Entenda como padrões de segurança da indústria como o PCI DSS podem auxiliar as organizações a reduzir os riscos relacionados à cibersegurança

13 de fevereiro de 2017

O ano de 2016 foi um ano bastante complexo do ponto de vista da segurança da informação. A cada novo balanço divulgado surgem números que confirmam um aumento significativo no total de ameaças, fraudes e incidentes cibernéticos. Um exemplo, entre tantos existentes, é o relatório “Global Fraud & Risk Report” produzido anualmente pela empresa de cibersegurança Kroll. Dos executivos ouvidos na edição 2016, 82% afirmaram que suas companhias sofreram algum tipo de fraude. Em 2015 o percentual era de 75%. Em 2013, 70%.

A percepção de piora no cenário da cibersegurança atinge praticamente todos os setores. No comércio eletrônico, por exemplo, houve aumento de 31% nas tentativas de fraudes no período entre o feriado de Ação de Graças e o último dia de 2016, segundo relatório da empresa ACI Worldwide. Em 2015, segundo o documento, uma em cada 109 transações no e-commerce era uma tentativa de fraude. Em 2016, uma em cada 97.

Infelizmente, não há sinal de que 2017 será um ano melhor. Vijay Basani, CEO da EiQ Networks, produziu um artigo para o site HelpNet Security com algumas previsões nada positivas para o ano que começa. especialmente porque pessoas e empresas são muito sujeitos a falhas, seja por distração, seja por negligência: “as pessoas tem uma incrível habilidade de ignorar a coisa certa a fazer porque fazer o errado pode ser mais conveniente, rápido e mais compensador”.

O problema é que, no caso de dados e informação, a negligência pode causar vazamentos. E vazamentos significam prejuízo financeiro e prejuízo para a marca.

Diante desse quadro, o que Basani recomenda vai ao encontro das recomendações de muitos outros especialistas: revisão das políticas de segurança, foco em educação contínua dos colaboradores e inteligência: “pense em segurança como uma vantagem competitiva estratégica, não como um centro de custo ou uma dor de cabeça administrativa”.

Mas “pensar segurança como vantagem competitiva estratégica” requer planejamento, investimento em pessoas, criação de equipes, treinamento de pessoal, equipamentos, software… e requer a criação de políticas de segurança que regulem o funcionamento dessa estrutura. Ou seja, é um esforço nada desprezível que depende de investimentos, tempo e paciência.

A fim de facilitar esse processo algumas indústrias contam com padrões já bem definidos que, evitam a necessidade de começar um processo “do zero” e reduzem as chances de erro na implantação e manutenção dessas políticas e estruturas de segurança, bastando que as empresas aceitem e entrem em conformidade com esses padrões.

No caso da indústria de pagamentos, existe o padrão PCI DSS.

O que é PCI DSS?

O PCI DSS, acrônimo para Payment Card Industry Data Security Standards (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento), é um padrão que prevê a proteção da privacidade e da confidencialidade dos dados de cartões de pagamento.

A conformidade ao PCI DSS é requerida de qualquer organização que transmita, processe ou armazene tais dados. Organizações que sofram com vazamentos de tais dados podem ter que arcar com milhões de dólares em multas e custos de remediações, além de perder a confiança de seus clientes, e sofrer com danos duradouros em suas marcas.

Dois podcasts para saber mais sobre PCI DSS

Duas edições do SegInfocast – o podcast da Clavis Segurança da Informação – trataram extensamente do PCI DSS. Veja a seguir:

SegInfocast #38

Nesta edição, o apresentador Paulo Sant’Anna recebeu o diretor comercial da Clavis, Willian Caprino, para uma conversa sobre diversos aspectos da segurança da indústria de pagamentos e a importância de manter um sistema de gerenciamento contínuo de vulnerabilidades.

