Atividade A1 - Normas e Padrões de segurança

Prévia do material em texto

Segurança da Informação. A ISO17799 é bem abrangente, pretendendo contemplar todos os aspectos da segurança da informação. Nesse sentido, divide-se em 11 capítulos ou partes, cada qual abordando um aspecto da segurança da informação. A norma brasileira segue a mesma estrutura de capítulos, itens e controles. Os Capítulos que compõem a norma são os seguintes:
· Política de Segurança da Informação
· Organização a Segurança da Informação
· Gestão de Ativos
· Segurança em Recursos Humanos
· Segurança Física e do Ambiente
· Gerenciamento das Operações e Comunicações
· Controle de Acessos
· Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
· Gestão de Incidentes de Segurança da Informação
· Gestão da Continuidade do Negócio
· Conformidade
A ISO17799 cobre os mais diversos tópicos da área de segurança, possuindo mais de 100 controles que devem ser atendidos para garantir a segurança das informações de uma empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso, consistindo num desafio para as empresas. Em contrapartida, a certificação é uma forma bastante clara de mostrar a sociedade que a empresa dá a segurança de suas informações e de seus clientes a importância que merecem, de tal forma que se espera que em poucos anos todas as grandes empresas terão aderido à norma e obtido suas certificações como forma de não só assegurar sua sobrevivência, mas também como parte do marketing de suas imagens junto ao público e como fator mais um diferencial de competitividade no mercado.
A ISO/IEC 27002 é a mais respeitada e importante norma adotada pelas organizações nacionais e internacionais, pois suas diretrizes são bem-vistas pelos negócios, uma vez que protegem os sistemas da informação corporativos. Ao compararmos com a sua antecessora, ela apenas acrescentou algumas seções e várias categorias ao seu conteúdo, como podemos ver a seguir:
· Análise/Avaliação e Tratamento de Riscos
· Criptografia
· Relacionamento na cadeia de suprimento
As vantagens proporcionadas pela certificação ISO 27002 são representativas para as empresas, principalmente pelo fato de serem reconhecidas mundialmente. Conheça alguns benefícios associados a aplicação da norma:
· Melhor conscientização sobre a segurança da informação;
· Maior controle de ativos e informações sensíveis;
· Oferece uma abordagem para implantação de políticas de controles;
· Oportunidade de identificar e corrigir pontos fracos;
· Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
· Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;
· Melhor organização com processos e mecanismos bem desenhados e geridos;
· Promove redução de custos com a prevenção de incidentes de segurança da informação;
· Conformidade com a legislação e outras regulamentações.
O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento foi criado em 2004 pelo PCI Security Standards Council, que não é um órgão, mas um fórum aberto global que desenvolve padrões para segurança da informação de contas. Esse padrão, como o próprio nome diz, trata da proteção de dados, transações e informações de cartões de pagamento contra fraudes e roubos. É formado por 12 requisitos que estão divididos em seis objetivos de controle:
· Construir e manter a segurança de rede e sistemas:
1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão.
2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança.
· Proteger os dados do titular do cartão:
3. Proteger os dados armazenados do titular do cartão.
4. . Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas.
· Manter um programa de gerenciamento de vulnerabilidades:
5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus.
6. Desenvolver e manter sistemas e aplicativos seguros.
· Implementar medidas rigorosas de controle de acesso:
7. . Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio.
8. Identificar e autenticar o acesso aos componentes do sistema.
9. Restringir o acesso físico aos dados do titular do cartão.
· Monitorar e testar as redes regularmente:
10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão.
11. Testar regularmente os sistemas e processos de segurança
12. Manter uma política que aborde a segurança da informação para todas as equipes. (PCI, 2018).
Essa certificação é muito importante porque ela comprova que a empresa pode fazer o manuseio dos dados sensíveis dos clientes sem ter receio de perdas ou vazamentos. Ela poderá lidar da maneira segura com informações, como o nome do titular, o número do cartão de crédito, a sua validade e o CVV quando um cliente efetivar uma compra.
A relevância da certificação relaciona-se à possibilidade de ela averiguar servidores e sistemas por meio de testes de vulnerabilidade de empresas que atuam na Web. As análises apontam se os sites oferecem as condições necessárias para a realização de pagamentos com cartões, de modo que podem ser aplicadas a qualquer negócio. 
Vale destacar que a violação ou a perda dos dados dos proprietários de cartões de crédito prejudica a imagem das empresas e abala a sua credibilidade no mercado. Além disso, com a chegada da Lei Geral de Proteção de Dados (LGPD), estar em conformidade com as questões de proteção e tratamento de dados pessoais é primordial para qualquer negócio.