Formação Blue Team Academy

Exit Course

Conformidade na Segurança da Informação

This is a preview lesson

Purchase this course, or sign in if you’re already enrolled, to take this lesson.

Nesta aula você vai entender o papel da Conformidade na Segurança de Informação.

Como a empresa é afetada pelas leis e normas.

Vamos discutir quais normas se adequar e como é feito este processo.

​Conteúdo desta aula

  1. O que é Conformidade
  2. Políticas de Segurança
  3. Normas de Segurança
  4. ​Leis e Regulações
  5. Assessment vs. Auditoria
  6. Auditoria Interna e Externa

Material

02-B-ConformidadeBaixar

Transcrição

Olá, tudo bem? Fabio Sobiecki aqui de volta. E nessa aula nós vamos falar sobre conformidade na área de segurança da informação. Inicialmente, o que é a conformidade? Conformidade é o ato de estar conforme uma regra ou a uma lei.

Então, por que regra ou lei? Existem leis que a empresa tem que seguir. Todas as empresas devem olhar essa cascata de leis que a gente tem obrigação de seguir. Leis municipais, leis estaduais e leis federais.

E se uma empresa trabalha com outros países, ela é obrigada também a olhar leis de outros países. E existem as regras ou normas que elas não têm força de lei. Então, a empresa não é obrigada a seguir uma norma.

Mas, por mercado ou por uma opção, essa empresa pode escolher algumas normas e dizer à sua equipe, agora nós vamos nos adequar a essa norma, porque a gente vai publicar isso no mercado e dizer a nossa empresa está conforme a norma ISO 27001, ou conforme a norma NIST, ou aderente ao PCI DSS. Então, são conjuntos de regras que a empresa escolhe e decide que eles querem acompanhar ou que eles querem seguir. Então, existem as leis e as normas.

As leis são obrigadas e as normas são opcionais, mas demandadas pela área de segurança ou de governança corporativa. Existem também dentro das empresas as políticas de segurança. Então, a política é uma definição que é escrita, então é por escrito um documento, e esse documento é divulgado para todos os funcionários, todos os clientes ou para uma área específica.

Então, tem uma destinação, essa política, e nessa política, por escrito, existe um conjunto de regras que devem ser seguidas pelos envolvidos, visando o aumento da segurança. Por que deve ser seguida pelos envolvidos? Porque se uma regra, por exemplo, uma política, que tem a ver com a parte de logística, ela tem regras para o time de logística, regras de segurança para o time de logística. Se você pegar essa regra de logística e levar lá para a área de contabilidade, talvez não faça sentido.

Uma política para a área que produz, cria novos produtos para a empresa, a área de pesquisa e desenvolvimento. Então, essa área é muito visada para ataques, obviamente porque ela trabalha pesquisando novos produtos. Então, os concorrentes querem ter acesso às pesquisas da nossa empresa, aos novos produtos que vão sair.

Então, esse time que trabalha nesse departamento, nesse setor, ele tem uma política de segurança própria. Então, por isso que a política de segurança é destinada a um grupo de funcionários, a um grupo de pessoas envolvidas e sempre visando aumentar a segurança. Então, eu dei ali alguns exemplos.

Política de senha é um deles, isso é facilmente encontrado. Se você faz um cadastro, por exemplo, num site de comércio eletrônico e você vai criar sua senha, sempre vem lá um conjunto de regras. A sua senha tem que ter, no mínimo, oito caracteres.

A sua senha tem que ter maiúsculas, minúsculas, letras, números e caracteres especiais. Isso é uma política de senha. Ou, por exemplo, uma empresa que tem uma política de backup.

É um documento escrito e dizendo todos os funcionários têm que fazer um backup em disco ou num disco externo ou usando um software que vai mandar o backup para a nuvem. Então, essa política de backup é adotada ou por funcionários ali no endpoint, no laptop ou no desktop mesmo. Ou pode ser uma política de backup para servidores.