Ele lembra que não existia padrão de segurança para essa indústria, com cada bandeira criando suas próprias regras, até 2006. Naquele ano, Visa, Mastercard, American Express, JCB e Discover fundaram o PCI Council, destinado a criar um padrão único de segurança – o PCI DSS – voltado para qualquer empresa que tenha acesso às informações de cartões de pagamento, como lojas, gateways de pagamento na Internet, sites de comércio eletrônico e outros, que devem seguir os requisitos de segurança estabelecidos pelo PCI. Decidiu-se que anualmente será requerido dessas empresas a validação da conformidade com as normas.

Estar em conformidade com este padrão traz, como vantagens, a diminuição dos riscos de vazamento de dados de cartões e, consequentemente, redução no número de transações fraudulentas, perdas financeiras e exposição negativa.

SegInfocast #47

Nesta edição, Willian Caprino assume a cadeira de apresentador para entrevistar Carlos Caetano, Diretor regional do PCI Council no Brasil e América Latina. Na conversa foram apresentados os aspectos da segurança da indústria de pagamentos no mercado brasileiro.

Segundo Carlos, O PCI Council vem trabalhando com o objetivo de promover treinamento e certificações de segurança para que possa ajudar as empresas de cartões nacionais na luta constante contra o crime nos meios de pagamento. Ele reitera a importância do mercado de cartões brasileiros em padronizar as suas regras de segurança conforme os requisitos estabelecidos pelo PCI.

Além disso, ele lembra que os atacantes têm tido como alvo não só as grandes empresas mas também os pequenos e médios negócios e, por isso, o PCI se preocupa em assessorar essa grande fatia do mercado, trazendo uma linguagem simples que permita o fácil entendimento para o empreendedor, de modo a alertá-lo sobre os riscos de segurança que envolvem o seu negócio em relação aos meios de pagamento.

PCI Compliance na Clavis

A Clavis Segurança da Informação oferece uma série de soluções destinadas a auxiliar organizações de todos os tamanhos a atingir a conformidade com o PCI DSS.

É possível realizar a avaliação do status de segurança, permitindo entender o nível de maturidade em que a empresa se encontra nesse quesito e qual o gap a ser preenchido. Uma vez identificadas as lacunas em relação aos requisitos para conformidade, a Clavis ajuda a empresa a desenvolver um planejamento que identifica e prioriza as ações necessárias para se alcançar esse status.

Outros serviços da Clavis relacionados ao PCI DSS envolvem:

  • Treinamento e campanhas de conscientização a respeito dos conceitos e requisitos do PCI DSS.
  • Consultoria para a adequação de processos, validação de configurações e obtenção de certificado de conformidade.
  • PCI Scanning: monitoramento de sistemas, tratamento de vulnerabilidades, relatórios de conformidade ao PCI.
  • Pré-avaliação de conformidade ao PCI. Determine se sua organização está preparada para uma avaliação de conformidade ao PCI.
  • Apoio à elaboração do PCI SAQ. Tenha orientação quanto ao preenchimento do auto-questionário do PCI.
  • Gap Analysis. Descubra onde estão as lacunas de conformidade e as potenciais vulnerabilidades de sua organização.
  • Relatório de conformidade: Confirme que sua organização atende aos requisitos de conformidade.
  • Correção de não-conformidades: apoio à elaboração de planos de tratamento de não-conformidades.

Para saber mais e agendar uma avaliação, clique aqui.

Tags:


Livro Fundamentos da Segurança da Informação chega à terceira edição e é tema da edição #48 do SegInfocast

10 de fevereiro de 2017

O professor Alan Oliveira, tradutor do livro Fundamentos da Segurança da Informação – que acaba de chegar à 3ª edição – é o convidado de Paulo Sant´Anna na edição #48 do SegInfocast, que você já pode ouvir aqui.

O livro – referência para o curso Fundamentos da Segurança da Informação, preparatório para o exame de certificação ISO 27001 e 27002 e promovido pela Clavis – trata do assunto da segurança da informação no ambiente empresarial e como ela se tornou motivo de grande preocupação, especialmente no que se refere às possibilidades de perda ou vazamento de informações, que podem causar tremendos prejuízos às corporações.

