Discussão:Curso Livre de Segurança de Sistemas/Políticas de Segurança e Auditoria

Alguns links que poderão auxiliar no momento do desenvolvimento da síntese:

https://moodle.videira.ifc.edu.br/pluginfile.php/16943/mod_resource/content/0/SEGURANCA-Leis-e-Regulamentos-para-PRIVACIDADE.pdf https://moodle.videira.ifc.edu.br/pluginfile.php/16945/mod_resource/content/0/BLuz-Metodologia-LGPD.pdf

Alguns itens que podemos destacar: LGPD, GDPR (Referente a auditoria) etc.

Bruno Libardoni irá descrever a parte da LGPD; Nathã Azevedo complementou a definição do Bruno Libardoni com tópicos (objetivos, direitos e princípios da LGPD); Guilherme Moreira irá descrever a ISO/IEC 27001; Lucas Cherobim - adicionou as vantagens da LGPD;

Letícia Karolina Moreira - Alterações relacionadas a ISO 27001, além de algumas alterações menores relacionadas as famílias de normas ISO 2700x.

ISO/IEC 27001 A ISO/IEC 27001 é o padrão internacional para gerenciamento de segurança da informação e detalha o requisitos para um sistema de gestão de segurança de informações (ISMS).

A ISO/IEC 27001 fornece uma estrutura para ajudar a implementar um sistema de gestão que protege ativos de informação e empresas, reduzindo riscos, litígios e paralisações.

ISO/IEC 27001 é composto por cinco requisitos principais e um apêndice que contém controles de segurança, cada um com objetivos e foco específicos, organizados no seguintes grupos:

  • Política de segurança - fornecer orientação e suporte de gerenciamento para segurança da informação de acordo com os requisitos de negócios, leis e regulamentos relevantes.
  • Organização da segurança da informação - gerenciar a segurança de informação dentro da organização. Manter a segurança

das informações da organização e instalações de processamento que são acessados, processados, comunicados ou gerenciados por terceiros.

  • Gestão de ativos - alcançar e manter adequada a proteção dos ativos organizacionais.
  • Segurança física e ambiental - prevenir acesso físico não autorizado, dano e interferência a instalações e informações da organização. Evitar perda, dano, roubo ou comprometimento de ativos e interrupção da organização.
  • Gestão de comunicações e operações - ajudar a garantir que as informações são processadas corretamente, com backup seguro e manuseado de forma adequada.
  • Controle de acesso - auxiliar no controle de acesso às informações, redes e aplicativos, evitando o acesso não autorizado, interferência, danos e roubo.
  • Aquisição, desenvolvimento e manutenção de sistemas de informação - garantir que a segurança seja parte integrante de sistemas de informação, ajudando a proteger aplicativos, arquivos e reduzindo vulnerabilidades.
  • Gestão de incidentes de segurança da informação - garantir que violações e problemas de segurança são comunicados de forma consistente, de forma a permitir a tomada de medidas corretivas oportunas.
  • Gerenciamento de continuidade de negócios - garantir que a neutralização de interrupções nas atividades de negócios e proteger processos críticos do negócio a partir dos efeitos das principais falhas de sistemas de informação ou desastres.
  • Conformidade - evitar violações de qualquer lei, estatutária, regulatória ou obrigação contratual, e de quaisquer requisitos de segurança. Garantir a conformidade dos sistemas com a segurança organizacional políticas e padrões.

Padrões de auditorias de segurança

editar

André Robert contribuiu com a classificação dos diferentes tipos de auditorias, como a Auditorias de boas práticas em Segurança da informação, Auditorias de cumprimento legal e regulamentar em Segurança da Informação, Hacking Ético entre suas leis envolvidas de propriedades intelectuais, prevenção de riscos laborais, etc.

Também colocou tópicos referente aos auditores, que podem ser destinados a nichos específicos da organização e segurança de uma empresa, auditores que podem atuar em areas como na GESTAO DE TI, Sistemas e aplicativos, inovação, entre outros.

João Fontana - complementou algumas informações sobre alguns padrões, como o SOX, MAR, COSO e COBIT.

Referências úteis a serem uteis para complementos futuros:

Leis e Regulamentos para a proteção à privacidade

editar

Robson Liesner irá contribuir para a definição dos aspectos básicos da privacidade de indivíduos.

General Data Protection Regulation (GDPR)

editar

Robson Liesner irá contribuir na definição da lei GPDR. João Fontana contribuiu com informações adicionais

https://cio.com.br/gestao/auditor-de-ti-um-papel-vital-para-a-avaliacao-de-risco/ )https://www.sothis.tech/pt/os-diferentes-tipos-de-auditoria-em-seguranca-da-informacao/

Alexandre Raisel, apresentou a quem se aplica a LGPD, bem como, onde e quando é válida. Também apresentou as exceções a regra e as hipóteses onde o tratamento de dados é previsto na lei.

Regressar à página "Curso Livre de Segurança de Sistemas/Políticas de Segurança e Auditoria".