Conformidade com normas e regulamentações externas

Conformidade com normas e regulamentações externas A evolução tecnológica, a utilização da internet pelas organizações e pessoas, o comércio eletrônico e a utilização das redes sociais como parte do negócio pelas empresas trouxeram um novo pensamento e um novo comportamento no cenário mundial. Com todas estas mudanças também surgiram novas formas de fraudes, roubos e ameaças. Neste contexto existe a necessidade de reflexões e entendimento sobre a importância das Normas e Regulamentações Externas que regem a Segurança da Informação das organizações locais e globais. Entre as principais normas e regulamentações podemos citar as normas da família ISO 27000, a lei de Sarbanes Oxley (SOX), o Acordo de Basiléia e o PCI-DSS. Cabe ao profissional da área de segurança da informação identificar e interpretar as normas e regulamentações necessárias para o negócio da organização de forma a garantir a conformidade legal em relação a Segurança da Informação.

OBJETIVOS Conhecer as necessidades e importância da utilização de normas e padronizações; Conhecer as principais características e normas que compõem a família ISO 27000; Apresentar o histórico, aplicabilidade e características da Lei de Sarbanes e Oxley (SOX) e sua relação com a área de segurança da informação; Apresentação a regulamentação PCI-DSS e seu relacionamento com a Segurança da Informação; Compreender os conceitos básicos e os principais itens para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI), segundo a norma 27001; Apresentar uma abordagem prática para aplicar os controles de segurança da ISO 27002 em ambientes corporativos; Conhecer os conceitos, a aplicabilidade e boas práticas de Compliance; Apresentar as boas práticas da integração da Gestão de Compliance com as boas práticas de Governança Corporativa e de Gestão de Riscos.

  Conformidade com Normas e Regulamentações externas A evolução tecnológica e a Internet trouxeram um novo pensamento, um novo comportamento no cenário mundial. Neste contexto da sociedade da informação, existe a necessidade de reflexões sobre da importância da existência de marco jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade dos cidadãos. Neste sentido várias leis e normas foram promulgadas ou criadas com o objetivo de disciplinar esta nova forma de relacionamento entre governos, empresas e pessoas físicas. Desta forma é importante a compreensão entre a diferença entre normas e regulamentações e o conhecimento das principais organizações de normas e regulamentações na área de segurança da informação.

OBJETIVOS Apresentar a motivação para a criação das regulamentações e normas de segurança da informação; Conhecer a importância da utilização das normas e regulamentações no contexto organizacional; Compreender a diferença entre normas e regulamentações; Identificar as principais organizações de normas e regulamentações na área de segurança da informação.

REFERÊNCIAS http://dsic.planalto.gov.br acessado em 22/02/2016 https://www.dhs.gov acessado em 22/02/2016

  Família ISO 27000 A segurança da informação é um tema que ganhou destaque nos últimos anos, tendo em vista o elevado número de incidentes de segurança, ocorridos em âmbito mundial. Os transtornos gerados por estes incidentes são variados gerando, desde danos à imagem do negócio ao vazamento de informações críticas e em muitos casos podendo acarretar perdas financeiras substanciais para as organizações. O aumento do número destas ocorrências influencia na percepção de valor sobre investimentos em Segurança da Informação e fazem com que empresas busquem a estruturação de processos para garantir que seus negócios estejam protegidos contra os mais variados tipos de ameaças virtuais. Em meio a este cenário, surgiu a família de normas em segurança da informação, conhecida como família 27K. As diferentes normas existentes apresentam entre outros assuntos a definição de um glossário de termos utilizados nas demais normas, a implementação de um sistema de gestão em segurança da informação, um código de melhores práticas, orientações sobre a implemenação da governança TI e a definição de uma sistema de gestão de riscos.

OBJETIVOS Conhecer as normas da família ISO 27000; Identificar as principais normas da família 27K.

REFERÊNCIAS http://www.abntcatalogo.com.br/ acessado em 23/02/2016 http://www.iso.org acessado em 23/02/2016

SíNTESE DA AULA Conhecemos as normas da família ISO 27000; Identificamos as principais normas da família 27K.

APRENDA MAIS Assista ao vídeo sobre a ISO 27001 em: https://www.youtube.com/watch?v=HJvHhzT1rRg e https://www.youtube.com acessado 23/02/2016

  Lei Sarbane-Oxley A lei de Sarbane-Oxley, também conhecida como SOX, teve sua motivação de criação a partir de diversos escândalos financeiros. Tem como objetivo coibir a fraude, aumentar a responsabilidade corporativa e a revelação de informações relevantes nas demonstrações financeiras. É aplicada a todas as empresas, sejam elas americanas ou estrangeiras, que tenham ações registradas nas bolsas de valores dos EUA. A SOX é dividida em onze títulos (capítulos), com um número variável de seções cada um, totalizando 69 seções (artigos). Esta lei obriga as empresas a reestruturarem seus processos para aumentar seus controles, a segurança, a transparência na condução dos negócios, na administração financeira, nas escriturações contábeis e na gestão e divulgação das informações.