Então, a área de infra de tecnologia vai ter que pegar aquela política que foi determinada pela área de segurança e executar. Então, todos os dias tem que fazer o backup do banco de dados Oracle. Então, a área de tecnologia vai simplesmente executar conforme a política de backup determina.

Ou mesmo uma política de segurança. Se você trabalha em uma empresa ou conhece uma empresa que tem ações na bolsa de valores, por exemplo. Toda empresa que tem ação na bolsa de valores é obrigada a publicar a sua política de segurança.

Então, se você pega, por exemplo, o Banco Bradesco, o Banco Itaú, existe uma parte no seu site, todas essas empresas têm que ter, é um site chamado Relação com Investidor. Ou Relacionamento com Investidores. Ou alguma coisa assim, ou simplesmente RI.

Se você for a este site, provavelmente você vai encontrar ali uma política de segurança. Agora, está muito comum a política de privacidade. Você entra no site, ele dá um banner ali dizendo olha, esse site usa cookies, você aceita os cookies do meu site.

E aí tem um link para a política de privacidade. O que é a política de privacidade? É um conjunto de regras que aquela empresa adota para que se proteja a privacidade do usuário. Então, já é um conjunto determinado e público, você sabe o que está sendo exposto ali, como eles vão tratar os seus dados.

Você lê a política e você sabe como que eles vão seguir com os seus dados. Então, esse documento é redigido, criado pela área de segurança e as outras áreas apenas executam essa política de segurança. Então, se você gosta de escrever, essa é uma boa área para você poder trabalhar.

Dentro da área de conformidade, em GRC, você pode desenvolver e criar esses documentos de políticas de segurança. As normas de segurança, como eu estava explicando agora há pouco, as normas são um conjunto de regras estabelecidas por uma empresa externa. Então, você trabalha no Banco X, a empresa externa, uma empresa chamada ISO ou uma empresa chamada NIST, vai criar esse conjunto de regras, vai redigir um documento como se fosse uma política, mas não tem a mesma força, são recomendações.

A política já é uma obrigatoriedade da empresa. Então, aquele conjunto de recomendações criado por essa entidade ou por um corpo de profissionais, isso também pode ocorrer, juntam ali vários auditores, vários contadores, eles vão redigir as normas de segurança dos contadores. Então, o corpo de profissionais pode se juntar e definir essas normas e ela tem como objetivo o aumento da segurança.

Então, similar à política. A política de segurança, normalmente, é por empresa. Então, eu vou trabalhar no Banco Itaú, eu vou ter a política de segurança do Banco Itaú.

Eu vou sair do Banco Itaú, vou trabalhar, por exemplo, na Gol ou na TAM, são empresas aéreas. Então, eu vou ter a política de segurança dessas empresas. Sair dessas empresas, vou trabalhar numa empresa de varejo, numa Casas Bahia, em uma Via Varejo.

Eu tenho a política de segurança da Casas Bahia. Então, as normas, elas já são normas para o mercado. Eu trabalho com cartões de crédito, eu vou usar a norma PCI/DSS, ou PCI.

Essa regra, se você for em outra empresa, que não tem nada a ver com varejo, que também trabalha com cartões de crédito, mas é um banco, ele também tem que seguir a PCI. Se é uma empresa, por exemplo, que trabalha em uma área que não tem manejo de cartão de crédito, essa empresa, por exemplo, não vai usar a PCI, mas ela pode usar a ISO, porque a ISO é mais genérica. Então, as normas de segurança, você tem que ver qual é a aderência, para que tipo de mercado serve aquela norma, e aí você escolhe as normas que você quer seguir, abre o documento, vê tudo o que eles recomendam, e começa a aplicar na prática aquelas recomendações.

As normas também são referenciadas como melhores práticas. Então, quando você começar a trabalhar na área de segurança, e alguém te perguntar quais são as melhores práticas de backup, ele está perguntando quais são as normas que essas entidades sugerem para que você faça o backup. A norma diz que o backup deveria ser diário, de todos os dados classicados como importantes, e os dados classicados como públicos você faz semanal, por exemplo.

