10 coisas que os auditores devem saber

A ISACA postou em Fevereiro de 2017, um Infográfico sobre Auditoria de Segurança Cibernética, apontando 10 coisas que os auditores devem saber, confiram:

1 – Guias/Frameworks de levantamento existentes

Os auditores devem considerar o mapeamento do NIST “Framework for Improving Critical Infrastructure Cybersecurity” para os controles ISO27001: 2013 e COBIT 5 para reduzir o escopo da auditoria, portanto, tornando a auditoria mais gerenciável.

2 – Considerar a próxima legislação

Os auditores devem estudar como as leis atuais, como o GDPR e o PCI-DSS, poderiam ser incorporadas nos programas de segurança cibernética. Além disso, os auditores precisam entender o ambiente regulatório global e as diferenças que podem existir entre regiões geográficas (por exemplo, GDPR – PCI-DSS em toda a UE / EUA / China / Rússia / Índia / Japão, etc.).

3 – Todos os riscos são subjetivos

Para se qualificar como um “risco”, uma ameaça deve ser associada a uma vulnerabilidade que, se explorada, pode afetar negativamente um recurso de informação. Se não, não é uma ameaça. Muitos auditores se preocupam com ameaças e vulnerabilidades que não representam risco real para um bem, priorizando a conformidade com o risco e desperdiçando tempo precioso e recursos.

4 – Os usuários são (e sempre serão) o grande risco de segurança

Nosso setor é liderado por fornecedores e continuamos buscando segurança através de produtos (firewalls, IDS / IPS, criptografia, anti-malware, DLP, etc.). Investimos em produtos antes de pessoas, enquanto resultados reais e mensuráveis podem ser alcançados investindo em conscientização de segurança da informação. Para contribuir com resultados tangíveis, os auditores devem priorizar as pessoas sobre o produto. A educação de segurança cibernética é a bala de prata.

5 – Controles ainda são importantes em segurança da informação básica

Como parte da segurança geral (incluindo a segurança cibernética), esses controles fornecem uma base de referência válida de controles de segurança que ajudam a reforçar a segurança em complexidade (por exemplo, controles de acesso físicos e lógicos, aplicação de “princípio de privilégio mínimo”).

6 – Precisa de uma política de respostas a incidentes cibernéticos e um plano que é totalmente testável

Os auditores precisam avaliar se um plano adequado de gerenciamento de crises e comunicação está em vigor e claramente comunicado e testado, conforme apropriado. Isso deve permitir uma continuidade de negócios suficiente em caso de violação de segurança cibernética. O gerenciamento de crises deve incluir resposta a incidentes e forense, quando justificado. O monitoramento e a detecção proativa (com ferramentas automatizadas) devem estar em posição.

7 – A estratégia de segurança cibernética precisa de agilidade – o cenário está em mutação

A estratégia precisa ser adaptável e escalável para lidar com novos métodos de ataque, como ransomware / BYOD risk / cloud-third party risk / social media etc. Os auditores precisam estar conscientes de que esta é uma área que está mudando constantemente – não pode assumir que o que atualmente mantém o seu ambiente de TI seguro, continuará a ser seguro sempre.

8 – A conscientização em segurança cibernética depende de uma correta formação

Os funcionários precisam de educação e treinamento suficientes e oportunos para ajudar a combater a ameaça de segurança cibernética que muda constantemente. A segurança precisa ser entrelaçada no tecido em uma organização. Um dos exercícios da caixa de seleção não é suficiente.

Por exemplo:

  • Os funcionários realmente entendem as implicações de uma violação da segurança cibernética?
  • Alguma ideia foi dada a ameaças de insider de uma perspectiva de segurança cibernética?
  • Existe orientação clara sobre o uso de mídias sociais / soluções de Shadow IT / BYOD / como responder a um ataque de phishing ou ransomware?

Os funcionários são recompensados / elogiados por promoverem a segurança em uma organização – eles são incentivados?

9 – Tudo está conectado a tudo

A principal função e objetivo de qualquer dispositivo cibernético é a conectividade. Os dispositivos são como escaladores amarrados juntos no lado de uma montanha – se cair pode trazer qualquer coisa conectada a ele. O Target hack (através de uma conexão de fornecedor de HVAC) demonstra claramente a necessidade de uma visão holística de segurança cibernética. Com a chegada do IoT, é imperativo que os auditores compreendam e abordem a imagem maior.

10 – Consciente das técnicas de roubo de credenciais

Os auditores devem ter conhecimento de técnicas de ataque de roubo de credenciais (por exemplo, pass-the-hash, registro de chaves, passagem de bilhetes, representação de token e ataques de homem ao meio – MITM). Normalmente, o ataque Pass-the-Hash (PtH) e outros roubos de credenciais e reutilização de tipos de ataque usam um processo iterativo de dois estágios. Primeiro, um invasor captura as credenciais de logon da conta em um computador e, em seguida, usa essas credenciais capturadas para se autenticar em outros computadores pela rede.

Fonte e pdf original em inglês: ISACA

Empresa

Fale Conosco

Lins - SP

(14) xxxx-xxxx
(14) 99822-3377 (Whatsapp)

faleconosco@tfzseg.com.br

Newsletter

Privacidade

Serviços

Gerenciamento de Serviços de TI

Governança em Segurança da Informação

Educação de usuários

Operações em Segurança da Informação

Links

Fernando Torres

TFZSEG Blog

CheckPoint

CartilhaBR

Linux

Eventos