OBJETIVOS Conhecer as motivações para a criação da Lei de Sarbanes-Oxley; Conhecer seus principais capítulos; Compreender a relação da SOX com a Tecnologia da Informação.

REFERÊNCIAS LAHTI, Christian B.; PETERSON, Roderick. Sarbanes-Oxley: Conformidade TI Usando COBIT e Ferramentas Open Source. 1st Edition, Alta Books, 2006.

SíNTESE DA AULA Conhecemos as motivações para a criação da Lei de Sarbanes-Oxley; Conhecemos seus principais capítulos; Compreendemos a relação da SOX com a Tecnologia da Informação.

APRENDA MAIS http://exame.abril.com.br acessado em 20/02/2016 Controle interno da seção 404: http://www.kpmg.com.br acessado em 20/02/2016 Guia para implementar a SOX: http://www.hsce.com.br acessado em 20/02/2016 Aspectos legais da SOX no Brasil: http://www.techoje.com.br acessado em 20/02/2016

  PCI-DSS Com a consolidação da internet como ambiente tecnológico para a utilização do e-commerce e a utilização do uso de cartões de crédito para compras em sites da internet e em estabelecimentos comerciais, apesar de todos os esforços das empresas de proteger as informações de clientes, as fraudes eletrônicas e roubos de informações têm aumentado drasticamente. As fraudes eletrônicas ou fraudes de cartão de crédito são aquelas em que os dados do cartão de crédito (número, validade e código de segurança) são roubados e usados indevidamente para a realização de compras em estabelecimentos. Como forma de mitigar os riscos, vários bancos e operadoras de cartão de crédito (Visa, Mastercard e American Express, entre outras) criaram um conselho para criar e recomendar melhores práticas de segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartão de crédito como forma de pagamento. O resultado deste trabalho foi a criação do Payment Card Industry (PCI) – Data Security standard (DSS).

OBJETIVOS Apresentar as motivações para a criação e utilização do padrão PCI-DSS; Compreender a relação do PCI-DSS com a segurança da Informação; Identificar as 6 categorias e os 12 requerimentos do PCI-DSS.

REFERÊNCIAS IT Governance Publishing. PCI DSS V12- A Pratical Guide to Implementation. 2nd Edition, Bernan Assoc, 2009. https://www.pcisecuritystandards.org acessado em 22/02/2016

SíNTESE DA AULA Conhecemos as motivações para a criação e utilização do padrão PCI-DSS; Identificamos as 6 categorias e os 12 requerimentos do PCI-DSS.

APRENDA MAIS Assista o vídeo (em inglês): https://www.youtube.com acessado em 22/02/2016 Livro (precisa de cadastro): https://www.qualys.com acessado em 22/02/2016

  ISO 27001 Melhores práticas em segurança da informação devem ser incorporadas pelas organizações modernas para assegurar o monitoramento contínuo dos dados e a integridade das informações corporativas. Um sistema de gestão de segurança da informação (SGSI) é um conjunto de processos e procedimentos, baseado em normas e na legislação, que uma organização implementa para prover segurança no uso de seus ativos tecnológicos. Tal sistema deve ser conhecido e seguido por todos aqueles que se relacionam direta ou indiretamente com a infra-estrutura de TI da organização, tais como: funcionários, prestadores de serviço, parceiros e terceirizados. A implementação de um SGSI deve possuir obrigatoriamente o aval da direção e das demais áreas da organização para conferir sua legitimidade. Uma parte fundamental da implementação de um SGSI envolve primeiramente a análise de riscos na infra-estrutura de TI. Esta análise permite identificar os pontos vulneráveis e as falhas nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias. A norma ISO 27001 foi a primeira norma a abordar segurança da informação com uma visão sistêmica de gestão e não somente como recomendações de instalação de controles de segurança isolados.

OBJETIVOS Compreender os conceitos básicos de um Sistema de Gestão de Segurança da Informação (SGSI); Identificar os principais itens para a implementação de um SGSI; Identificar as principais etapas para a realização de auditoria segundo a norma ISO 27001.

REFERÊNCIAS ABNT NBR ISO/IEC 27001:2013. Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos.

SíNTESE DA AULA Compreendemos os conceitos básicos de um Sistema de Gestão de Segurança da Informação (SGSI); Identificamos os principais itens para a implementação de um SGSI; Identificamos as principais etapas para a realização de auditoria segundo a norma ISO 27001.

