Vulnerabilidade

Algo que represente falha ou fragilidade de alguém ou alguma coisa.

"1 Característica que torna vulnerável. 2 Meio pelo qual algo se torna suscetível ou fragilizado em uma determinada circunstância."

Marcos Sêmola website© 2011 | www.semola.com.br | Brasil, Rio de Janeiro | London UK, Netherlands NL | ©S4P Photography
HOME | OBJETIVO | ARTIGOS | PROJETOS | CONCEITOS | PERFIL | CONTATO
Propriedade da informação em estar a salvo de acesso e divulgação não-autorizados.

Em outras palavras, sua preservação é a garantia do resguardo das informações dadas pessoalmente em confiança e proteção contra a sua revelação não autorizada.





Propriedade da informação em se manter acurada, completa e atualizada.

Em outras palavras, sua preservação é a garantia de que a informação se manteve fiel à sua origem ou ainda, que qualquer alteração durante o processo tenha sido realizada com autoriação e controle.




Propriedade da informação em se manter disponível para os agentes autorizados, quando estes dela necessitarem.

Em outras palavras, sua preservação é a garantia de que a informação se manteve acessível aos agentes autorizados há todo tempo que precisou ser resgatada.





O ciclo de vida da informação é representado pelas macro-fases por onde passa a informação desde sua criação até o seu descarte.

MANUSEIO
ARMAZENAMENTO
TRANSPORTE
DESCARTE


Um dos principais ativos do modelo de gestão de riscos da informação dado seu envolvimento em diversas fases do ciclo de vida da informação e sua autonomia para tomar decisões que revelam seu comportamento e perfil diante de uma situação de risco.






Porção mais estável e duradoura do modelo de gestão de riscos da informação dado a natureza de seu propósito em regular, parametrizar e orientar ações, responsabilidades, procedimentos, entradas e saídas diante de uma situação de risco.






Porção mais dinâmica do modelo de gestão de riscos da informação dado a velocidade com que são desenvolvidas e introduzidas nos processos de especificação, implementação, automação e manutenção de controles de segurança.
CISM - Certified Information Security Manager
Certified Information Security Manager, é a nova certificação da ISACA especialmente desenhada para profissionais experientes em segurança da informação. A CISM é orientada para o negócio e focada em gestão de risco da informação, quando trata conceitualmente questões de segurança, sejam elas gerenciais, de desenho ou técnicas. Ela destina-se a indivíduos que precisam manter uma visão “global” ao gerenciar, desenhar, supervisionar e avaliar a segurança da informação da empresa. Conheça mais aqui.

CISSP é o acrônimo para Certified Information System Security Professional, um certificado profissional emitido e mantido pelo consórcio ISC2, fundado com o objetivo de estabelecer critérios para avaliar profissionais que trabalham com segurança da informação. De acordo com o consórcio ISC2, existem mais de 49.000 profissionais de segurança certificados em mais de 120 países. Recentemente foi designada como a certificação ANSI ISO/IEC Padrão 17024:2003. A certificação é fundada sob um conjunto de melhores práticas estabelecidas pelo consórcio que foram agregadas na forma de 10 domínios. Saiba mais aqui.
ISO/IEC 27001 é um padrão para sistema de gerência da segurança da informação, ISMS, publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001".

ISO 17799 é o código de práticas para gestão de segurança da informação que estabelece objetivos do controle e recomenda um conjunto de especificações de segurança.
O PCI-DSS é um padrão mundial de segurança da informação para estabelecimentos que utilizam cartões como forma de pagamento. Suas diretrizes, desenvolvidas em conjunto pelas operadoras de cartões de crédito e débito, incluindo as bandeiras Visa, Mastercard e American Express, devem ser seguidas por organizações afiliadas às bandeiras de cartão de crédito e débito, processadoras, gateways de pagamento e, futuramente, bancos emissores. Essas exigências visam reduzir o número de fraudes com cartões de crédito. Profissionais podem se certificar PCI QSA - Qualified Security Assessor.
Existem muitas outras certificações profissionais, técnicas e gerenciais e podemos destacar:
CISM Certified Information Security Management
CISSP Certified Information Systems Security Professional CISA Certified Information Systems Auditor
BS7799 Lead Auditor
SSCP Systems Security Certified Practitioner
PCI QSA Payment Card Industry Qualified Security Assessor
GIAC Global Information Assurance Certification
CBCP Certified Business Continuity Professional
CIA Certified Internal Auditor
São muitos os bons livros que tratam de gestão de riscos e segurança da informação, contudo destaco:

