Segurança da Informação

Question 1

O que é norma ISO 27002?

Answer 1

Fornece diretrizes para os padrões de segurança da informação organizacional e práticas de gerenciamento de segurança da informação, incluindo a seleção, implementação e gerenciamento de controles, levando em consideração o(s) ambiente(s) de risco de segurança da informação da organização.

Question 2

Como está dividida da norma ISO 27002?

Answer 2

• 14 seções de controles de segurança da informação;
• 35 objetivos de controles e;
• 114 controles.

Cada seção definindo os controles de SI contém um ou mais objetivos de controle. Cada seção principal contém um objetivo de controle declarando o que se espera ser alcançado; e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle. Cada controle possui um conjunto de diretrizes de implementação, as quais apresentam informações mais detalhadas para apoiar a implementação do controle e alcançar o objetivo do controle.

Question 3

Quais os objetivos e controles da seção: aquisição, desenvolvimento e manutenção de sistemas?

Answer 3

• Requisitos de segurança de sistemas de informação
  
  • Análise e especificação dos requisitos de segurança da informação;
  • Serviços de aplicação seguros em redes públicas;
  • Protegendo as transações nos aplicativos de serviços.
• Segurança em processos de desenvolvimento e de suporte
  
  • Política de desenvolvimento seguro;
  • Procedimentos para controle de mudanças de sistemas;
  • Análise crítica técnica das aplicações após mudanças nas plataformas operacionais;
  • Restrições sobre mudanças em pacotes de Software;
  • Princípios para projetar sistemas seguros;
  • Ambiente seguro para desenvolvimento;
  • Desenvolvimento terceirizado;
  • Teste de segurança do sistema;
  • Teste de aceitação de sistemas
• Dados para teste
  
  • Proteção dos dados para teste

Question 4

Quais os objetivos e controles da seção: Controle de acesso?

Answer 4

• Controle de acesso
  
  • Requisitos do negócio para controle de acesso
    
    • Política de controle de acesso
    • Acesso às redes e aos serviços de rede
  • Gerenciamento de acesso do usuário
    
    • Registro e cancelamento de usuário
    • Provisionamento para acesso de usuário
    • Gerenciamento de direitos de acesso privilegiados
    • Gerenciamento da informação de autenticação secreta de usuários
    • Análise crítica dos direitos de acesso de usuário
    • Retirada ou ajuste de direitos de acesso
  • Responsabilidades dos usuários
    
    • Uso da informação de autenticação secreta
  • Controle de acesso ao sistema e à aplicação
    
    • Restrição de acesso à informação
    • Procedimentos seguros de entrada no sistema (log-on)
    • Sistema de gerenciamento de senha
    • Uso de programas utilitários privilegiados
    • Controle de acesso ao código-fonte de programas

Question 5

Quais os objetivos e controles da seção: Criptografia?

Answer 5

• Criptografia
  
  • Controles criptográficos
  • Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação.
    
    • Política para o uso de controles criptográficos
    • Convém que seja desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação.
      
      • a abordagem gerencial quanto ao uso de controles criptográficos em toda a organização;
      • a identificação do nível requerido de proteção com base em uma avaliação de risco;
      • o uso de criptografia para a proteção de informações sensíveis;
      • a abordagem do gerenciamento de chaves;
      • papéis e responsabilidades;
      • os padrões a serem adotados para a efetiva implementação ao longo de toda a organização;
      • o impacto do uso de informações cifradas em controles que dependem da inspeção de conteúdo.
      • Convém que sejam consideradas na implementação da política criptográfica da organização, as leis ou regulamentações e restrições nacionais aplicáveis ao uso de técnicas criptográficas, nas diferentes partes do mundo, e das questões relativas ao fluxo transfronteiras de informações cifradas.
    • Gerenciamento de chaves
    • Convém que uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.
      
      • A política inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves
      • A política inclua requisitos para o gerenciamento de chaves criptográficas ao longo de todo o seu ciclo de vida incluindo, a geração, armazenagem, arquivo, recuperação, distribuição, retirada e destruição das chaves
      • O conteúdo dos termos dos acordos de nível de serviço ou contratos
        com fornecedores externos de serviços criptográficos.

Question 6

O que é NIST?

Answer 6

NIST CYBERSECURITY FRAMEWORK (CSF) 2.0

Fornece orientações para gerenciar riscos de cibersegurança. Orienta como se deve gerenciar riscos de cyber segurança.

Question 7

Quais os componentes do CSF?

Answer 7

• CSF Core
  
  • Uma taxonomia de resultados de cibersegurança de alto nível.
• CSF Profiles
  
  • Mecanismos para descrever a postura de cibersegurança atual e desejada.
• CSF Tiers:
  
  • Caracterizam o rigor das práticas de governança e gestão de risco de cibersegurança.

