O Conselho de Governança é composto por executivos responsáveis ​​pela gestão de todos os riscos para a organização, com o objetivo principal de fornecer supervisão para a função de segurança da organização, garantindo ao mesmo tempo que a função de segurança continua a servir as necessidades da organização e das suas partes interessadas. Eles revisam projetos em andamento e planejados, métricas remotas e quaisquer outras questões de segurança que possam preocupar toda a empresa.

Cada aquisição traz um conjunto único de circunstâncias, e os especialistas em segurança de ambas as organizações devem se reunir para avaliar os controles de segurança de cada organização e descobrir como eliminar redundâncias e garantir a contenção do sistema.

Possíveis pontos de risco:

Contramedidas:

•Identificar e classificar todos os ativos envolvidos no desinvestimento, incluindo hardware, software e ativos de informação;

•Desacople os sistemas afetados da infraestrutura restante.

•Revise todos os direitos de acesso.

• Consulte suas equipes jurídicas e de conformidade para garantir que você esteja seguindo todos os requisitos regulatórios e de conformidade necessários relativos à retenção, exclusão de dados, etc.

O diretor de segurança da informação é o executivo sênior responsável pela gestão geral e supervisão do programa de segurança da informação dentro de uma organização.

O diretor de segurança da informação conduz a estratégia e a visão de segurança da organização e é o responsável final pela segurança dos sistemas e das informações da empresa.

O CSO é um executivo sênior de uma organização e normalmente é responsável por todas as questões de segurança física e pessoal.

Muitas organizações fundiram as responsabilidades do CSO com a função do CISO

São medidas de proteção técnicas, operacionais ou administrativas usadas por uma organização para prevenir, detectar, reduzir ou combater ameaças à segurança.

Controles técnicos: proteções e contramedidas baseadas no sistema, como firewalls, I1DS/PS e prevenção contra perda de dados (DLP) •

Controles operacionais: Medidas de proteção e contramedidas executadas principalmente por humanos, como guardas de segurança.

Controles de gestão: incluem políticas, procedimentos e outras contramedidas para controlar os riscos de segurança da informação.

O princípio da cautela refere-se ao comportamento razoável e prudente para proteger a segurança da informação, incluindo a manutenção da confidencialidade, integridade e disponibilidade da informação, e aplica-se a todas as pessoas. Este princípio aplica-se a qualquer pessoa ou organização, independentemente do seu nível de especialização em segurança da informação.

A devida diligência refere-se a uma série de medidas tomadas em segurança da informação para garantir que medidas de segurança razoáveis ​​​​foram implementadas e funcionam de forma eficaz. Isso inclui o desenvolvimento de uma estrutura formal de segurança, o desenvolvimento de políticas, padrões, linhas de base, diretrizes e procedimentos de segurança e muito mais. Neste sentido, é responsabilidade da alta administração garantir que a devida diligência seja realizada.

Aprovado pelo Congresso dos EUA em 1987, foi removido e substituído pela FISMA.

Pela Lei Federal de Gerenciamento de Segurança da Informação, todas as agências governamentais federais dos EUA e organizações não governamentais que fornecem serviços de informação a essas agências são obrigadas a realizar avaliações de segurança baseadas em risco, consistentes com a Estrutura de Gerenciamento de Risco (RMF) do NIST.

Regulamentos relacionados com o financiamento de empresas cotadas

Regulamentações da indústria de cartões de pagamento

Significa controle de sistema e organizacional e é uma estrutura de auditoria com três tipos de auditoria e relatórios SOC comumente usados, denominados SOC1, SOC2 e SOC3.

SOC1: Auditoria relacionada às demonstrações financeiras

SOC2: Relatórios detalhados de auditoria e conformidade, geralmente não abertos ao público.

SOC3: Uma versão simplificada do SOC2, disponível ao público.

Os requisitos de privacidade referem-se à proteção da segurança e confidencialidade das informações pessoais durante o processamento de informações e à limitação do acesso às informações pessoais ao escopo de uso autorizado da parte autorizada. Em essência, privacidade refere-se à proteção de informações pessoalmente identificáveis ​​para proteger o direito de um indivíduo à privacidade.

1.4.2.1PII

O cibercrime refere-se a atividades criminosas que envolvem diretamente computadores ou a Internet, que incluem principalmente:

As violações de dados são um tipo especial de crime cibernético em que as informações são acessadas ou roubadas por criminosos cibernéticos sem autorização. As organizações afetadas por uma violação de dados podem enfrentar danos à reputação, incidentes de roubo de identidade, multas ou perda de propriedade intelectual devido ao roubo. A criptografia é uma maneira simples de proteger sua organização contra violações de dados.