Ambos – livro e curso – são voltados para profissionais interessados em se preparar para o exame de certificação ISFS da Exin (utilizando as normas da ISO 27001 e 27002), mas o livro acabou se tornando uma referência para todos os profissionais que almejam aprender sobre segurança da informação, oferecendo um conhecimento básico sobre os fundamentos dessa área.

Entre os assuntos abordados no livro estão conceitos como confidencialidade, criptografia, controle de acesso, integridade de dados, riscos, ameaças e contramedidas a serem usadas na proteção contra essas ameaças.

A terceira edição do livro e o curso devem ser lançados no segundo semestre de 2017.

O autor, Alan Oliveira, é Engenheiro, mestre em Engenharia Eletrônica na área de sistemas inteligentes. Atuou por 7 anos como oficial da marinha nas áreas de sistemas de armas e comunicações. Atualmente é professor na Marinha do Brasil, onde ministra as disciplinas de controle de sistemas, guerra eletrônica e sistemas de comunicação. Desenvolve em seu doutorado pesquisas voltadas para a segurança de sistemas de controle e automação.

Tags: ,


Webinar #34 – Certificação ISFS 27002 – Exin

8 de fevereiro de 2017

Qual o objetivo deste novo webinar da Clavis Segurança da Informação?

O objetivo deste webinar é divulgação do novo curso da Academia Clavis, sobre a certificação internacional da EXIN – Information Security Foundation que é baseada na ISO 27002

Sobre o Instrutor

Alberto Oliveira é consultor de segurança da informação e atua no mercado há mais de 10 anos. Já realizou diversos projetos envolvendo tecnologias de segurança Symantec, Microsoft e de outros fabricantes . Alberto é MVP em forefront desde 2006 e possui as seguintes certificações: CISSP, CompTIA Security + MCSA/MCSE: Security, MCT, MCTS, MCITP e ITIL, diversas palestras pelo Brasil e webcasts Microsoft, sendo palestrante oficial do Teched em três oportunidades, sobre segurança da informação, ISA Server e TMG e contribui nos fóruns técnicos da Microsoft e listas de discussão (MCPdx/MCT Brasil). Foi o revisor técnico do livro Certificação Security+ da prática para o exame SY0-301, dos autores Yuri Diógenes e Daniel Mauser.

 

 

Curso Relacionado:


Segurança da indústria de pagamentos é tema da edição #47 do SegInfocast

2 de fevereiro de 2017

Na edição #47 do SegInfocast, o diretor comercial da Clavis Segurança da Informação, Willian Caprino, recebeu Carlos Caetano, o Diretor regional do PCI Council no Brasil e América Latina, para uma conversa sobre PCI-DSS que abordou diversos aspectos dos padrões de segurança para a Indústria de Pagamentos no mercado brasileiro.

O PCI Security Standards chegou em um momento em que não existia nenhum padrão de segurança para a indústria. Segundo Carlos, naquela época cada bandeira instituía suas próprias regras; finalmente, em 2006, as bandeiras Visa, Mastercard, American Express, JCB e Discover decidiram criar o PCI Council, que tinha como objetivo unificar os padrões de segurança para meios de pagamento em um padrão único, o PCI-DSS.

Caetano esclarece que, no Brasil, o PCI Council vem promovendo treinamento e certificações de segurança a fim de auxiliar as empresas de cartões na luta contra o cibercrime, e reitera a importância da padronização com base nos requisitos estabelecidos pelo PCI. Ele também faz um alerta: não apenas as grandes empresas podem se tornar alvo de atacantes; pequenos e médios negócios também. Por isso, o PCI se preocupa em assessorar essa fatia do mercado, trazendo uma linguagem que permita o fácil entendimento por parte do empreendedor.

