Vídeos Sobre Boas Práticas em Segurança da Informação: O Guro de Risco

É com grande prazer que divulgo os vídeos de um de um amigo pessoal, Eduardo Poggi, ele é especialista em Gestão de Riscos e estou compartilhando alguns de seus conteúdos em Vídeo de seu Canal do You Tube @GuroDeRisco (https://www.youtube.com/@GuruDeRisco) , em caráter informativo, para que tenham acesso de forma simples e direta às questões relacionadas as boas praticas de Segurança da Informação, a exemplo da família Zero Trust, ISO 27001/02, CIS Controls e NIST e da importância em serem utilizadas em suas empresas.

Esperamos contribuir com o seu conhecimento sobre o tema e agradecemos ao amigo Eduardo Poggi por compartilhar seu conhecimento conosco!

Fica o convite para conhecerem o Curso “Aplicando a Gestão de riscos na sua empresa (ISO 31000)” pela plataforma Udemy ministrado por ele. Para acessar o curso clique aqui.

 

#Vídeo: Zero Trust Architecture

O que é o ZTA: A Arquitetura de Confiança Zero, ou Zero Trust Architecture (ZTA) em inglês, é um modelo de segurança cibernética que se baseia na premissa fundamental de que as organizações não devem confiar automaticamente em qualquer usuário ou dispositivo, mesmo aqueles que estão dentro de sua rede interna. Em vez disso, o ZTA assume uma postura mais rigorosa em relação à segurança, exigindo que todas as transações e atividades sejam autenticadas, autorizadas e continuamente monitoradas, independentemente da localização do usuário ou do dispositivo.

Os princípios-chave da Arquitetura de Confiança Zero incluem:

  1. Nenhum Perímetro de Confiança: Ao contrário do modelo de segurança tradicional que se baseia em um “perímetro” de confiança em torno da rede interna de uma organização, o ZTA assume que não há zona segura. Todos os recursos e dispositivos devem ser tratados como potencialmente não confiáveis.
  2. Verificação Contínua: O ZTA envolve a verificação constante da identidade e do estado de segurança de usuários, dispositivos e sistemas em tempo real. Isso significa que a confiança não é estabelecida apenas no momento da autenticação, mas é mantida e reavaliada ao longo de toda a sessão.
  3. Acesso Mínimo e Privilégios Baseados em Função: Os usuários e dispositivos devem ter acesso apenas às informações e recursos necessários para realizar suas funções específicas, com base no princípio do acesso mínimo necessário. Isso limita a superfície de ataque e reduz o risco de exposição indevida.
  4. Segmentação da Rede: Em vez de confiar em um único perímetro de segurança, o ZTA envolve a segmentação da rede em zonas menores, com base na necessidade de acesso. Isso ajuda a conter potenciais ameaças e limitar o movimento lateral de atacantes na rede.
  5. Microsegmentação: A microsegmentação é uma prática que envolve a segmentação granular da rede, limitando a comunicação entre dispositivos e sistemas a níveis muito específicos. Isso aumenta a segurança, isolando os recursos críticos da infraestrutura.
  6. Análise Comportamental: O ZTA frequentemente utiliza análise comportamental e aprendizado de máquina para identificar anomalias e padrões de atividade suspeitos. Isso ajuda a detectar ameaças em tempo real.

A Arquitetura de Confiança Zero é uma abordagem que responde às crescentes ameaças cibernéticas e à evolução das práticas de trabalho, como o trabalho remoto e a computação em nuvem, onde os tradicionais modelos de segurança baseados em perímetro já não são suficientes. Ela visa criar um ambiente de segurança robusto e dinâmico que protege os ativos de uma organização em todas as circunstâncias.

 

#Vídeo: ISO 27001 e 27002:2022

 

O que é a ISO 27001: A ISO 27001 é uma norma internacional que estabelece requisitos e diretrizes para um sistema de gestão de segurança da informação (SGSI). Ela é projetada para ajudar organizações a protegerem seus ativos de informação, como dados, sistemas e processos, garantindo a confidencialidade, integridade e disponibilidade desses ativos.