• PELTIER, Thomas R.: Information Security Policies and Procedures – a practitioner’s reference. Auerbach Publications. 373p.

• KRAUSE TIPON, Handbook of Information Security Management 1999, Editora Auerback

• SCHNEIER, Bruce. Segurança.com – Segredos e mentiras sobre a proteção na vida digital. Editora Campus.
Os cursos de segurança da informação se espalham por todo o Brasil, desta forma, reunimos uma compilação dos principais cursos do mercado.

Cursos de Segurança da Informação: PDF | XLS

Correção, sugestão ou atualização? Contate





Principais:

• NBR/ISO/IEC 17799. Tecnologia da Informação: Código de prática para a gestão da segurança da informação. ABNT, 2002. 56p

• DOU. Decreto nº3.505, que institui Política de Segurança na Administração Federal.13 Jun 2000.

• ISO/IEC JTC 1/SC 27. Glossary of IT Security Terminology. Information technology - security techniques. 1998.

hotsite | BSI BS ISO/IEC 27001:2005 Information Security
BSI BS7799-2:2002 Information Security
BSI BS 25999 Business Continuity Management
ISO 13335 IT Security Management
ISO/IEC 17799:2000 Information Security
ISO 18044 Security Incident Management
ISO 15408 Common Criteria
ISO 12207 Software Life Cycle Processes
ISO 18028 IT Network Security
NIST SP800-53 Recommended Security Controls
ISACA COBIT | PCI QSA | OCTAVE Risk Assessment
PCI DSS Payment Card Industry Data Security Standard
Augusto Quadros Paes de Barros, CISSP
André Fucs, CISSP | Anderson Ramos, CISSP
André Machado Blog OGlobo Online
Edson Fontes, CISA, CISM
Eduardo Neves, CISSP
Francisco Milagres, CISSP
Marcos Machado
Nelson Correia, CISSP
Patrícia Peck, Advogada
Segio Dias, MVP, CISSP
Bruce Schneier, CISSP
Wagner Elias INFOSEC FEEDS

FERMA Federation European Risk Management Associations
IRM The Institute od Risk Management
NIC BR
CERT Computer Emergency Response Team
CERT.br Centro de Estudos e Tratamento de Incidentes Brasil
SANS System Administration, Networking, and Security
USCERT United States Computer Emergency Readiness Team
NIST
CSI Computer Security Institute
MICROSOFT Centro de Segurança
ISA Internet Security Alliance
UNICAMP Equipe de Segurança em Sistemas de Rede

ISACA Information System Security & Control Association
ISC2 International Information Systems Security Certification
ISSA Information System Security Professionals BRASIL
BSI British Stantard Institution
DRI Disaster Recovery Institute
BCI Business Continuity Institute
BRASSEC Brazilian Information Security
ABRAIC
IISP Institute of Information Security Professionals
CISSPs
ISM3 Information Security Management Maturity Model
Hiring Guide for Information Security Resources

ISMS International User Group
Comunidade ISMS PT
IFTF Info Security Task Force
Blog CISSP
Microsoft Security
Cartilha de Segurança na Internet
Navegue Seguro
Internet Segura
Guide to CISSP Blog por Leandro Bennaton
Crypto-Gram BR
www.grcti.com.br

ICP-Brasil ROI Institute JPhilip Methodology
Medida Provisória nº 2.200-2
CG Comitê Gestor
SecurityFocus Online
InfoGuerra
Módulo Security Solutions
SecForum
CSO Online
InfoSecurity Magazine
Xforce ISS
SECINF Glossary of Terms Network Security
ENISA European Security Agency

Gestão de Riscos

Ato de estabelecer e operacionalizar processos contínuos de acompanhamento dos níveis de risco e adotar controles que eliminem vulnerabilidades, afastem ameaças e reduzam a probabilidade de uma ameaça explorar uma vulnerabilidade e provocar impactos à confidencialidade, integridade e disponibilidade da informação.