Question 8

Quais as funções do CSF?

Answer 8

• Governar (GV)/ Govern.
• Identificar (ID)/Identify.
• Proteger (PR)/Protect.
• Detectar (DE)/Detect.
• Responder (RS)/Respond.
• Recuperar (RC)/Recover.

Essas funções se subdividem em categorias e subcategorias.

Question 9

Quais os principais conceitos da NIST SP 800-61?

Answer 9

A NIST SP 800-61 é o Guia para Gerenciamento de Incidentes de Segurança de Computadores, publicado pelo National Institute of Standards and Technology (NIST). Seu objetivo é:

• Preparação
  
  • Estabelecimento de uma equipe de resposta a incidentes (CSIRT).
  • Definição de políticas, processos e ferramentas para lidar com incidentes.
  • Treinamento e simulações para resposta eficiente.
• Detecção e Análise
  
  • Monitoramento contínuo para identificar atividades suspeitas.
  • Uso de logs, sistemas de detecção de intrusão (IDS), antivírus e outras ferramentas.
  • Classificação e priorização dos incidentes conforme impacto e gravidade.
• Contenção, Erradicação e Recuperação
  
  • Conter o incidente para minimizar danos.
  • Erradicar a causa raiz (exemplo: remoção de malware).
  • Recuperar sistemas afetados e restaurar operações normais.
• Pós-Incidente
  
  • Análise do ocorrido para evitar reincidências.
  • Melhorias nos processos e políticas de segurança.
  • Relatórios para aprendizado organizacional.

Question 10

O que é a ISO 31000?

Answer 10

É uma norma internacional que fornece diretrizes para a gestão de riscos em organizações de qualquer setor e porte. Seu objetivo é ajudar a identificar, avaliar, tratar e monitorar riscos para melhorar a tomada de decisões e a resiliência organizacional.

Question 11

O que é a ISO 22301?

Answer 11

Especifica a estrutura e os requisitos para a implementação e manutenção de um sistema de gestão de continuidade de negócios (SGCN), que desenvolve a continuidade de negócios apropriada para a quantidade e tipo de impacto que a organização pode ou não aceitar após uma disrupção.

Question 12

Em quais níveis a ISO 22301 deve ser abordada?

Answer 12

A gestão de riscos deve ser abordada tanto em nível estratégico, para definir políticas e objetivos, quanto em nível operacional, para implementar e monitorar controles.

Question 13

Como são classificados os controles de segurança da informação segundo a norma ISO 27002?

Answer 13

A norma classifica os controles de segurança da informação em preventivos, detectivos e corretivos.
Os controles preventivos evitam a ocorrência de incidentes, os detectivos identificam incidentes que ocorrem, e os corretivos minimizam o impacto dos incidentes.

Question 14

Quais os tratamentos de risco da ISO 27002?

Answer 14

• Evitar o risco
  
  • Eliminar a atividade ou modificar o processo para remover a ameaça.
  • Exemplo: Se um sistema é vulnerável a ataques, pode-se decidir descontinuá-lo ou restringir seu uso.
• Reduzir o risco
  
  • Implementar controles para minimizar a probabilidade ou impacto do risco.
  • Exemplo: Usar criptografia para proteger dados sensíveis ou autenticação multifator para evitar acessos não autorizados.
• Transferir/compartilhar o risco
  
  • Passar a responsabilidade para terceiros, como seguradoras ou fornecedores especializados.
  • Exemplo: Contratar um seguro contra ataques cibernéticos ou terceirizar a segurança da infraestrutura para uma empresa especializada.
• Aceitar o risco
  
  • Decidir não implementar nenhum controle adicional porque o risco é baixo ou porque o custo da mitigação é maior do que o impacto esperado.
  • Exemplo: Manter um sistema leg legado sem atualizações, desde que ele não afete informações críticas.

Question 15

O que é a lei Sarbannes-Oxley (SOX)?

Answer 15

A Lei Sarbanes-Oxley (SOX), aprovada nos EUA em 2002, tem como objetivo garantir a transparência e a confiabilidade das informações financeiras de empresas de capital aberto.
### Principais Pontos da Lei SOX

1. Responsabilidade Executiva – CEOs e CFOs devem certificar a veracidade das demonstrações financeiras.
2. Auditorias Independentes – Empresas devem ser auditadas por auditores externos imparciais.
3. Controles Internos (Seção 404) – Empresas devem implementar sistemas de controle interno confiáveis para evitar fraudes.
4. Transparência e Governança Corporativa – Relatórios financeiros devem ser claros e auditáveis.
5. Penalidades Severas – Fraudes podem levar a multas e prisão para executivos responsáveis.

A SOX impacta empresas globalmente, pois muitas multinacionais precisam segui-la para operar no mercado financeiro dos EUA. Seu principal objetivo é proteger investidores e garantir a integridade do mercado.