Lei de Fraude e Abuso de Computadores (CFAA): A primeira lei criminal da América que visa o crime cibernético, tornando muitos tipos de hacking um crime federal. As alterações da CFAA encontraram resistência.

Lei de Privacidade de Comunicações Eletrônicas (ECPA): Restringe o governo dos EUA de interceptar comunicações e armazenar informações, e o governo deve atender a requisitos rigorosos para obter um mandado de busca para comunicações eletrônicas.

Lei de Roubo de Identidade e Dissuasão de Suposições: Torna o roubo do valor de uma pessoa um crime federal.

O software é uma forma importante de propriedade intelectual. As organizações investem recursos financeiros e humanos significativos no desenvolvimento de software e depois na proteção do software através de acordos de licenciamento. Existem quatro tipos comuns de acordos de licença:

Uma responsabilidade muito importante dos profissionais de segurança da informação é proteger a propriedade intelectual pertencente à sua organização contra uso ou divulgação não autorizada.

1. Direitos autorais

2. Marcas Registradas

3.Patentes

4. Segredos comerciais

O Regulamento sobre Tráfico de Armas (TAR) é qualquer coisa relacionada a artigos de defesa

Os Regulamentos de Administração de Exportação (EAR) cobrem muitas categorias amplas de tecnologia, incluindo eletrônicos e computadores sensíveis, lasers, navegação, tecnologia marítima e muito mais.

1. "Lei de Privacidade"

2. Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA)

3.Lei de Proteção à Privacidade Online das Crianças (COPPA)

4. Lei de Modernização dos Serviços Financeiros (GLBA)

5. Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (HITECH)

1.《Diretiva de Proteção de Dados (DPD)＞

2. Regulamento Geral de Proteção de Dados (RGPD)

3. “Safe Harbor” e “Privacy Shield” são acordos de proteção de privacidade entre os Estados Unidos e a União Europeia e ambos expiraram.

Uma investigação dentro de uma organização para encontrar a causa raiz de um problema e resolvê-lo para que a empresa possa retomar as operações normais.

Uma política de segurança é um conjunto de declarações que descreve cuidadosamente as expectativas de segurança de longo prazo de uma organização e identifica os princípios e regras que regem a proteção dos sistemas de informação e dos dados na organização.

•O cumprimento das políticas é obrigatório e as políticas são geralmente aprovadas pelo mais alto nível da organização.

Algumas políticas de segurança comuns: política de uso aceitável, política de controle de acesso, política de gerenciamento de mudanças, política de acesso remoto, política de recuperação de desastres

Os padrões de segurança especificam os detalhes específicos dos controles de segurança que uma organização deve seguir, como protocolos de criptografia aprovados pela organização, onde os dados são armazenados, parâmetros de configuração e outros detalhes técnicos e operacionais. Quando se trata de padrões de configuração complexos, os padrões do setor são frequentemente utilizados, como o Guia de configuração de segurança fornecido pelo Center for Internet Security.

O cumprimento das normas de segurança é obrigatório. A linha de base de segurança está relacionada aos padrões, que estabelecem um nível mínimo de segurança para um sistema, rede ou dispositivo. Se os requisitos da linha de base não forem atendidos, ele não poderá ficar online.

Os procedimentos de segurança são instruções passo a passo que os funcionários podem seguir ao executar tarefas específicas de segurança.

Os guias são onde os profissionais de segurança aconselham outros membros da organização, incluindo as melhores práticas para segurança da informação. A conformidade com as diretrizes de segurança é opcional.

1. Comece estabelecendo sua equipe, escopo e orçamento do projeto BC

2. Identificar fundamentos críticos de negócios (CBFs) e outros elementos essenciais de negócios, incluindo

3. Conduza análises de risco nos principais negócios:

1. O Tempo de Inatividade Máximo Tolerável (MTD) ou Tempo de Inatividade Máximo Aceitável (MAO) representa o período total de tempo que funções críticas de negócios ficam indisponíveis. O MTD deve ser determinado pelo proprietário do sistema, que tem a responsabilidade final pelo bom funcionamento do CBF da organização.

