Nenhum sistema está seguro...

O objetivo deste site é o de gerar conhecimento na área Forense, Jurídica e tecnologica.

sexta-feira, 17 de novembro de 2023

CIS Control no Contexto de Compliance e Melhoria Contínua

 

Por Thiago Alvarenga

CIS Control vs ITIL

  • Governança e Gestão de Riscos: O CIS Control ajuda a estabelecer um framework robusto de governança de TI, integrando práticas de segurança com a gestão de riscos empresariais. Isso é crucial para o compliance com a LGPD, pois a lei exige uma abordagem proativa e bem documentada para a gestão de dados pessoais.

  • Melhoria Contínua: O framework incentiva a revisão e atualização contínua das práticas de segurança e gestão de TI. Isso se alinha com o conceito de melhoria contínua presente no ITIL, mas com um foco mais forte em segurança e conformidade.

  • Alinhamento Estratégico: Ao contrário do ITIL, que é mais focado em processos e serviços de TI, o CIS Control aborda a segurança e a gestão de TI de uma perspectiva mais estratégica. Isso inclui a identificação de ativos críticos, a avaliação de riscos e a implementação de controles que protegem não apenas a infraestrutura de TI, mas também os dados e a privacidade dos usuários.

  • Flexibilidade e Adaptação: O CIS Control é projetado para ser adaptável a diferentes tipos de organizações, o que o torna adequado para empresas que precisam de um framework que possa ser personalizado para atender às suas necessidades específicas, incluindo as exigências da LGPD.

  • Foco em Controles Práticos: Enquanto o ITIL fornece um guia para a gestão de serviços, o CIS Control oferece um conjunto de controles práticos e acionáveis que podem ser implementados para melhorar imediatamente a segurança e a conformidade.

Em resumo, para as empresas que buscam não apenas melhorar a gestão de serviços de TI, mas também fortalecer a segurança, a conformidade com a LGPD e implementar uma abordagem de gestão de riscos mais integrada. Ele oferece uma estrutura que abrange tanto a segurança da informação quanto a governança de TI, apoiando a melhoria contínua e o alinhamento estratégico com os objetivos de negócios da empresa.
Postado por: at Nenhum comentário:

quinta-feira, 9 de novembro de 2023

Preciso criar usuários nominais?

 Por Thiago Alvarenga


Em todos os casos, é fundamental que as organizações mantenham um registro detalhado de atividades de acesso e alterações de configuração, e que as contas de usuário sejam gerenciadas de acordo com o princípio do menor privilégio, garantindo que os usuários tenham apenas as permissões necessárias para realizar suas tarefas. Além disso, as organizações devem realizar auditorias regulares de contas de usuário e acessos para detectar e remediar qualquer uso indevido ou não autorizado.

Recomendações Gerais para Active Directory e Acesso de Fornecedores:

  • Active Directory: Use contas de usuário individuais para cada funcionário. Evite contas genéricas ou compartilhadas. Implemente políticas de grupo para gerenciar permissões e auditoria.
  • Acesso de Fornecedores: Fornecedores externos devem ter contas separadas, com acesso restrito apenas aos recursos necessários. Deve haver um processo para monitorar, revisar e revogar esse acesso conforme necessário.

Dito isto, a resposta é sim, as diretrizes de segurança de várias frameworks e padrões de segurança, incluindo NIST, CIS Controls, ISO/IEC 27001 e as práticas recomendadas para conformidade com a LGPD (Lei Geral de Proteção de Dados do Brasil), enfatizam a importância de usar contas de usuário nominais (individualizadas) para melhorar a responsabilidade e a rastreabilidade das ações realizadas nos sistemas de informação. Aqui estão algumas recomendações gerais baseadas nesses padrões:

NIST (National Institute of Standards and Technology):

  • NIST SP 800-53: Este padrão recomenda o uso de identificação e autenticação únicas para cada usuário para garantir a rastreabilidade das ações até um indivíduo específico.

