Banco Central: proposta de resolução da política cibernética e requisitos de contratação de computação em nuvem

É importante que os profissionais responsáveis pela Gestão da Segurança da Informação comecem a ler detalhadamente o que o Banco Central vai exigir. O Banco Central do Brasil emitiu em 19 de setembro o Edital de Consulta Pública da Resolução que dispõe sobre a Política de Segurança Cibernética e sobre os Requisitos de Contratação de Serviços de Computação em Nuvem. Sugestões e comentários poderão ser feitos até 21 de novembro…

Somente organizações seguras sobreviverão! Como está a sua?

Na atual exigência de padrão corporativo e de regulamentação de mercado, somente as organizações que considerem a segurança da informação como um dos pilares mestres de governança, estarão funcionando nos próximos dez anos. Mas, tem que ser a verdadeira segurança. Não vale a “segurança faz de conta” ou a “segurança perfumaria” onde tem um belo odor, mas passageiro. Ou a segurança onde se trabalha muito, mas totalmente sem estrutura e…

PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação

Conheça os 12 requisitos O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macro controles, controles e regras detalhadas que permitem que a…

Como iniciar e manter a Gestão de Compliance (Conformidade)?

O conceito de Compliance Organizacional é de conhecimento, em maior ou menor profundidade da maioria dos profissionais corporativos. Porém, quando é necessário sair da teoria e colocar a mão na massa, aparece a primeira dúvida: Como iniciar e manter a Gestão de Compliance (Conformidade) em uma organização? Compartilho neste texto minha experiência e a minha sugestão para um caminho prático e objetivo para a Gestão de Compliance Organizacional. Inicialmente precisamos…

A Gestão de Segurança da Informação e o Ataque Ransomware WannaCrypt

O ataque mundial acontecido nesta sexta-feira (12 de maio), utilizando a técnica de sequestro de dados (criptografia de dados) e exigência de pagamento pela liberação de uma senha que permite ao retorno à normalidade, exige algumas observações sobre a gestão da proteção da informação. Avalie a sua organização em relação aos pontos abaixo apresentados. 1. Aparentemente o código criminoso foi roubado da NSA/USA em um estudo (?) que faziam do…

Segurança da Informação é mais que Cyber Security!

Cyber Security (Segurança Cibernética) nas manchetes da mídia. Desde a guerra cibernética onde na maioria das vezes tem o objetivo de obtenção de segredos comerciais e econômicos, até os ataques criminosos ao nosso celular. Mas, para uma organização, a proteção da sua informação exige um Processo Corporativo de Segurança da Informação que contempla muitos mais aspectos do que a tecnologia. E além disto a própria Ciber Segurança precisa de normativos…

Como planejar a segurança da informação?

Pontos básicos para elaboração do planejamento Na minha experiência, a maioria das organizações não possuem um planejamento para a segurança da informação. Não pense em algo sofisticado. De uma maneira simples, prática e objetiva, planejar a segurança da informação é ter, após um longo processo, um slide, uma folha de papel ou algo equivalente com as ações previstas para os próximos 36 meses. Algo que se o presidente da empresa…

O que todo CEO deve saber sobre Segurança da Informação?

A segurança da informação existe para que a organização alcance seus objetivos corporativos naquilo que depende da informação ou de recursos de informação. Elaborei esta definição, baseada nos ensinamentos do meu Guru Thomas Peltier. Portanto se o foco é o conjunto de objetivos corporativos, o CEO (Chief Executive Officer) deve estar comprometido. Porém, o que um CEO deve saber de segurança da informação? Não precisa conhecer em profundidade. O CEO…

Segurança é fator crítico para Compliance da Informação!

Em relação ao recurso informação para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Mas como fazer? Em tempos atuais de turbulências corporativas, a questão do Compliance (Conformidade com a legislação e comportamentos definidos) tem sido mais fortemente debatida. Em relação ao recurso informação para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Compliance…

Como testar o Plano de Continuidade de Negócio?

Plano de Continuidade de Negócio, PCN, deve ser elaborado e principalmente deve ser periodicamente testado. Sem realizar os testes, nenhum plano pode ser considerado capaz de garantir para a organização que havendo necessidade de sua execução, ele funcionará de maneira adequada. Normalmente as organizações primam por escrever (e colocar numa bela estante) o Plano de Continuidade de Negócio, com os seus mais variados nomes. Mas realizar teste, avaliar teste realizado…