Então, isso é uma regra que pode ser uma norma, e aí você aplica ou não, certo? Ela é opcional, a menos que você decida, eu quero seguir a norma ISO 27001, à risca. Então, você tem que seguir todos os passos, até aqueles que você não concorda muito, ou você acha que é um excesso de zelo, como a gente diz, mas você tem que seguir para poder dizer que está aderente à ISO 27001 por completo. Essas normas surgem da experiência dos profissionais e de outras empresas também.

Então, a ISO reúne um corpo de profissionais, e esses profissionais vão dando as experiências. Olha, no ano passado, a gente perdeu um banco de dados porque não tinha uma cópia de segurança. Então, seria interessante que a gente recomendasse que as empresas tenham cópias de segurança, o backup.

Então, por exemplo, até o momento que as empresas ainda não utilizavam computação na nuvem, você não tinha normas de segurança para computação na nuvem. A partir da hora que as empresas começaram a adotar isso, começaram a ter problemas, criou-se um conjunto de regras para computação na nuvem. E aí, essas normas de segurança vão aderindo a outros conjuntos, ou quando são muitas normas, como, por exemplo, Cloud Security, criou-se um documento novo.

Então, criou-se uma organização nova, chamada Cloud Security Alliance, e essa organização editou um conjunto de regras de segurança para computação na nuvem. Então, as medidas surgem da experiência desses funcionários, desses profissionais, e podem ser geradas. Então, amanhã ou depois, a gente vai ter normas de segurança para criptomoedas, se for o caso, se for necessário.

E, em alguns casos, as normas, embora não sejam mandatórias, obrigatórias, elas têm uma forte recomendação. Então, quando eu trabalho em um ambiente de nuvem, muito provavelmente, você vai trabalhar com normas de segurança para ambiente de Cloud Security. Você não vai deixar o ambiente Cloud Security solto, livre ali, sem obedecer nenhuma norma de segurança, uma prática de segurança.

Por quê? Porque, provavelmente, você pode ter algum descuido ou alguma falta de experiência, você pode ter um problema de segurança ali. Existem as leis e regulamentações, ou regulações. As leis, como eu citei antes, a empresa está sujeita, então, as leis municipais, estaduais e federais, do local onde ela está registrada.

Então, se a minha empresa está registrada em São Paulo, eu tenho que observar as leis municipais de São Paulo, as estaduais de São Paulo e as federais do Brasil, certo? Ao passo que, se eu tenho um cliente que é da Argentina, eu não tenho que seguir obrigatoriamente todas as leis da Argentina, porque a minha empresa está baseada em São Paulo. Mas, na internet, a gente tem essa relação com outros países, certo? Em alguns casos, você deve observar qual é a lei daquele país, onde o consumidor reside. É o caso, por exemplo, das leis de privacidade.

Então, se eu tenho um cliente europeu, eu, em algum momento, embora a minha empresa esteja registrada no Brasil, em algum momento, eu tenho que, pelo menos, ler as leis europeias, que falam de privacidade, de segurança, para saber se eu tenho que me adequar a alguma coisa. Então, provavelmente, eu tenha guardado alguma informação desse cliente europeu no Brasil, e pode ser que isso não seja interessante ou não seja permitido. Eu tenho que guardar informações de clientes residentes na Europa, eu tenho que guardar em um data center lá na Europa.

Então, é isso que você tem que olhar, ver essas leis e regulamentações, porque, se a empresa não segue uma lei, ela está sujeita a multas e penalidades, como, por exemplo, o produto ser tirado do mercado. Olha, você não pode vender esse produto no mercado porque você não está de acordo com as nossas leis. E aí, se a gente trabalha para evitar prejuízos para a empresa, a gente não pode ser um gerador de prejuízos.

Então, a gente sempre tem que observar leis internacionais quando eu tenho um consumidor que seja internacional ou atuo nesses países também. As leis são obrigações mandatórias, então, não tem como fugir disso. Se a lei determina que, para o seu ramo de negócio, você tem que fazer, você tem que fazer.

