Trabalhos de segurança da informação: governança e gestão de risco

Video: Principais Conceitos sobre Gestão Gerenciamento de Riscos e Perigos

A gestão tem de estar no controle de seus sistemas de segurança da informação, processos e pessoal. Governança é a abordagem que facilita esse controle. A gestão de riscos é a atividade que revela riscos na organização que devem ser tratadas.

Alinhamento com a organização

Para gerenciamento de segurança para ser eficaz e relevante, o programa de segurança de uma organização e sua missão, objetivos e metas devem ser alinhados. A principal razão para isso é que segurança deve ser um facilitador de negócios, facilitar os esforços da organização para cumprir a sua missão e alcançar seus objetivos e metas.

Gerenciamento de riscos

Gerenciamento de riscos é o conjunto de atividades do ciclo de vida que identificam riscos e tomar medidas adequadas com cada um. Essas atividades seguem:

  • Avaliação de risco: UMA avaliação de risco é um olhar de perto a sistemas específicos, processos, fornecedores ou talvez toda a organização. Todos os riscos plausíveis são identificados, e as seguintes características-chave para cada risco estimado:

  • Probabilidade: a probabilidade de que uma determinada ameaça será realizado

  • Impacto: o grau de influência na organização quando a ameaça é realizado

  • esforço de recuperação: o esforço necessário para a organização para se recuperar de realização ameaça

  • valor patrimonial: O valor do ativo, se a natureza da realização ameaça requer a sua substituição

  • Atenuantes controles: Mudanças que podem ser feitas para reduzir a probabilidade, impacto ou esforço de recuperação

  • tratamento de riscos: Quando uma avaliação de risco tenha sido concluída, a gestão tem uma tarefa importante pela frente: para tomar decisões formais sobre o que fazer sobre cada risco identificado. Suas escolhas são

  • Aceitação: Gestão decide que o nível de risco é aceitável, e que nada precisa ser feito para reduzir a probabilidade ou o impacto do risco identificado.

  • Mitigação: Gestão decida implementar algo que vai reduzir a probabilidade, impacto ou esforço de recuperação associado com um risco.

  • evitar: Gestão escolhe interromper a atividade associada com o risco.

  • Transferir: Gestão decide transferir o risco para outra parte, geralmente através da compra de uma apólice de seguro adequado, como seguro de risco cibernético.

    • governança da segurança

    No contexto da segurança da informação, governança significa aprovar as políticas, normas, orientações, procedimentos e controles para assegurar que os resultados desejados sejam atendidas.

    • políticas: declarações formais que descrevem o que ações e comportamentos são necessários, e que são proibidos, em uma organização. A seguir estão algumas declarações políticas exemplo:

    • Os funcionários não devem compartilhar credenciais de login com quaisquer outras pessoas dentro ou fora da organização.

    • Os funcionários não devem usar dispositivos de propriedade pessoal para o armazenamento, processamento, ou gestão de informações da empresa, sem a aprovação da gerência.

    Video: Análise e Gestão de Riscos em Segurança da Informação

  • Padrões: declarações formais que descrevem como política de segurança será realizada.

  • diretrizes: Declarações que fornecem idéias sobre como as políticas e padrões podem ser implementados.



  • Os processos e procedimentos: Passo-a-passo descrições de atividades de trabalho realizadas por várias pessoas na organização.

  • controles: instâncias específicas de políticas, normas e etapas-chave em processos e procedimentos que a administração determinou são essenciais para o bom funcionamento e segurança dos processos de negócio e sistemas de informação.

    • auditoria interna e externa

    Organizações em muitas indústrias estão sujeitas a auditorias externas, bem como necessário para realizar auditorias internas. O propósito de uma auditar é avaliar a eficácia das políticas, padrões e controles de uma organização.

    Uma auditoria pode ou não incluir um exame de sistemas de informação, incluindo suas configurações, programas e permissões de acesso.

    A classificação de dados

    A classificação de dados é um conjunto de normas, procedimentos e controles para garantir o tratamento adequado de informações confidenciais. A classificação de dados é geralmente implementado pela definição de níveis de sensibilidade, juntamente com explicações detalhadas sobre o manuseamento permitida e necessária de dados em cada nível.

