Trabalhos de segurança da informação: governança e gestão de risco
Video: Principais Conceitos sobre Gestão Gerenciamento de Riscos e Perigos
Conteúdo
- Video: principais conceitos sobre gestão gerenciamento de riscos e perigos
- Alinhamento com a organização
- Gerenciamento de riscos
- Governança da segurança
- Video: análise e gestão de riscos em segurança da informação
- Auditoria interna e externa
- A classificação de dados
- Segurança pessoal
- Video: compliance, gestão de riscos e governança
- Treinamento de conscientização de segurança
- Outros conceitos
- Video: desafios da segurança da informação, governança e compliance
A gestão tem de estar no controle de seus sistemas de segurança da informação, processos e pessoal. Governança é a abordagem que facilita esse controle. A gestão de riscos é a atividade que revela riscos na organização que devem ser tratadas.
Alinhamento com a organização
Para gerenciamento de segurança para ser eficaz e relevante, o programa de segurança de uma organização e sua missão, objetivos e metas devem ser alinhados. A principal razão para isso é que segurança deve ser um facilitador de negócios, facilitar os esforços da organização para cumprir a sua missão e alcançar seus objetivos e metas.
Gerenciamento de riscos
Gerenciamento de riscos é o conjunto de atividades do ciclo de vida que identificam riscos e tomar medidas adequadas com cada um. Essas atividades seguem:
Avaliação de risco: UMA avaliação de risco é um olhar de perto a sistemas específicos, processos, fornecedores ou talvez toda a organização. Todos os riscos plausíveis são identificados, e as seguintes características-chave para cada risco estimado:
Probabilidade: a probabilidade de que uma determinada ameaça será realizado
Impacto: o grau de influência na organização quando a ameaça é realizado
esforço de recuperação: o esforço necessário para a organização para se recuperar de realização ameaça
valor patrimonial: O valor do ativo, se a natureza da realização ameaça requer a sua substituição
Atenuantes controles: Mudanças que podem ser feitas para reduzir a probabilidade, impacto ou esforço de recuperação
tratamento de riscos: Quando uma avaliação de risco tenha sido concluída, a gestão tem uma tarefa importante pela frente: para tomar decisões formais sobre o que fazer sobre cada risco identificado. Suas escolhas são
Aceitação: Gestão decide que o nível de risco é aceitável, e que nada precisa ser feito para reduzir a probabilidade ou o impacto do risco identificado.
Mitigação: Gestão decida implementar algo que vai reduzir a probabilidade, impacto ou esforço de recuperação associado com um risco.
evitar: Gestão escolhe interromper a atividade associada com o risco.
Transferir: Gestão decide transferir o risco para outra parte, geralmente através da compra de uma apólice de seguro adequado, como seguro de risco cibernético.
governança da segurança
No contexto da segurança da informação, governança significa aprovar as políticas, normas, orientações, procedimentos e controles para assegurar que os resultados desejados sejam atendidas.
políticas: declarações formais que descrevem o que ações e comportamentos são necessários, e que são proibidos, em uma organização. A seguir estão algumas declarações políticas exemplo:
Os funcionários não devem compartilhar credenciais de login com quaisquer outras pessoas dentro ou fora da organização.
Os funcionários não devem usar dispositivos de propriedade pessoal para o armazenamento, processamento, ou gestão de informações da empresa, sem a aprovação da gerência.
Video: Análise e Gestão de Riscos em Segurança da Informação
Padrões: declarações formais que descrevem como política de segurança será realizada.
diretrizes: Declarações que fornecem idéias sobre como as políticas e padrões podem ser implementados.
Os processos e procedimentos: Passo-a-passo descrições de atividades de trabalho realizadas por várias pessoas na organização.
controles: instâncias específicas de políticas, normas e etapas-chave em processos e procedimentos que a administração determinou são essenciais para o bom funcionamento e segurança dos processos de negócio e sistemas de informação.
auditoria interna e externa
Organizações em muitas indústrias estão sujeitas a auditorias externas, bem como necessário para realizar auditorias internas. O propósito de uma auditar é avaliar a eficácia das políticas, padrões e controles de uma organização.
Uma auditoria pode ou não incluir um exame de sistemas de informação, incluindo suas configurações, programas e permissões de acesso.
A classificação de dados
A classificação de dados é um conjunto de normas, procedimentos e controles para garantir o tratamento adequado de informações confidenciais. A classificação de dados é geralmente implementado pela definição de níveis de sensibilidade, juntamente com explicações detalhadas sobre o manuseamento permitida e necessária de dados em cada nível.
A intenção da classificação de dados é a proteção de informações a um nível correspondente à sua sensibilidade. Seria um desperdício de recursos para proteger toda a informação interna como se fosse top secret. Por outro lado, proteger todas as informações confidenciais não proteger adequadamente as informações mais sensíveis.
segurança pessoal
segurança pessoal representa o conjunto de actividades ligadas à segurança que acontecem durante todo o ciclo de vida dos funcionários. Essas atividades incluem
Triagem: A verificação de antecedentes para assegurar que a história do emprego, educação e licenças profissionais do candidato são verificados, e que o candidato é livre de condenações penais não desejados.
Video: Compliance, Gestão de Riscos e Governança
Onboarding: Os documentos sinais de funcionários, incluindo confidencialidade, propriedade intelectual, noncompete, e reconhecimento da política de segurança, documentos. Outras actividades essenciais incluem treinamento de conscientização de segurança e instruções sobre outras políticas.
Avaliação periódica: re-afirmação anual do cumprimento de outras políticas fundamentais da política de segurança e.
Transferência e promoção: Conclusão das atividades onboarding necessários para novas posições.
Terminação: Retorno de todos os ativos de hardware e de informação, a reafirmação de confidencialidade, propriedade intelectual e outros acordos.
treinamento de conscientização de segurança
Treinamento de pessoal em políticas de segurança, procedimentos e computação segura é uma parte essencial de defesa global de cada organização contra incidentes de segurança nocivos. Conhecido como treinamento de conscientização de segurança, funcionários são educados sobre políticas e práticas de segurança da organização.
Muitas leis e regulamentos exigem treinamento de conscientização de segurança, para que as organizações geralmente precisam manter registros precisos de quem recebeu este treinamento.
Muitos programas de treinamento de conscientização de segurança incluem quizzes, para garantir que os funcionários entendam o que é esperado.
outros conceitos
Vários conceitos relacionados à segurança fazem parte do vocabulário de todos os profissionais de segurança. Estes conceitos orientá-lo sobre as questões adequadas de segurança de gerenciamento que você vai encontrar:
Video: Desafios da Segurança da Informação, Governança e Compliance
CIA Triad: confidencialidade, integridade, e disponibilidade - os três pilares da segurança. Tudo o que a profissão InfoSec faz para proteger os ativos de uma organização e informação se resume a estes.
Defesa em profundidade: Uma estratégia para proteger os ativos importantes cercando-os com a defesa em camadas. Um intruso teria de derrotar várias defesas para alcançar com sucesso o ativo protegido.
Ponto unico de falha: Sistemas ou equipes em que um componente-chave não tem backup ou caminho alternativo. O firewall é um ponto único de falha, porque todo o sistema iria falhar se o firewall falhou.
Falha aberta / falha fechado: O resultado de um controle se ele falhar.