A norma ISO 27001 define um conjunto de controles de segurança da informação que uma organização deve implementar com base em uma avaliação de riscos. Ela aborda uma ampla gama de tópicos relacionados à segurança da informação, incluindo:

  1. Política de segurança da informação: Define os objetivos e diretrizes gerais para a segurança da informação na organização.
  2. Avaliação de riscos: Ajuda a identificar e avaliar os riscos de segurança da informação que a organização enfrenta.
  3. Controles de segurança: Lista controles de segurança que podem ser implementados para mitigar os riscos identificados.
  4. Monitoramento e melhoria contínua: Estabelece a necessidade de monitorar continuamente o desempenho do SGSI e realizar melhorias conforme necessário.
  5. Conformidade legal e regulatória: Aborda a conformidade com leis e regulamentos relacionados à segurança da informação.
  6. Gestão de incidentes de segurança: Define processos para lidar com incidentes de segurança da informação quando ocorrem.

A ISO 27001 é uma norma flexível que pode ser aplicada a organizações de todos os tamanhos e setores, pois permite que cada organização adapte os controles de segurança da informação de acordo com suas necessidades específicas. A certificação ISO 27001 é uma maneira de uma organização demonstrar que implementou efetivamente um SGSI e está comprometida com a segurança da informação. Isso pode ser importante para ganhar a confiança de clientes, parceiros e partes interessadas em relação à proteção de informações sensíveis.

#Vídeo: CIS controls V8

O que é o CIS controls v8: Até a minha última atualização em setembro de 2021, o CIS (Center for Internet Security) Controls é um conjunto de melhores práticas em segurança da informação que oferece um conjunto de ações prioritárias e específicas que as organizações podem tomar para melhorar sua postura de segurança cibernética. O CIS Controls são projetados para ajudar as organizações a protegerem seus sistemas e dados contra ameaças cibernéticas.

O CIS Controls v8 provavelmente seria a oitava iteração dessas diretrizes de segurança. Esses controles são divididos em três categorias principais:

  1. Higiene Básica de Segurança (Basic Cyber Hygiene): Essas são ações que todas as organizações devem implementar para estabelecer uma base sólida de segurança. Isso inclui coisas como inventariar ativos, gerenciar vulnerabilidades, garantir o uso adequado de autenticação e acesso, entre outras práticas essenciais.
  2. Controles de Segurança (Foundational Security Controls): Esses controles são medidas específicas de segurança que devem ser implementadas para fornecer uma proteção mais robusta. Eles abordam áreas como monitoramento de sistemas e redes, segurança de dados, controle de dispositivos e outros aspectos críticos de segurança cibernética.
  3. Controles de Segurança Avançados (Organizational Advanced Security Controls): Estas são medidas adicionais que organizações mais maduras em segurança podem implementar para fortalecer ainda mais sua postura de segurança cibernética.

A versão 8 do CIS Controls, se lançada após minha última atualização em setembro de 2021, provavelmente teria refinamentos e atualizações com base nas últimas tendências e ameaças de segurança cibernética. Para obter informações atualizadas sobre o CIS Controls v8, recomendo verificar o site oficial do Center for Internet Security ou outros recursos confiáveis de segurança cibernética.

#Vídeo: NIST

O que é o NIST: O NIST, ou Instituto Nacional de Padrões e Tecnologia (em inglês, National Institute of Standards and Technology), é uma agência do governo dos Estados Unidos que atua sob o Departamento de Comércio. O NIST é responsável por desenvolver e promover padrões e diretrizes em uma ampla gama de áreas, incluindo ciência, tecnologia e segurança da informação. Fundado em 1901, o NIST desempenha um papel fundamental na promoção da inovação e na melhoria da qualidade e segurança dos produtos e serviços nos Estados Unidos.

