Discussão:Curso Livre de Segurança de Sistemas/Políticas de Segurança e Auditoria
Alguns links que poderão auxiliar no momento do desenvolvimento da síntese:
https://moodle.videira.ifc.edu.br/pluginfile.php/16943/mod_resource/content/0/SEGURANCA-Leis-e-Regulamentos-para-PRIVACIDADE.pdf https://moodle.videira.ifc.edu.br/pluginfile.php/16945/mod_resource/content/0/BLuz-Metodologia-LGPD.pdf
Alguns itens que podemos destacar: LGPD, GDPR (Referente a auditoria) etc.
Bruno Libardoni irá descrever a parte da LGPD; Nathã Azevedo complementou a definição do Bruno Libardoni com tópicos (objetivos, direitos e princípios da LGPD); Guilherme Moreira irá descrever a ISO/IEC 27001; Lucas Cherobim - adicionou as vantagens da LGPD;
Letícia Karolina Moreira - Alterações relacionadas a ISO 27001, além de algumas alterações menores relacionadas as famílias de normas ISO 2700x.
ISO/IEC 27001 A ISO/IEC 27001 é o padrão internacional para gerenciamento de segurança da informação e detalha o requisitos para um sistema de gestão de segurança de informações (ISMS).
A ISO/IEC 27001 fornece uma estrutura para ajudar a implementar um sistema de gestão que protege ativos de informação e empresas, reduzindo riscos, litígios e paralisações.
ISO/IEC 27001 é composto por cinco requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados no seguintes grupos:
- Política de segurança - fornecer orientação e suporte de gerenciamento para segurança da informação de acordo com os requisitos de negócios, leis e regulamentos relevantes.
- Organização da segurança da informação - gerenciar a segurança de informação dentro da organização. Manter a segurança
das informações da organização e instalações de processamento que são acessados, processados, comunicados ou gerenciados por terceiros.
- Gestão de ativos - alcançar e manter adequada a proteção dos ativos organizacionais.
- Segurança física e ambiental - prevenir acesso físico não autorizado, dano e interferência a instalações e informações da organização. Evitar perda, dano, roubo ou comprometimento de ativos e interrupção da organização.
- Gestão de comunicações e operações - ajudar a garantir que as informações são processadas corretamente, com backup seguro e manuseado de forma adequada.
- Controle de acesso - auxiliar no controle de acesso às informações, redes e aplicativos, evitando o acesso não autorizado, interferência, danos e roubo.
- Aquisição, desenvolvimento e manutenção de sistemas de informação - garantir que a segurança seja parte integrante de sistemas de informação, ajudando a proteger aplicativos, arquivos e reduzindo vulnerabilidades.
- Gestão de incidentes de segurança da informação - garantir que violações e problemas de segurança são comunicados de forma consistente, de forma a permitir a tomada de medidas corretivas oportunas.
- Gerenciamento de continuidade de negócios - garantir que a neutralização de interrupções nas atividades de negócios e proteger processos críticos do negócio a partir dos efeitos das principais falhas de sistemas de informação ou desastres.
- Conformidade - evitar violações de qualquer lei, estatutária, regulatória ou obrigação contratual, e de quaisquer requisitos de segurança. Garantir a conformidade dos sistemas com a segurança organizacional políticas e padrões.
Padrões de auditorias de segurança
editarAndré Robert contribuiu com a classificação dos diferentes tipos de auditorias, como a Auditorias de boas práticas em Segurança da informação, Auditorias de cumprimento legal e regulamentar em Segurança da Informação, Hacking Ético entre suas leis envolvidas de propriedades intelectuais, prevenção de riscos laborais, etc.
Também colocou tópicos referente aos auditores, que podem ser destinados a nichos específicos da organização e segurança de uma empresa, auditores que podem atuar em areas como na GESTAO DE TI, Sistemas e aplicativos, inovação, entre outros.
João Fontana - complementou algumas informações sobre alguns padrões, como o SOX, MAR, COSO e COBIT.
Referências úteis a serem uteis para complementos futuros:
Leis e Regulamentos para a proteção à privacidade
editarRobson Liesner irá contribuir para a definição dos aspectos básicos da privacidade de indivíduos.
General Data Protection Regulation (GDPR)
editarRobson Liesner irá contribuir na definição da lei GPDR. João Fontana contribuiu com informações adicionais
https://cio.com.br/gestao/auditor-de-ti-um-papel-vital-para-a-avaliacao-de-risco/ )https://www.sothis.tech/pt/os-diferentes-tipos-de-auditoria-em-seguranca-da-informacao/
Alexandre Raisel, apresentou a quem se aplica a LGPD, bem como, onde e quando é válida. Também apresentou as exceções a regra e as hipóteses onde o tratamento de dados é previsto na lei.