Então, portanto, elas devem ser priorizadas. Então, lá na área de segurança, a primeira coisa que a gente vai verificar, antes de começar tudo, é quais são as leis que eu preciso, que eu estou sujeito. Então, no Brasil, todas as empresas estão sujeitas a LGPD, Lei Geral de Proteção de Dados.

Então, essa já vem em primeiro plano. Tudo que essa lei determinar, eu tenho que executar, porque é mandatório. Marco civil da internet ou marco civil regulatório é um conjunto de regras.

Eu tenho que ver em quais dessas regras eu tenho que me adequar. Também, válido para todas as empresas e pessoas físicas ou jurídicas estando no Brasil. Então, eu tenho que me adequar, certo? Eu tenho que ver essas leis.

Isso, o departamento jurídico, normalmente uma empresa conta com apoio jurídico ou um advogado externo, um escritório de advocacia externo. Esses departamentos de advogados, o jurídico, ele pode te auxiliar no levantamento dessas leis. Até no levantamento e na interpretação das leis.

Isso é bem importante. Você, profissional de segurança, você não tem que ter interpretação da lei. Porque não é você que vai lá no tribunal depois defender a empresa.

Então, você sempre pode pedir um parecer da área jurídica. Olha, eu entendi isso. Eu tenho que ter aqui um controle de segurança para evitar que os dados dos clientes sejam vazados.

É isso mesmo? Até onde eu tenho que ir? Até o que eu posso deixar de fazer? Quem vai determinar isso é o departamento jurídico. E a área de segurança tem que dar todo o suporte necessário. Porque também o departamento jurídico, às vezes ele não entende alguma das leis ali, fala de um assunto que ele não tem compreensão.

E aí é seu papel explicar para ele o que é um backup, explicar para eles o que é privacidade nesse contexto tecnológico. Obviamente, ele sabe o que é o conceito da privacidade, conceito jurídico de privacidade. Mas dentro do seu sistema, ele não sabe aonde o cliente, o usuário, ele tem a privacidade exposta.

Então, é isso que você tem que ajudar. Você vai apoiar a área jurídica e eles também te apoiam na compreensão das leis e como você deve fazer para se adequar. Existem, para você avaliar, isso não é uma parte de monitoria, mas uma vez que você implanta a sua regra, você diz que você está de acordo com a norma, você diz que você está de acordo com a lei, a gente tem que validar, tem que verificar se realmente você está de acordo com a lei, se você está atendendo aquela norma.

E para isso, existe uma ferramenta chamada assessment e auditoria. Assessment é uma palavra em inglês, aqui pode ser traduzida como avaliação. Então, no assessment, normalmente você contrata uma empresa externa, uma consultoria de segurança, por exemplo, e essa consultoria de segurança vem à sua empresa e faz a avaliação.

Então, você pede, você define o escopo que você quer ser avaliado. Eu quero fazer uma avaliação se eu estou de acordo com a ISO 27000 ou de acordo com o início, ou de acordo com as melhores práticas. Esse time vem, faz uma série de entrevistas, levantamentos dentro da sua empresa para verificar os pontos, porque eles sabem que o backup tem que ser diário, eles sabem que tem que ter criptografia entre servidores de rede e tudo mais.

Então, eles já vêm aqui para a empresa olhando para isso. A comunicação está sendo criptografada, o disco está sendo criptografado, o backup está sendo feito, o backup não está sendo feito, não está de acordo com a norma. Então, eles fazem um checklist, uma avaliação, e te dão o status da sua empresa.

Olha, sua empresa passou dos 70 itens, um checklist, dos 70 itens que nós avaliamos, vocês passaram em 60, faltaram 10 aqui. Então, você vai focar em corrigir esses 10. É a mesma coisa, por exemplo, quando você leva um carro no mecânico e você pede, faz uma revisão geral do meu carro e ele te diz, olha, a pastilha de freio precisa ser trocada.

Então, por segurança, é melhor que você troque a pastilha de freio para que você resolve ali o teu problema. O assessment é a ferramenta para você fazer isso. Então, você pode avaliar a empresa quanto a essas práticas de segurança.