2. O objetivo de tempo de recuperação (RTO) é o período máximo de tempo que os negócios críticos devem ser retomados após uma interrupção para evitar consequências comerciais inaceitáveis. O RTO deve ser menor ou igual ao MTD.

3. O Objetivo do Ponto de Recuperação (RPO) é uma medida da perda de dados tolerável, expressa em períodos de tempo.

Um plano de continuidade de negócios é projetado para proteger as funções críticas de negócios e os clientes de uma organização e garantir que a organização possa continuar a operar de forma eficaz dentro de níveis de serviço e períodos de tempo especificados para atender aos requisitos legais e regulamentares, bem como ao conjunto de MTD, RTO e RPO. pela organização.

Fase BCP do Plano de Continuidade de Negócios

funções críticas de negócios

Ameaças, vulnerabilidades e riscos

Plano de backup e recuperação de dados

Pessoal relacionado ao FBCP

plano de comunicação

Requisitos de teste BCP

Garantir a segurança das pessoas dentro e fora da organização durante emergências é o objetivo principal do BCP. Forneça treinamento e educação adequados para que os funcionários saibam como agir em caso de emergência.

Avalie funções comerciais críticas e determine os recursos necessários em caso de desastre. Desenvolva planos de locais de backup para instalações e recursos críticos de processamento de dados para garantir operações contínuas.

Antecipe falhas de software e hardware e desenvolva controles para reduzir riscos. Implemente backup de dados e sistemas redundantes, incluindo infraestrutura como energia, água, comunicações e conectividade de rede.

Histórico educacional

experiência de trabalho

-cidadania

-Registro criminal

Teste de drogas

Nota

Histórico de crédito e financeiro

atividade de mídia social

Nota: As empresas estrangeiras geralmente não prestam atenção aos exames físicos (exames físicos comuns de saúde)

Os acordos de funcionários mais comuns são acordos de não divulgação (NDA) e acordos de não concorrência (NCA)

1• Acordo de Não Divulgação (NDA)

2 • Acordo de Não Concorrência (NCA)

Além dos NDAs e NCAs, os funcionários podem ser obrigados a assinar outros requisitos da organização, como uma política de uso aceitável (AUP), código de conduta ou política de conflito de interesses.

Após ingressar na empresa, você primeiro assina um contrato de trabalho. Dependendo do cargo, pode ser necessário assinar um acordo de confidencialidade (NDA) e um acordo de não concorrência (NCA). Os direitos de acesso ao sistema são atribuídos de acordo com o cargo do funcionário. . Em seguida, forneça treinamento aos funcionários, incluindo cultura organizacional, estratégias, processos, habilidades, etc.

Os gerentes devem revisar ou avaliar periodicamente a descrição do cargo, as tarefas, as autoridades e as responsabilidades de cada funcionário em todo o cargo de um funcionário para garantir que ainda atendam aos requisitos do cargo.

• Aumento de privilégios (desvio de privilégio): À medida que o conteúdo de trabalho dos funcionários aumenta, eles podem obter permissões que excedem os requisitos do cargo.

•Férias obrigatórias: Exigir que os funcionários fiquem afastados de seus empregos por 1 a 2 semanas e sejam substituídos por outros funcionários para detectar abuso, fraude ou negligência.

•Conluio: Reduza a probabilidade de os funcionários estarem dispostos a cooperar num esquema ilegal ou abusivo através de medidas como segregação de funções, licença forçada, rotação de funções e formação cruzada devido ao maior risco de detecção.

•User and Entity Behavior Analytics (UEBA): Análise de usuários e entidades para ajudar a otimizar os planos de gestão de pessoas.

Quando os funcionários pedem demissão, devem ficar atentos aos seguintes pontos:

Contratos e controles de fornecedores, consultores e empreiteiros O risco multipartidário existe quando múltiplas entidades ou organizações estão envolvidas num projeto. O acordo de nível de serviço (SLA) garante que o produto ou nível de serviço do fornecedor atenda às expectativas. Caso não atenda às expectativas, será envolvida uma compensação para garantir a qualidade do serviço. Fornecedores, consultores e empreiteiros são por vezes referidos como terceirização. As organizações também podem melhorar a eficiência do gerenciamento de terceirização por meio de um sistema de gerenciamento de fornecedores (VMS).

O gerenciamento da segurança de pessoal precisa atender aos requisitos legais e regulamentares, como o PCI DSS.

A gestão da segurança pessoal também precisa atender aos requisitos das políticas de privacidade, como o GDPR.

