 Business continuity and risk assessment
14.1.3 Developing and implementing business continuity plans
14.1.4 Business continuity planning framework
15.1.5 Prevention of misuse of information processing facilities
15.3.2 Protection of information systems audit tools

Conclusões

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013?

Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo em um novo projeto ou reduzir a carga administrativa em um ambiente existente.

Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada. Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu recomendaria manter a versão 2005, mas seja rápido!

Fonte: Cláudio Dodt

 

TCU aponta falhas na segurança de dados de 65% dos órgãos federais

Vazamento na Receita é ‘exemplo de falta de segurança’, diz secretário. Governo informou que só vai se manifestar após receber levantamento.

Continuar lendo

TCU: Administração Federal piora o desempenho em Segurança da Informação

O Tribunal de Contas da União acaba de concluir um segundo levantamento sobre a situação da governança de Tecnologia da Informação (TI) na Administração Pública Federal. Continuar lendo