GCN: assegure que sua organização não pare em tempos de crise

A ABNT publicou, em 15.01.2015, a norma ABNT NBR ISO/IEC 27031:2015 – Tecnologia da Informação – Técnicas de Segurança – Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação.

“Esta Norma descreve os conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios e fornece uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) para fornecer esta premissa nas organizações e garantir a continuidade dos negócios. É aplicável para qualquer organização (privada, governamental e não governamental, independentemente do tamanho), desenvolvendo a prontidão de sua TIC para atender a um progra ma de continuidade nos negócios (PTCN), requerendo que os serviços e componentes de infraestrutura relacionados estejam prontos para suportar as operações de negócio na ocorrência de eventos e incidentes e seus impactos na continuidade (incluindo segurança) das funções críticas de negócio. Também assegura que a organização estabeleça parâmetros para medir o desempenho que está correlacionado à PTCN de forma consistente e organizada.”

... leia mais >

O que esperar para Segurança da Informação em 2015

10 Bilhões! esse é o atual número de dispositivos conectados a grande rede mundial. Éramos pouco mais de 2.5 bilhões em 2009 r previsões indicam que serão 30 bilhões de dispositivos em apenas 5 anos. Chegamos com tudo a era da Internet das Coisas.

Tudo se tornou móvel, portável, imediato. Essas premissas fizeram com que a computação distribuída se tornasse cada vez mais abstrata. Muitas vezes não sabemos onde estão armazenadas nossas fotos e documentos; no computador de casa ou na nuvem?
Em 2014 assistimos vulnerabilidades em grandes fornecedores afetarem milhões de computadores e serviços. Heart bleed, Poodle SSL. Falhas estruturais que comprometem não mais dezenas e centenas, mas milhões de pessoas. Governos como alvos e atacantes. Assistimos mais casos de vazamentos de informações que mostram governos violando direitos civis de privacidade, também vimos governos sendo alvos de ataques cibernéticos por questões geopolíticas.

... leia mais >

Módulo é nomeada “Industry Innovators” pela SC Magazine

Módulo é nomeada Industry Innovators pela publicação mais importante da área de TI. Veja o parecer da SC Magazine:

Nós saudamos o retorno da Módulo neste ano. A Módulo chama nossa atenção em GRC e faz isto muito bém. Com um grande número de dispositivos suportados, uma abordagem que aplica um modelo de maturidade e uma grande coleção de bases de conhecimento, a Módulo possui uma solução de GRC aplicável para muitos tipos de organizações. Este ano, a empresa inovou com o conceito de “digital risk officer” que combina os atributos do CSO / CIO / CISO e “chief privacy officer”.

... leia mais >

Módulo conquista Prêmio ASSESPRO-RJ 2014 em duas categorias: Setor Público e Business Inteligence (BI)

A Módulo recebeu, na última segunda-feira (15), o Prêmio ASSESPRO-RJ 2014 em duas categorias: Setor Público e Tecnologia da Informação e Comunicações _ Business Inteligence . A cerimônia de entrega foi no Museu de Arte do Rio (MAR), uma noite memorável com presenças ilustres.

— A conquista do Prêmio ASSESPRO nas duas categorias nas quais a Módulo concorreu é um importante reconhecimento ao trabalho de nossas equipes e à qualidade das soluções que a empresa oferece. Além disso, é um importante passo para a valorização das empresas de TI fluminenses — destaca Sergio Thompson-Flores, CEO da empresa.

... leia mais >

Política de backup – visões macro e micro

Uma eficiente estratégia de backup é vital para o funcionamento de qualquer empresa, ledo engano pensar que se resume apenas em trocar fitas, agendar jobs e fazer restaurações. O backup vai muito além disso: existe toda uma metodologia de ciclo de vida (início, meio e fim) que deve considerar a sua concepção, duração, expiração e descarte.

Em um ambiente corporativo, a visão macro de um processo ou atividade operacional pode ser traduzida por meio da elaboração de políticas. E a visão micro são as diretrizes que devem ser seguidas e referem-se a um conjunto de normas e regras que determinam como serão executados um ou mais processos.

... leia mais >

Quatro verdades sobre a sua próxima violação de dados

Em agosto a CHS (Community Health Services), que possui 206 hospitais em 29 estados dos EUA, entrou para a lista infame de violações de dados relacionadas a indústria no site do Departamento de Saúde e Serviços Humanos, ao admitir a ocorrência que comprometeu informações pessoalmente identificáveis de 4.2 milhões dos seus pacientes.  Representantes da CHS, e a empresa de cibersegurança, Mandiant, estão apontando o dedo para um grupo chinês que, geralmente, caça propriedades intelectuais.

... leia mais >

Analisando as ameaças e fragilidades da computação em nuvem

Neste terceiro artigo da serie sobre riscos da computação em nuvem continuaremos a abordar itens relevantes desde aspectos técnicos, contratuais até periciais. Lembrando que a responsabilidade de zelar pela segurança da nuvem é uma tarefa compartilhada que não deve ser atribuída apenas à empresa contratada, o contratante também tem sua cota de participação.

Veja também:

Devemos considerar para um projeto em nuvem:

Cadeia de custodia da informação

... leia mais >

ISO TC 262 – Risk Management

A reunião do ISO TC 262 – Risk Management aconteceu de 1 a 5 de setembro na Universidade Yiddiz em Istanbul na Turquia, com a participação de 40 profissionais especialistas em gestão de riscos de diferentes áreas vindo de 20 países entre eles: Alemanha, Austrália, Áustria, Brasil, Canadá, China, Dinamarca, Estados Unidos, França, Irã, Irlanda, Japão, Malásia, Nova Zelândia, Reino Unido (UK), Suécia, Suíça e Turquia (os anfitriões da reunião). Participam ainda representantes de entidades como ASIS – American Society for Industrial Security, FERMA – Federation of European Risk Management Associations, IFAC – The International Federation of Accountants, IIA – The Institute of Internal Auditors, COSO – The Committee of Sponsoring Organizations of the Treadway Commission, PMI – Project Management Institute, dentre outras.

... leia mais >

A gestão de riscos corporativos se aplica, também, aos clientes?

O ano de 2013 foi um pesadelo para os CISOs (Diretores de Segurança da Informação) envolvidos na área de varejo e para o setor de cibersegurança em todo o mundo. Houveram pelo menos oito “mega” violações de dados de varejo, cada uma afetando 10 milhões de pessoas ou mais. Compare isso com apenas uma grande violação de dados em 2012. A maioria envolvendo  nomes (nomes de verdade, e não IDs ou nomes de usuário), datas de nascimento e algum tipo de numeração governamental como CPF dos clientes.

... leia mais >

Priorização é a chave para a defesa contra ameaças avançadas

Seguem algumas dicas úteis do nosso autor convidado, Steve Hunt, para o Gerente de Segurança que deseja a governança certa considerando ameaças avançadas.

Por anos a maioria das organizações têm demonstrado dificuldades com a organização e priorização de alertas de segurança gerados por inúmeros sistemas isolados. A proposição de valor das ferramentas SIEM (Gerenciamento e Correlação de Eventos de Segurança) foi concebida em termos de correlação e priorização, entretanto, a solução foi melhor sucedida ao que se refere a conformidades sem considerar o problema de ameaças avançadas persistentes.

... leia mais >