APRENDA MAIS Vídeo sobre a importância da implementação da norma ISO 27001 (Portugal): https://www.youtube.com Assista o vídeo com uma reflexão sobre como implementar a segurança da informação: https://www.youtube.com acessado em 20/02/2016 Assista o vídeo com discussão sobre a necessidade da gestão do risco para a implementação da Segurança da informação. Este é um vídeo do ano de 2012, porém a discussão ainda é muito atual: https://www.youtube.com acessado em 20/02/2016

  ISO 27002 A nova era tecnológica, consequência do avanço acelerado das tecnologias de TIC, tem trazido importantes ganhos para as organizações, proporcionando crescimento e produtividade; em contrapartida, tem colocado as organizações diante de riscos inerentes ao acesso ou ao ataque às informações armazenadas nos sistemas computacionais corporativos. As informação tem se tornado um ativo cada vez mais valorizado e com impacto direto na continuidade dos negócios e na credibilidade das organizações, consequentemente as empresas têm buscado soluções para mitigar esses riscos e assegurar o nível de segurança adequado para seu negócio. A Gestão da Segurança da Informação vem de encontro a esta necessidade, estabelecendo um conjunto de boas práticas por meio de políticas de segurança gerenciadas em diferentes instâncias com funções e responsabilidades bem definida como forma de assegurar o monitoramento contínuo dos dados e a integridade das informações corporativas. Neste contexto a norma ISO 27002, apresenta um conjunto de melhores práticas a serem seguidas pelas companhias tais como: a estruturação do plano diretor de segurança e de contingência; a definição da política de segurança da informação; a análise de riscos, vulnerabilidades e testes de invasão; a implementação de controles de segurança; autenticação e autorização.

OBJETIVOS Conhecer os conceitos básicos da norma ISO 27002; Identificar os principais domínios da norma; Detalhar cada um destes domínios.

REFERÊNCIAS ABNT NBR ISO/IEC 27002:2013. Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação.

SíNTESE DA AULA Conhecemos os conceitos básicos da norma ISO 27002; Identificamos os principais domínios da norma; Detalhamos cada um destes domínios.

APRENDA MAIS Veja a reportagem sobre a gestão de ativos em: http://cio.com.br acessado em: 05/05/2016 Leia o artigo que discute a adoção da norma ISO 27002 por médias empresas: http://periodicos.unifacef.com.br acessado em: 05/05/2016

  Compliance Você sabe o que é compliance? Compliance é fazer valer as políticas estabelecidas por uma empresa. É o conjunto de disciplinas para que sejam cumpridas as normas legais e as diretrizes de negócio da instituição, ou definidas internacionalmente, como é o caso da gestão da segurança da informação através da implementação da norma ISO 27001 para a área de segurança da informação, por exemplo. Ele possibilita a análise dos riscos, a orientação legal e moral, a prevenção e contenção de danos, e a gerência das atividades, notadamente combinadas à segurança da informação. A organização deve adotar uma estratégia de compliance que acompanhe as mudanças freqüentes do ambiente de negócios e assim não ficar vulnerável. Devemos considerar que só obedecer as normas de compliance não significa que podemos classificar esta empresa como verdadeiramente segura, elas contribuem para o fortalecimento da área de SI, mas também é necessário outras ações de SI como por exemplo a gestão de risco. Neste sentido devemos conhecer e compreender as boas práticas na área de compliance e a importância da figura do Compliance Officer e Security Officer no contexto da segurança da informação nas organizações.

OBJETIVOS Conhecer os conceitos e aplicabilidade de compliance; Identificar as boas práticas da gestão de compliance; Compreender a função do Compliance Officer e Security Officer.

REFERÊNCIAS Antonik, Luis Roberto , Compliance, Ética, Responsabilidade Social e Empresarial - Uma visão prática, editor Alta Books, 2016. Assi,Marcos, Controles Internos e Cultura Organizacional - 2ª Ed. 2014, editora: Saint Paul.

  Governança, Risco e Compliance (GRC) A organização deve adotar uma estratégia de compliance que acompanhe as mudanças freqüentes do ambiente de negócios e assim não ficar vulnerável. Porém devemos considerar que só obedecer as normas de compliance não significa que podemos classificar esta empresa como verdadeiramente segura, elas contribuem para o fortalecimento da área de SI, entretanto também é necessário outras ações de SI complementares, como por exemplo, a gestão de risco. Assim, um programa de compliance deve estar atrelado a medidas efetivas de segurança para abrandar os riscos e deve estar atrelado a ações para governança e a gestão de riscos corporativos que preparem a empresa para desafios maiores no futuro. Desta forma torna-se nesssário a adoção de boas práticas na integração da gestão de compliance com as boas práticas de governança corporativa e da gestão de riscos de forma a manter a efetividade da organização.

OBJETIVOS Conhecer os conceitos e a importância do GRC ; Compreender o relacionamento entre Risco, Governança e Compliance.

REFERÊNCIAS Roebuck, Kevin , Governance, Risk Management, and Compliance (GRC): High-impact Strategies - What You Need to Know: Definitions, Adoptions, Impact, Benefits, Maturity, Editora: Emereo Publishing. http://www.oceg.org acessado em 22/02/2016

SíNTESE DA AULA Conhecemos os conceitos e a importância do GRC; Compreendemos o relacionamento entre Risco, Governança e Com

APRENDA MAIS Vídeos sobre a importância do GRC: https://www.youtube.com acessado em 22/03/2016 https://www.youtube.com acessado em 22/03/2016 https://www.youtube.com acessado em 22/03/2016 https://www.youtube.com acessado em 22/03/2016