    A intenção da classificação de dados é a proteção de informações a um nível correspondente à sua sensibilidade. Seria um desperdício de recursos para proteger toda a informação interna como se fosse top secret. Por outro lado, proteger todas as informações confidenciais não proteger adequadamente as informações mais sensíveis.

    segurança pessoal

    segurança pessoal representa o conjunto de actividades ligadas à segurança que acontecem durante todo o ciclo de vida dos funcionários. Essas atividades incluem

    • Triagem: A verificação de antecedentes para assegurar que a história do emprego, educação e licenças profissionais do candidato são verificados, e que o candidato é livre de condenações penais não desejados.

      Video: Compliance, Gestão de Riscos e Governança

    • Onboarding: Os documentos sinais de funcionários, incluindo confidencialidade, propriedade intelectual, noncompete, e reconhecimento da política de segurança, documentos. Outras actividades essenciais incluem treinamento de conscientização de segurança e instruções sobre outras políticas.

    • Avaliação periódica: re-afirmação anual do cumprimento de outras políticas fundamentais da política de segurança e.

    • Transferência e promoção: Conclusão das atividades onboarding necessários para novas posições.

    • Terminação: Retorno de todos os ativos de hardware e de informação, a reafirmação de confidencialidade, propriedade intelectual e outros acordos.

    treinamento de conscientização de segurança

    Treinamento de pessoal em políticas de segurança, procedimentos e computação segura é uma parte essencial de defesa global de cada organização contra incidentes de segurança nocivos. Conhecido como treinamento de conscientização de segurança, funcionários são educados sobre políticas e práticas de segurança da organização.

    Muitas leis e regulamentos exigem treinamento de conscientização de segurança, para que as organizações geralmente precisam manter registros precisos de quem recebeu este treinamento.

    Muitos programas de treinamento de conscientização de segurança incluem quizzes, para garantir que os funcionários entendam o que é esperado.

    outros conceitos

    Vários conceitos relacionados à segurança fazem parte do vocabulário de todos os profissionais de segurança. Estes conceitos orientá-lo sobre as questões adequadas de segurança de gerenciamento que você vai encontrar:

    Video: Desafios da Segurança da Informação, Governança e Compliance

    • CIA Triad: confidencialidade, integridade, e disponibilidade - os três pilares da segurança. Tudo o que a profissão InfoSec faz para proteger os ativos de uma organização e informação se resume a estes.

    • Defesa em profundidade: Uma estratégia para proteger os ativos importantes cercando-os com a defesa em camadas. Um intruso teria de derrotar várias defesas para alcançar com sucesso o ativo protegido.

    • Ponto unico de falha: Sistemas ou equipes em que um componente-chave não tem backup ou caminho alternativo. O firewall é um ponto único de falha, porque todo o sistema iria falhar se o firewall falhou.

    • Falha aberta / falha fechado: O resultado de um controle se ele falhar.


    Publicações relacionadas
    Normas de segurança da informação: cobit e nist 800-53
    Normas de segurança da informação: a iso 27001
    Papéis de trabalho de topo na gestão de segurança da informação
    O que você precisa saber sobre a cloud security alliance (csa) para um trabalho em segurança da informação
    Linux: 2 partes de auditorias de segurança de computador
    Linux: auditorias de segurança de computador
    Classificar as informações e ativos de suporte para segurança patrimonial
    Cissp e segurança da informação educação, formação e sensibilização
    Desenvolver e implementar documentados de segurança políticas, normas, procedimentos e diretrizes
    Vulnerabilidades de segurança do sistema de gerenciamento de banco de dados
    Determinar e manter a propriedade de segurança patrimonial
    Estabelecer requisitos de manipulação para proteger dados
    Integrar considerações de risco de segurança na estratégia e prática de aquisição
    Frameworks de controle de segurança
    Riscos de governança computação em nuvem
    Como criar uma estratégia de segurança de computação em nuvem
    Governança da nuvem híbrida: riscos e expectativas
    Riscos de segurança específicos no ambiente de nuvem híbrida
    Como criar um plano de segurança de computação em nuvem
    Os cinco melhores proteções de segurança de dispositivos móveis