Lembre os funcionários da sua obrigação de proteger as informações e de se protegerem contra ameaças, e devem estar cientes de que as suas ações podem ser examinadas.

Remova os direitos de acesso que não são mais necessários durante a reatribuição e siga o princípio do menor privilégio.

A demissão é dividida em voluntária e involuntária. Quando um funcionário sai em boas condições, basta passar pelos procedimentos de desligamento da organização.

Se a separação for involuntária, devem ser tomadas medidas apropriadas para proteger os ativos da organização

• Entrevista de saída, lembrete do NDA assinado e outros acordos relevantes

•Fechar o acesso ao sistema enquanto notifica os funcionários sobre demissão e realiza verificações da lista de verificação de separação

•Informar os funcionários restantes que o funcionário demitido não terá mais permissão para entrar na organização

A lista de verificação de separação inclui: revogação de direitos de acesso, recuperação de chaves, crachás, equipamentos e documentos.

-Implementar controle de acesso

Revisão oral da troca de documentos

Gerenciar e monitorar ganchos de manutenção (backdoors)

Realizar avaliação no local

Revise processos e políticas

Desenvolver acordo de nível de serviço

•Treinamento de funcionários: Forneça treinamento inicial e recorrente aos funcionários e outro pessoal relevante para garantir o cumprimento da política.

•Conscientização sobre Segurança: Melhorar a atenção e a compreensão da segurança da informação.

•Treinamento relacionado ao trabalho: forneça treinamento específico com base nas exigências do trabalho dos funcionários.

•Deixe claras as consequências da política: indique na política as possíveis consequências do não cumprimento, como ação disciplinar, suspensão ou demissão.

•Conformidade com leis e regulamentos: Garante que as políticas organizacionais cumpram as leis, regulamentos e outras obrigações legais aplicáveis.

•Consistência de Políticas: Os requisitos, controles e procedimentos da organização devem ser consistentes com a política.

•Princípio de minimização: Colete apenas as informações necessárias para concluir o processo de emprego legítimo.

•Acesso Restrito: Forneça acesso apenas àqueles que necessitam conhecer tais informações.

•Use criptografia: Use a tecnologia de criptografia tanto quanto possível para evitar que as informações sejam lidas através de canais anormais.

•Riscos inerentes são aqueles que existem antes de quaisquer medidas de controle serem implementadas

•Risco residual é o nível de risco que permanece após a implementação dos controles

Uma pessoa ou entidade que pode violar intencionalmente ou não a segurança de um ativo, como um hacker, um funcionário insatisfeito ou um desastre natural.

Fraquezas ou vulnerabilidades no sistema podem criar riscos se exploradas por agentes de ameaças.

Um ativo é qualquer coisa de valor, que pode incluir pessoas, propriedades e informações.

Risco é a interseção entre ameaças, vulnerabilidades e ativos. A avaliação de riscos é uma série de atividades que inclui a identificação de ameaças e vulnerabilidades potenciais e a determinação do impacto e da probabilidade dessas ameaças explorarem as vulnerabilidades identificadas.

1. Identificação de Riscos: Identificação de ativos e seu valor para a organização

2. Análise de risco: determine a probabilidade de uma ameaça explorar uma vulnerabilidade

3. Avaliação de riscos: determine o impacto comercial dessas ameaças potenciais

4. Tratamento do risco: Fornecer um equilíbrio económico entre o impacto da ameaça e o custo das contramedidas

Começa identificando os ativos da organização e determinando o valor desses ativos, depois identificando e descrevendo as vulnerabilidades e ameaças que representam riscos para os ativos.

A análise de riscos começa com a avaliação de vulnerabilidades e análises de ameaças, calculando a probabilidade de ocorrência dos riscos e classificando-os de acordo com o seu impacto.

1.10.2.4.1 Análise qualitativa de risco

1.10.2.4.2 Análise quantitativa de risco

Elimine os riscos identificados interrompendo ou removendo as atividades ou tecnologias que contribuem para os riscos.

Reduzir os danos que os riscos podem causar através da implementação de medidas políticas e técnicas.

Também chamada de atribuição de riscos (Risk Assignmen0), a responsabilidade e as perdas potenciais relacionadas aos riscos são transferidas a um terceiro.

Maneira comum: comprar seguro.

Aceitar um risco torna-se uma opção quando o custo de evitar, mitigar ou transferir o risco excede as perdas esperadas da ameaça concretizada.