O assessment avalia a sua empresa ou apenas um determinado setor. Você quer que avalie somente a área de contabilidade, por exemplo, somente a área de logística. Então, ele pode fazer somente a matriz, as filiais não precisa avaliar, porque eu já sei que se a matriz não está certa, a filial também não vai estar.

E eles têm essa visão externa, por isso que a gente fala que tem que ser uma empresa de fora que vai trazer a experiência para você, vai fazer comparações nesse assessment, algumas delas fazem comparações. Olha, a sua empresa trabalha no ramo de varejo, venda ao consumidor final. Eu peguei aqui outras empresas que também trabalham na mesma área que você e eles tiveram problemas no passado com banco de dados, com vazamento de cadastro de clientes.

E eles vão olhar a sua empresa para ver se você não tem os mesmos problemas que ocorreram ali, certo? Um vazamento de cadastro de clientes, um vazamento do crediário, que são coisas importantes no mercado de comércio varejista, certo? Então, eles fazem essa comparação com empresas do mesmo setor e também de outros setores. Olha, na Petrobras ocorreu isso. Poxa, mas minha empresa não tem nada a ver com petróleo e gás, energia.

Mas eles podem fazer avaliações comparativas e você dizer se você está melhor ou pior na área de segurança, o que você tem que corrigir para você ter aderência total às recomendações, às normas, para ver se a sua gestão de segurança está boa, certo? A auditoria, normalmente, ela está associada à conformidade. Então, a auditoria já é uma fiscalização, tá? Ela pode ser avaliada, avaliar a sua empresa, se ela atende os requisitos de conformidade, as leis. Ou eu posso pedir uma auditoria da ISO, que é uma norma? Pode.

Então, existe isso. A auditoria, normalmente, ela vai mais aprofundada no ponto. O assessment é uma avaliação mais superficial.

A mesma coisa que você ir em um clínico geral, um médico, né? Clínico geral. E se você precisa mesmo, algo mais detalhado, aí é uma auditoria. A auditoria vai olhar o registro, vai olhar lá no banco de dados, ver se está implementado ou não aquilo que você falou, certo? O assessment é mais uma entrevista.

Ah, você tem backup? Tem? Ok. Vou dar um check aqui que você tem backup. Auditoria, não.

Você tem backup? Tenho. Então, me mostra onde está o backup. Aí você pega a fita lá, ou a mídia, né? Está aqui o meu HD.

Abre o HD. Vamos ver se tem um arquivo aí dentro. Ah, está aqui os arquivos.

Qual foi a última data desse backup? Então, vai bem incisivo. A auditoria vai mais a fundo para descobrir onde tem problemas. E já vi muitos casos onde a auditoria salvou a empresa porque descobriu em tempo hábil que a empresa não estava fazendo backup, eu não tinha uma proteção que falava ou achava que tinha, e a auditoria detectou esse problema e isso foi resolvido.

A auditoria, existe a auditoria interna e a externa, né? Que caso eu uso a interna e que caso eu uso a externa? A externa é feita por uma empresa de consultoria ou uma empresa de auditoria e tem auditores independentes, né? Que não possuem conflito de interesse com a empresa. Então, por ele ser um funcionário de fora, e aí você conhece grandes empresas como Ernst & Young, KPMG, Acenture, Deloitte, que fazem esse trabalho de auditoria externa. Então, essa empresa, ela é contratada, ela vem, faz todo esse pente fino dentro da sua área de tecnologia e aponta onde estão os problemas.

E por que a gente diz que essa empresa de auditoria não tem conflito de interesse? Porque, por exemplo, se a Deloitte, ela é auditora do Banco Itaú, ela não pode vender serviços de tecnologia ou serviços de segurança para o Banco de Itaú. Existe um conflito. Como que eu posso a empresa auditar e ao mesmo tempo prestar serviço para mim? Então, por conta desse conflito de interesse, essas empresas ou elas trabalham com auditoria ou elas trabalham com consultoria.