Algumas das principais áreas de atuação do NIST incluem:

  1. Metrologia: O NIST é responsável por estabelecer e manter os padrões de medição para os Estados Unidos. Isso inclui a definição de unidades de medida fundamentais e o desenvolvimento de padrões de medição para diversas aplicações, desde a física até a medicina.
  2. Tecnologia da Informação: O NIST é conhecido por suas diretrizes de segurança da informação, como o Framework de Segurança Cibernética do NIST e o Guia de Controles de Segurança da Informação do NIST. Esses documentos são amplamente usados por organizações em todo o mundo para melhorar sua postura de segurança cibernética.
  3. Pesquisa e Desenvolvimento: O NIST conduz pesquisas em várias áreas científicas e tecnológicas, fornecendo dados e recursos para ajudar a impulsionar a inovação nos setores público e privado.
  4. Padrões e Certificação: O NIST desenvolve padrões e diretrizes técnicas em várias áreas, como criptografia, interoperabilidade de sistemas, calibração de instrumentos e muito mais. Além disso, a agência desempenha um papel importante na certificação de produtos para atender a esses padrões.
  5. Segurança de Informações e Privacidade: O NIST desempenha um papel fundamental na criação de padrões e diretrizes de segurança de informações e privacidade, que são amplamente adotados por organizações em todo o mundo.

Em resumo, o NIST é uma organização governamental dos Estados Unidos que desempenha um papel crucial na promoção da inovação, na padronização e na melhoria da qualidade e segurança em várias áreas, incluindo tecnologia da informação e segurança cibernética. Suas diretrizes e padrões são amplamente reconhecidos e adotados internacionalmente.

A Importância dos Padrões de Mercado em Segurança da Informação

Em um mundo cada vez mais digital e interconectado, a segurança da informação tornou-se uma preocupação central para organizações de todos os tamanhos e setores. A crescente sofisticação das ameaças cibernéticas e a expansão do cenário de ameaças exigem que as empresas adotem abordagens rigorosas para proteger seus ativos digitais e a confidencialidade, integridade e disponibilidade de seus dados. Nesse contexto, a adoção de padrões de mercado em boas práticas de segurança da informação torna-se fundamental.

O que são Padrões de Mercado em Segurança da Informação?

Padrões de mercado em segurança da informação são conjuntos de diretrizes, melhores práticas e controles que são amplamente reconhecidos e adotados globalmente. Organizações, tanto públicas quanto privadas, utilizam esses padrões como referências para estabelecer políticas e procedimentos de segurança cibernética robustos. Alguns dos padrões de mercado mais conhecidos incluem a ISO 27001, o NIST Cybersecurity Framework, o CIS Controls e o GDPR (Regulamento Geral de Proteção de Dados da UE).

Benefícios de Utilizar Padrões de Mercado em Segurança da Informação:

  1. Maior Efetividade na Proteção: Os padrões de mercado são desenvolvidos com base em ampla pesquisa e experiência prática. Eles abrangem uma gama abrangente de ameaças e vulnerabilidades, o que os torna uma base sólida para a construção de sistemas de segurança robustos.
  2. Melhor Compliance: Muitos padrões de mercado são vinculados a requisitos regulatórios e legais. Adotar esses padrões ajuda as organizações a garantir conformidade com as leis de proteção de dados e outras regulamentações relevantes, evitando multas e sanções.
  3. Redução de Riscos: A adoção de padrões de mercado ajuda a identificar e mitigar riscos de segurança cibernética de forma proativa. Isso pode reduzir a probabilidade de violações de dados, interrupções de negócios e danos à reputação.
  4. Economia de Tempo e Recursos: Os padrões de mercado oferecem orientações detalhadas sobre como implementar controles de segurança. Isso economiza tempo e recursos, evitando a necessidade de desenvolver políticas e procedimentos a partir do zero.
  5. Intercâmbio de Conhecimento: A adoção de padrões de mercado facilita a comunicação e colaboração com outras organizações, fornecedores e parceiros, pois todos falam a mesma linguagem de segurança.
  6. Aprimoramento Contínuo: Os padrões de mercado são revisados e atualizados regularmente para refletir as ameaças e tecnologias emergentes. Isso incentiva a cultura de aprimoramento contínuo da segurança da informação.

Conclusão:

Em um ambiente de ameaças cibernéticas em constante evolução, a adoção de padrões de mercado em boas práticas de segurança da informação é uma escolha estratégica e prudente para qualquer organização. Eles fornecem diretrizes claras, eficazes e reconhecidas globalmente para proteger ativos críticos e manter a confiança de clientes, parceiros e partes interessadas. Além disso, ajudam as organizações a estar em conformidade com regulamentações e aprimorar continuamente sua postura de segurança cibernética. Em resumo, os padrões de mercado são um investimento sólido na segurança da informação e na resiliência das organizações modernas.