•Relacionado ao pessoal:

•Relacionado à gestão

•Tecnologia relacionada:

•Relacionado à física:

Examinar as percepções sob as perspectivas de prevenção, detecção e correção para garantir a eficácia das contramedidas de risco. Por exemplo, se a criptografia não puder resolver um risco específico, tente outra abordagem, como considerar o backup.

Certifique-se de que o custo das medidas de segurança seja proporcional ao valor dos ativos protegidos.

Considere se a implementação e utilização de contramedidas são demasiado difíceis para evitar riscos crescentes devido à utilização incorrecta.

•Prevenção: Previne a ocorrência de incidentes, como firewalls, backups de sistema, IPS.

•Detecção: Identifique atividades de eventos e possíveis intrusos, como 1DS.

•Correção: Reparar um componente ou sistema após a ocorrência de um incidente, como aplicação de patch.

•Ameaças: Dissuadir potenciais atacantes, como cercas, cães policiais.

•Recuperação: Retornar o ambiente ao status operacional normal, como backups de sistema e dados, locais de recuperação de desastres.

•Compensação: Fornecer medidas alternativas de controle.

•Inspeção: O avaliador geralmente exige que a organização forneça uma lista de políticas de segurança, arquivos de configuração, etc. para revisão, revisão, observação, pesquisa ou análise, e que forme uma opinião preliminar.

•Entrevistas: Os avaliadores se reúnem com as principais partes interessadas para saber mais sobre os controles de segurança em vigor e como eles operam.

. Teste: O teste confirma que os controles de segurança são implementados conforme documentado, são eficazes e operam conforme esperado.

Auditoria interna (por exemplo, autoavaliação)

•Auditorias externas (por exemplo, reguladores ou outras auditorias de terceiros)

•Mudanças significativas no perfil de risco da organização

•Grandes mudanças nos controles de segurança ou privacidade

•Violações de segurança relacionadas ou confirmadas (ou outros incidentes)

Geralmente contém cinco níveis:

Os seis estágios da Estrutura de Gerenciamento de Risco (RMF) no NIST800-37Rev.2:

Quanto mais cedo a modelagem de ameaças for realizada, mais econômica ela será. Geralmente a partir dos três aspectos a seguir

1.

2.

3.

4. DREAD (classificação de risco quantitativa obsoleta de vulnerabilidades de danos, replicabilidade, explorabilidade, usuários afetados, capacidade de descoberta)

5. Outros métodos de modelagem de ameaças

• Falsificação de identidade

• Adulteração de dados (Adulteração de dados)

•Repúdio

•Divulgação de informação

•Negação de serviço

•Elevação de privilégio

PASTA é uma abordagem baseada em risco para modelagem de ameaças que combina objetivos de negócios com requisitos técnicos, tornando o resultado mais compreensível para a alta administração. Ao contrário do STRIDE, a abordagem PASTA é estritamente uma estrutura de identificação de ameaças que fornece um processo poderoso para identificar e mitigar ameaças.

O processo PASTA consiste nas seguintes sete etapas:

Imagem de peças defeituosas ou que não atendem aos padrões

Peças falsificadas ou falsificadas

Imagem de um componente eletrônico contendo malware em nível de firmware

Cavalo de Tróia foi implantado

Existem vulnerabilidades na biblioteca de componentes usada

vazamento de dados

1.NISTIR 7622

2. ISO 28000

3. Orientação do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC)

A engenharia social é uma tática de manipulação na qual um invasor finge ser outra pessoa na tentativa de obter informações confidenciais.

O phishing é a forma mais comum de engenharia social e uma importante fonte de riscos de segurança.

Os defensores da segurança são defensores das melhores práticas de segurança e são funcionários que não fazem da segurança o seu trabalho principal.

Gamificação é a aplicação de elementos de jogos a situações não relacionadas a jogos para envolver e educar um público-alvo.

Como taxa de conclusão do treinamento, número de participantes e outros indicadores breves.

Os questionários são uma forma eficaz de avaliar a eficácia do treinamento.

Os Dias de Conscientização sobre Segurança são projetados para aumentar a conscientização sobre segurança e, ao mesmo tempo, coletar opiniões e sugestões de funcionários sobre programas de segurança por meio de questionários anônimos.

Os métodos de avaliação incluem a coleta de aumentos ou diminuições no número de incidentes de segurança ou suspeitas de incidentes de phishing relatados após o treinamento.