Risk Management Process

Árvore de Decisão de Risco


1. Rejeitar: esta opção deve ser considerada quando o risco não está sendo considerado pela estratégia do negócio, uma vez que o custo do controle, ou da contramedida, é superior ao risco ou ao bem a ser protegido.

2. Aceitar: esta opção deve ser considerada quando o risco é inerente à natureza e ao modelo de negócio, fazendo parte das operações normais e, portanto, tendo sido previsto na estratégia. A escolha dessa opção gera um outro nível de análise:

a. Evitar: esta decisão se baseia na vontade e viabilidade de se eliminar totalmente a fonte de um risco específico.

b. Transferir: esta decisão se baseia na relação custo-benefício e na viabilidade (disposição e capacidade financeira) de terceiros, para assumir o risco.

c. Explorar: esta decisão se baseia no interesse e na possibilidade de se obter vantagens competitivas pelo aumento da exposição e do grau de risco.

d. Reter: esta decisão se baseia no interesse do negócio, considerados custo e tolerância, de garantir a manutenção da exposição e do grau de risco.

e. Mitigar: esta decisão se baseia na necessidade do negócio, considerados custo e tolerância, de diversificar, controlar e reduzir os riscos.

O fator de Tolerância é determinante para que se definam investimentos compatíveis com o bem a ser protegido e principalmente, para que o nível de risco residual esteja dentro da zona de conforto e compativel com a natureza de cada negocio.

Maturidade

Conceitualmente, atingiremos a maturidade adequada da gestão de riscos quando ela não for perceptível. Quando os processos estiverem bem definidos e documentados, orientando os agentes humanos e prontos para suportar mudanças corriqueiras nos ativos físicos, tecnológicos e humanos, sem que isso represente uma bruta e não planejada oscilação no nível de risco.

Mas se os processos estão emperrados, os usuários insatisfeitos por terem de trocar muitas senhas e o CEO se questionando porque apesar de todos os investimentos em segurança ele ainda continua a receber mais spams do que e-mails confiáveis, certamente algo está muito, muito errado.

CONCEITOS

Gestão de Riscos da Informação

Este tema tem sido meu objeto de estudos e atividades profissionais nos últimos anos. De acordo com a sua importância para o desenvolvimento da sociedade, da continuidade dos negócios e da preservação da privacidade e do conhecimento, julguei por bem compartilhar alguns conceitos básicos que pudessem nortear, mesmo que ainda superficialmente, executivos, técnicos e usuários.

Presente na Internet apoiando a educação..
1997-2011

DIRETRIZES


Crime? Denounce it
www.semola.com.br
4 January, 2011
ENGLISH .
Ameaça

Algo que pode agir voluntária ou involuntariamente em prejuízo de alguém ou alguma coisa.

"1 Ato de ameaçar. 2 Perigo. 3 Gesto que exprime intenção de prejudicar ou provocar danos."

Informação

Algo que se conhece e em que se baseia para racionalizar.

“1 Ato ou efeito de informar. 2 Transmissão de notícias. 3 Instrução, ensinamento. 4 Transmissão de conhecimentos.”

Risco

Resultado objetivo da combinação da probabilidade de ocorrência de um evento e seu impacto resultante.

"1 Possibilidade de acontecimento futuro incerto. 2 Perigo ou possibilidade de perigo."

Impacto

Resultado provocado pela ação de uma ameaça sobre uma vulnerabilidade.

"1 Prejuízo. 2 Dano. 3 Consequência de uma investida. 4 Efeito. 5 Resultado apurado.:



compilação