O tema do PCI-DSS já foi abordado na edição #38 do SegInfocast da Clavis. Além disso a empresa oferece uma série de serviços e produtos como o Octopus, que acompanha e monitora os acessos aos recursos de rede; o BART, que trata de gerenciamento contínuo de vulnerabilidades; Testes de Invasão; Treinamentos, Análise de Gap, Análise de Riscos, Construção de documentos e outros serviços, que atendem a diversos requerimentos do PCI.

Tags: ,


Nova vaga na Clavis em São Paulo – Analista Júnior de Segurança da Informação

30 de janeiro de 2017

Nova vaga na Clavis para Analista de Segurança da Informação Junior – SP

Oportunidade para Analista Júnior na área de controle, processos e políticas de segurança da informação, com atuação presencial na cidade de São Paulo, em horário comercial.

Benefícios: CLT + VT + TR + Plano saúde com abrangência nacional TOP (incluindo dependentes) + distribuição do lucro da empresa + até 1 reembolso de certificação a cada 3 meses + participação em eventos de segurança da informação.

ALGUMAS DAS ATIVIDADES ENVOLVIDAS

  •  Avaliação de riscos de projetos
  • Definição de controle de segurança da informação
  • Recepção, acompanhamento e execução de ações no que tange auditoria interna e externa de segurança da informação
  • Desenvolvimento de políticas, normas, processos e controles
  • Atendimento e tratamentos de chamados na área de segurança da informação
  • Definição e acompanhamento das regras de acesso à informação
  • Avaliações de perfis de acesso
  • Outras atividades relacionadas.

REQUISITOS SUGERIDOS

0. Bom inglês técnico para leitura;
1. Experiência prévia com as atividades acima informadas;
2. Domínio da língua portuguesa para elaboração de textos formais e relatórios técnicos/gerenciais.


 

Os interessados nesta oportunidade devem por favor enviar currículo para curriculo @ clavis.com.br com a pretensão salarial, com o seguinte subject do email “Analista Segurança Junior SP – Processos”.

Será uma honra podermos trabalhar juntos. (=


Nova edição do SegInfocast aborda a automação na análise de dados

27 de janeiro de 2017

 

O especialista em segurança da informação Rodrigo “Sp0oKeR” Montoro é o convidado de Paulo Sant’Anna na edição #46 do SegInfocast. Montoro, que é da área de Pesquisa, Desenvolvimento e Inovação da Clavis, compartilha sua experiência em Análise de Dados para Big Data.

Segundo “Sp0oKeR”, Big Data é o resultado do imenso volume de dados gerados cotidianamente, seja em compras online, troca de mensagens em redes sociais ou até o mais simples clique em um site de busca.

O desafio para as empresa atualmente, no entanto, não é o volume de dados em si mas o trato dado a esses eventos, uma vez que análise e triagem de dados requer tempo e trabalho. Nesse sentido, a automação pode nos beneficiar com agilidade, processos multitask e eliminação de eventos de baixa relevância.

Confira abaixo a edição #46 do SegInfocast – Automação na Análise de Dados para Big Data na Segurança da Informação.

E para mais informações sobre segurança em Big Data conheça a solução Octopus tema do seginfocast #31.

 

Tags: , ,


Divulgação da avaliação (média de 8,97) e testemunhos do curso Análise de Malware em Forense Computacional – EAD

25 de janeiro de 2017

avaliacaodecursos-500x137 (2)

A Academia Clavis tem o prazer de divulgar a avaliação da sua última turma do treinamento Análise de Malware em forense Computacional. O treinamento de Dezembro de 2016, realizado online, obteve média geral de 8,97.8-) Veja abaixo todos os itens avaliados pelos alunos.

Clavis sempre dedicada em oferecer o melhor conteúdo em segurança da informação.

