PCI – Padrão de Segurança da Dados e o Processo Corporativo de Segurança da Informação

Conheça os 12 requisitos O Padrão de Segurança de Dados da Industria de Cartões de Pagamento (PCI DSS) define controles específicos para a segurança da informação relacionada ao negócio de cartões de pagamento. Surge uma dúvida: este padrão substitui os controles da Norma ISO/IEC 27002? Não! Muito pelo contrário: eles se complementam. Esta dupla faz um harmonioso conjunto de diretrizes, macro controles, controles e regras detalhadas que permitem que a…

Como iniciar e manter a Gestão de Compliance (Conformidade)?

O conceito de Compliance Organizacional é de conhecimento, em maior ou menor profundidade da maioria dos profissionais corporativos. Porém, quando é necessário sair da teoria e colocar a mão na massa, aparece a primeira dúvida: Como iniciar e manter a Gestão de Compliance (Conformidade) em uma organização? Compartilho neste texto minha experiência e a minha sugestão para um caminho prático e objetivo para a Gestão de Compliance Organizacional. Inicialmente precisamos…

A Gestão de Segurança da Informação e o Ataque Ransomware WannaCrypt

O ataque mundial acontecido nesta sexta-feira (12 de maio), utilizando a técnica de sequestro de dados (criptografia de dados) e exigência de pagamento pela liberação de uma senha que permite ao retorno à normalidade, exige algumas observações sobre a gestão da proteção da informação. Avalie a sua organização em relação aos pontos abaixo apresentados. 1. Aparentemente o código criminoso foi roubado da NSA/USA em um estudo (?) que faziam do…

Segurança da Informação é mais que Cyber Security!

Cyber Security (Segurança Cibernética) nas manchetes da mídia. Desde a guerra cibernética onde na maioria das vezes tem o objetivo de obtenção de segredos comerciais e econômicos, até os ataques criminosos ao nosso celular. Mas, para uma organização, a proteção da sua informação exige um Processo Corporativo de Segurança da Informação que contempla muitos mais aspectos do que a tecnologia. E além disto a própria Ciber Segurança precisa de normativos…

Como planejar a segurança da informação?

Pontos básicos para elaboração do planejamento Na minha experiência, a maioria das organizações não possuem um planejamento para a segurança da informação. Não pense em algo sofisticado. De uma maneira simples, prática e objetiva, planejar a segurança da informação é ter, após um longo processo, um slide, uma folha de papel ou algo equivalente com as ações previstas para os próximos 36 meses. Algo que se o presidente da empresa…

O que todo CEO deve saber sobre Segurança da Informação?

A segurança da informação existe para que a organização alcance seus objetivos corporativos naquilo que depende da informação ou de recursos de informação. Elaborei esta definição, baseada nos ensinamentos do meu Guru Thomas Peltier. Portanto se o foco é o conjunto de objetivos corporativos, o CEO (Chief Executive Officer) deve estar comprometido. Porém, o que um CEO deve saber de segurança da informação? Não precisa conhecer em profundidade. O CEO…

Segurança é fator crítico para Compliance da Informação!

Em relação ao recurso informação para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Mas como fazer? Em tempos atuais de turbulências corporativas, a questão do Compliance (Conformidade com a legislação e comportamentos definidos) tem sido mais fortemente debatida. Em relação ao recurso informação para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Compliance…

Como testar o Plano de Continuidade de Negócio?

Plano de Continuidade de Negócio, PCN, deve ser elaborado e principalmente deve ser periodicamente testado. Sem realizar os testes, nenhum plano pode ser considerado capaz de garantir para a organização que havendo necessidade de sua execução, ele funcionará de maneira adequada. Normalmente as organizações primam por escrever (e colocar numa bela estante) o Plano de Continuidade de Negócio, com os seus mais variados nomes. Mas realizar teste, avaliar teste realizado…

Como praticar a Governança da Segurança da Informação?

O tema Governança da Segurança da Informação tem sido cada vez mais tratado nas mídias e nas organizações. Com certeza você já participou de eventos ou de roda de conversa em que este tema foi tratado. Artigos são escritos, e digamos apresentam uma boa base teórica. Mas, fica a pergunta: como faço para implementar e ter razoável sucesso na organização em que trabalho ou presto serviço? Seguem abaixo algumas recomendações…

Segurança da informação e o desenvolvimento de sistemas

Quando do desenvolvimento ou aquisição de sistemas é necessário considerar alguns controles de segurança da informação. Caso a organização não considere estes controles neste momento de desenvolvimento ou de aquisição, o custo para a organização será muito maior. E custo não está limitado ao valor financeiro. Significa também mais tempo, maior complexidade para implementar a solução, maior utilização de recursos e o mais grave: um maior risco para ocorrência de…