Os dois no mesmo cliente não é permitido, não é viável. Então, por isso que os auditores externos, eles também não são funcionários daquela empresa. Então, eles não são subordinados ao diretor de tecnologia, ao diretor de segurança.

São pessoas de fora. Então, eles podem apontar erros sem prejuízo, certo? Sem medo de ser mandado embora ou alguma coisa assim. Por isso que a auditoria externa, ela tende a ser mais confiável pelas pessoas porque é uma área sem interesse, certo? Também a auditoria pode ser aplicada em avaliações legais.

Empresas que têm ações na Bolsa de Valores ou companhias SA, elas são obrigadas a fazer auditorias com uma certa periodicidade. Uma vez por ano, uma vez a cada semestre. Elas são obrigadas a fazer essas auditorias e publicar o relatório da auditoria para os sócios ou se você tem ações de uma empresa, você pode requisitar isso, em determinados casos.

Então, a auditoria externa, ela serve para isso. Esses relatórios de auditoria, eles são guardados por um prazo de 5 ou 10 anos porque se daqui a 3 anos a gente descobrir que teve uma fraude ou alguma coisa assim, você pega os relatórios da auditoria para ver quando que aquela fraude começou ou como que ela não foi detectada pelo time de auditoria. Então, um problema de segurança também, ele pode ser levantado às auditorias anteriores para saber quando que mudou alguma coisa ali que a auditoria não detectou aquele problema antes.

Já a auditoria interna, ela avalia questões diárias. Então, auditoria interna é o que? A empresa tem seus próprios auditores. Então, tem lá um departamento de auditoria que é convocado para quando tem algum problema ou quando tem uma reunião, olha, nós vamos fazer um novo produto aqui, nós vamos instalar uma nova solução.

A auditoria interna, ela pode ajudar já com detalhes do tipo, olha, a auditoria externa vai olhar isso, vai avaliar isso, aqui você tem que seguir essa regra. Eles podem fazer a avaliação minuciosa que o auditor externo vai fazer. Então, tem que olhar lá o banco de dados? Vamos olhar o banco de dados.

Tem que consultar o backup? Vamos pegar a mídia, vamos consultar lá o backup. Então, eles têm os mesmos procedimentos que uma auditoria externa, só que são funcionários da empresa. Então, o relatório deles é mais interpretado como uma ajuda, quando você tem ali um apoio para você poder justificar.

Por que eu preciso comprar uma ferramenta de backup? Porque o meu backup não está funcionando. Está vendo aqui o relatório da auditoria? Então, eles te apoiam na área de segurança, em projetos, em recomendações, eles fazem avaliação de política, das regulações internas também. Isso tudo, a área de auditoria interna pode te ajudar no seu dia a dia.

Bom, resumindo aqui essa aula, nós falamos sobre o que é a conformidade, que é o ato de você estar conforme uma regra ou uma lei. Nós falamos das políticas de segurança, que são aquelas leis internas, documentos escritos, que devem ser seguidos pelos envolvidos. Nós falamos o que é uma norma de segurança, que são opcionais, e a empresa escolhe qual a norma que ela quer cumprir, que ela quer estar aderente.

Nós falamos das leis e regulamentações, regulações, que são obrigatórias, leis municipais e estaduais, e às vezes, em alguns casos, leis internacionais também. Expliquei para vocês o que é o assessment e a auditoria, a diferença dessas duas ferramentas de avaliação, e também expliquei para você, agora há pouco, o que é a auditoria interna e a auditoria externa. Quando eu uso uma, quando eu uso a outra, e qual é o efeito desses relatórios no nosso dia a dia.

E já engato aqui a pergunta para a próxima aula. Em outras demandas da área de governança, risco e conformidade, o que mais a área de GRC cuida dentro da empresa e que você já deve conhecer, deve saber, para, posteriormente, se tudo der certo, você queira trabalhar em uma área de GRC. Então, o que mais que esse departamento vai cuidar dentro da empresa.

0 of 116 lessons complete (0%)