Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança da Informação. A ISO17799 é bem abrangente, pretendendo contemplar todos os aspectos da segurança da informação. Nesse sentido, divide-se em 11 capítulos ou partes, cada qual abordando um aspecto da segurança da informação. A norma brasileira segue a mesma estrutura de capítulos, itens e controles. Os Capítulos que compõem a norma são os seguintes: · Política de Segurança da Informação · Organização a Segurança da Informação · Gestão de Ativos · Segurança em Recursos Humanos · Segurança Física e do Ambiente · Gerenciamento das Operações e Comunicações · Controle de Acessos · Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação · Gestão de Incidentes de Segurança da Informação · Gestão da Continuidade do Negócio · Conformidade A ISO17799 cobre os mais diversos tópicos da área de segurança, possuindo mais de 100 controles que devem ser atendidos para garantir a segurança das informações de uma empresa, de forma que a obtenção da certificação pode ser um processo demorado e muito trabalhoso, consistindo num desafio para as empresas. Em contrapartida, a certificação é uma forma bastante clara de mostrar a sociedade que a empresa dá a segurança de suas informações e de seus clientes a importância que merecem, de tal forma que se espera que em poucos anos todas as grandes empresas terão aderido à norma e obtido suas certificações como forma de não só assegurar sua sobrevivência, mas também como parte do marketing de suas imagens junto ao público e como fator mais um diferencial de competitividade no mercado. A ISO/IEC 27002 é a mais respeitada e importante norma adotada pelas organizações nacionais e internacionais, pois suas diretrizes são bem-vistas pelos negócios, uma vez que protegem os sistemas da informação corporativos. Ao compararmos com a sua antecessora, ela apenas acrescentou algumas seções e várias categorias ao seu conteúdo, como podemos ver a seguir: · Análise/Avaliação e Tratamento de Riscos · Criptografia · Relacionamento na cadeia de suprimento As vantagens proporcionadas pela certificação ISO 27002 são representativas para as empresas, principalmente pelo fato de serem reconhecidas mundialmente. Conheça alguns benefícios associados a aplicação da norma: · Melhor conscientização sobre a segurança da informação; · Maior controle de ativos e informações sensíveis; · Oferece uma abordagem para implantação de políticas de controles; · Oportunidade de identificar e corrigir pontos fracos; · Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos; · Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação; · Melhor organização com processos e mecanismos bem desenhados e geridos; · Promove redução de custos com a prevenção de incidentes de segurança da informação; · Conformidade com a legislação e outras regulamentações. O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento foi criado em 2004 pelo PCI Security Standards Council, que não é um órgão, mas um fórum aberto global que desenvolve padrões para segurança da informação de contas. Esse padrão, como o próprio nome diz, trata da proteção de dados, transações e informações de cartões de pagamento contra fraudes e roubos. É formado por 12 requisitos que estão divididos em seis objetivos de controle: · Construir e manter a segurança de rede e sistemas: 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão. 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança. · Proteger os dados do titular do cartão: 3. Proteger os dados armazenados do titular do cartão. 4. . Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas. · Manter um programa de gerenciamento de vulnerabilidades: 5. Proteger todos os sistemas contra malware e atualizar regularmente programas ou software antivírus. 6. Desenvolver e manter sistemas e aplicativos seguros. · Implementar medidas rigorosas de controle de acesso: 7. . Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio. 8. Identificar e autenticar o acesso aos componentes do sistema. 9. Restringir o acesso físico aos dados do titular do cartão. · Monitorar e testar as redes regularmente: 10. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão. 11. Testar regularmente os sistemas e processos de segurança 12. Manter uma política que aborde a segurança da informação para todas as equipes. (PCI, 2018). Essa certificação é muito importante porque ela comprova que a empresa pode fazer o manuseio dos dados sensíveis dos clientes sem ter receio de perdas ou vazamentos. Ela poderá lidar da maneira segura com informações, como o nome do titular, o número do cartão de crédito, a sua validade e o CVV quando um cliente efetivar uma compra. A relevância da certificação relaciona-se à possibilidade de ela averiguar servidores e sistemas por meio de testes de vulnerabilidade de empresas que atuam na Web. As análises apontam se os sites oferecem as condições necessárias para a realização de pagamentos com cartões, de modo que podem ser aplicadas a qualquer negócio. Vale destacar que a violação ou a perda dos dados dos proprietários de cartões de crédito prejudica a imagem das empresas e abala a sua credibilidade no mercado. Além disso, com a chegada da Lei Geral de Proteção de Dados (LGPD), estar em conformidade com as questões de proteção e tratamento de dados pessoais é primordial para qualquer negócio.
Compartilhar