– José Olympio

Veja abaixo os resultados da avaliação feita pelos alunos do treinamentoAnálise de Malware em forense Computacional:

Perguntas
Média
Perguntas formuladas pelo professor focalizaram, estimularam e desencadearam novas ideias?  8,9
As ideias principais foram retomadas, resumidas, esclarecidas ou completadas, quando necessário?  9,0
Os exemplos utilizados foram ilustrativos, simples, relevantes e ajustados aos conceitos principais?  8,9
O vocabulário utilizado na apresentação foi preciso, correto, sendo traduzido quando necessário?   9,0
Houve sequência no desenvolvimento do assunto de modo que facilitasse o entendimento por parte do aluno?  8,7
Qual o grau de profundidade que foi desenvolvido o curso?  8,6
Qual a sua avaliação sobre o material entregue? 9,0
Faça uma avaliação geral para a parte teórica do curso. 8,6
Faça uma avaliação geral para a parte prática do curso. 8,8
O tempo de duração do curso foi adequado? 8,5
Os textos foram adequados, preparados e bem utilizados? 8,5
Como foi o atendimento da equipe administrativa durante o curso? 9,8
Como foi o atendimento da equipe administrativa fora do horário do curso? (emails, lista, telefone, etc) 9,9
O instrutor demonstrou domínio suficiente aos assuntos abordados? 9,5
Os recursos audiovisuais foram utilizados adequadamente? 8,9

Até as próximas turmas! ;)

Este curso faz parte da Formação de 80 horas – Perito em Análise Forense Computacional – Academia Clavis Segurança da Informação.

Banner-Formação-Perito-em-Análise-Forense-Computacional-80hrs


Divulgação da avaliação (média de 8,27) e testemunhos do curso Auditoria de Segurança em Aplicações Web – EAD

20 de janeiro de 2017

avaliacaodecursos-500x137 (2)

A Academia Clavis tem o prazer de divulgar a avaliação da sua última turma do treinamento Auditoria de Segurança em Aplicações Web. O treinamento de novembro de 2016, realizado online, obteve média geral de 8,27.8-) Veja abaixo todos os itens avaliados pelos alunos.

“Me considero suspeito para falar, porque já é o nono curso na Academia Clavis, mas mesmo já demonstrando a minha satisfação pela quantidade de cursos, gostaria de deixar meu testemunho, pois o curso abarca vários aspectos que foram elucidados com excelência. Sucesso a todos.”

-Leandro Catini

 

Veja abaixo os resultados da avaliação feita pelos alunos do treinamento Auditoria de Segurança em Aplicações Web:

Perguntas
Média
Perguntas formuladas pelo professor focalizaram, estimularam e desencadearam novas ideias? 8,5
As ideias principais foram retomadas, resumidas, esclarecidas ou completadas, quando necessário? 7,7
Os exemplos utilizados foram ilustrativos, simples, relevantes e ajustados aos conceitos principais? 8,0
O vocabulário utilizado na apresentação foi preciso, correto, sendo traduzido quando necessário? 8,2
Houve sequência no desenvolvimento do assunto de modo que facilitasse o entendimento por parte do aluno? 8,5
Qual o grau de profundidade que foi desenvolvido o curso? 7,5
Qual a sua avaliação sobre o material entregue? 8,7
Faça uma avaliação geral para a parte teórica do curso. 8,2
Faça uma avaliação geral para a parte prática do curso. 7,7
O tempo de duração do curso foi adequado? 8,0
Os textos foram adequados, preparados e bem utilizados? 8,0
Como foi o atendimento da equipe administrativa durante o curso? 8,7
Como foi o atendimento da equipe administrativa fora do horário do curso? (emails, lista, telefone, etc) 9,0
O instrutor demonstrou domínio suficiente aos assuntos abordados? 8,7
Os recursos audiovisuais foram utilizados adequadamente? 8,2

Até as próximas turmas! ;)

Este curso faz parte da Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação:

banner-2-certificacao-clavis-formacao-aduitoria-teste-de-invasao-pentest