CIS Controls (Center for Internet Security Controls):

  • CIS Control 16 (Account Monitoring and Control): Aconselha a implementação de uma abordagem de menor privilégio e o uso de contas de usuário únicas, evitando o compartilhamento de credenciais.

ISO/IEC 27001:

  • Controle A.9.2.2 (Gestão de Acesso do Usuário): Requer a atribuição de acesso a usuários com base em uma política de controle de acesso e a necessidade de rastrear as operações de usuários individuais.
  • Controle A.9.2.3 (Gerenciamento de Privilégios): Enfatiza a importância de restringir privilégios e associá-los a contas individuais.

LGPD (Lei Geral de Proteção de Dados):

  • Embora a LGPD não especifique práticas técnicas de segurança da informação, ela exige que as organizações implementem medidas técnicas e administrativas adequadas para proteger os dados pessoais. O uso de contas nominais ajuda a garantir que apenas usuários autorizados tenham acesso a dados pessoais e que esse acesso possa ser monitorado e auditado.

Em ambientes de segurança da informação, exceções às práticas recomendadas devem ser cuidadosamente consideradas, documentadas e aprovadas por meio de um processo formal de gestão de exceções. Isso geralmente envolve a avaliação de riscos, a implementação de controles compensatórios e a revisão periódica da necessidade da exceção. Aqui estão algumas considerações para lidar com exceções como usuários coringas e contas de fornecedores não nominais:

Usuários Coringas:

  • Avaliação de Risco: Determine o risco associado ao uso de contas coringas e se ele pode ser mitigado.
  • Controles Compensatórios: Implemente medidas adicionais de segurança, como monitoramento intensivo e alertas para atividades nessas contas.
  • Documentação: Documente a justificativa para a exceção e obtenha aprovação da gestão.
  • Revisão Periódica: Estabeleça um cronograma para revisar a necessidade da conta coringa e se os controles compensatórios estão funcionando conforme esperado.

Contas de Fornecedores Não Nominais:

  • Avaliação de Risco: Avalie os riscos de segurança e privacidade associados ao uso de contas genéricas para fornecedores.
  • Acordos de Nível de Serviço (SLAs): Inclua cláusulas nos SLAs que definam responsabilidades de segurança e requisitos de auditoria.
  • Controles Compensatórios: Use controles como VPNs com autenticação multifator, restrições de horário de acesso e segmentação de rede.
  • Auditoria e Monitoramento: Implemente soluções de monitoramento de acesso e auditoria para acompanhar as atividades das contas de fornecedores.

Processo de Gestão de Exceções:

  • Solicitação de Exceção: As exceções devem ser formalmente solicitadas e devem incluir uma análise detalhada do impacto.
  • Aprovação: As exceções devem ser aprovadas por um comitê de segurança ou por um responsável com autoridade adequada.
  • Revisão e Expiração: As exceções devem ter uma data de expiração e ser revisadas regularmente para determinar se ainda são necessárias.

Considerações Legais e de Conformidade:

  • LGPD e Outras Regulamentações: Verifique se as exceções estão em conformidade com as leis de proteção de dados e outras regulamentações aplicáveis.
  • Transparência: Seja transparente sobre as exceções com as partes interessadas, incluindo funcionários, fornecedores e, quando apropriado, clientes.

Em resumo, exceções às práticas de segurança recomendadas são às vezes necessárias, mas devem ser gerenciadas com cuidado para evitar a criação de vulnerabilidades desnecessárias. A gestão de exceções deve ser parte integrante da governança de segurança da informação da organização.

Postado por: at Nenhum comentário:
Assinar: Postagens (Atom)

Análise da Vulnerabilidade CVE-2024-23113 no FortiGate

  Relatório Técnico: Análise da Vulnerabilidade CVE-2024-23113 no FortiGate e Medidas de Mitigação Introdução Nos últimos anos, as vulnerabi...