Toda empresa ou organização existe para cumprir um propósito, seja fornecer matéria-prima para uma indústria, fabricar equipamentos para construir hardware de computador, desenvolver aplicativos de software, construir edifícios ou fornecer bens e serviços. Para completar o objetivo, é necessário que as decisões sejam tomadas, as regras e práticas sejam definidas e as políticas e procedimentos estejam em vigor para orientar a organização na busca de seus objetivos e missão.
Quando líderes e gestores implementam os sistemas e estruturas que a organização utilizará para atingir seus objetivos, eles são guiados por leis e regulamentos criados pelos governos para implementar políticas públicas. Leis e regulamentos orientam o desenvolvimento de padrões, que cultivam políticas, que resultam em procedimentos.
Como regulamentações, padrões, políticas e procedimentos estão relacionados? Pode ser útil olhar para a lista ao contrário.
- Procedimentos são as etapas detalhadas para completar uma tarefa que apoiam políticas departamentais ou organizacionais.
- Políticas são implementadas pela governança da organização, como a diretoria executiva, para fornecer orientação em todas as atividades para garantir que a organização apoie os padrões e regulamentações da indústria.
- Padrões são frequentemente usados por equipes de governança para fornecer uma estrutura para introduzir políticas e procedimentos em apoio aos regulamentos.
- Os regulamentos são emitidos comumente na forma de leis, geralmente pelo governo (não deve ser confundido com governança) e normalmente acarretam penalidades financeiras por não conformidade.
Agora que vimos como eles estão conectados, veremos alguns detalhes e exemplos de cada um.
Regulamentações e Leis
Governos em níveis nacional, regional e local podem impor regulamentações e multas associadas. Como regulamentações e leis podem ser impostas e aplicadas de maneira diferente em diversas partes do mundo, aqui estão alguns exemplos para conectar os conceitos a regulamentações reais.
A Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA) de 1996 é um exemplo de uma lei que regula o uso de informações de saúde protegidas (PHI) nos Estados Unidos. A violação da regra HIPAA pode acarretar multas e/ou prisão para indivíduos e empresas.
O Regulamento Geral de Proteção de Dados (GDPR) foi promulgado pela União Europeia (UE) para controlar o uso de Informações Pessoais Identificáveis (PII) de seus cidadãos e daqueles na UE. Inclui disposições que aplicam penalidades financeiras a empresas que lidam com dados de cidadãos da UE e residentes no bloco, mesmo que a empresa não tenha presença física na UE, dando a este regulamento um alcance internacional.
Por fim, é comum estar sujeito a regulamentações em vários níveis. As organizações multinacionais estão sujeitas a regulamentações em mais de uma nação, além de várias regiões e municípios. As organizações precisam considerar as regulamentações que se aplicam aos seus negócios em todos os níveis - nacional, regional e local - e garantir que estão em conformidade com a regulamentação mais restritiva.
Código de Conduta Profissional
Todos os profissionais de segurança da informação certificados pela ISC² reconhecem que a certificação é um privilégio que deve ser conquistado e mantido. Todo membro da ISC² é obrigado a se comprometer totalmente com o Código de Ética da ISC².
O Preâmbulo declara o propósito e a intenção do Código de Ética da ISC².
A segurança e o bem-estar da sociedade e do bem comum, o dever para com nossos princípios e uns para os outros, exigem que sigamos, e sejamos vistos como seguindo, os mais altos padrões éticos de comportamento.
Portanto, a adesão estrita a este Código é uma condição para a certificação.
Os cânones representam as crenças importantes compartilhadas pelos membros da ISC². Profissionais de segurança cibernética membros da ISC² têm um dever para com as seguintes quatro entidades nos cânones.
- Proteger a sociedade, o bem comum, a confiança e credibilidade públicas necessárias e a infraestrutura.
- Agir com honra, honestidade, justiça, responsabilidade e legalidade.
- Prestar serviços diligente e competentes aos contratantes.
- Promover e proteger a profissão.
Para obter mais informações sobre o Código de Ética, visite o site da ISC².
Objetivo do Capítulo 1 CC ISC²
Aplicar a terminologia e revisar os princípios de segurança.
Neste capítulo, abordamos os princípios de segurança, começando pelos conceitos de garantia da informação. Destacamos a tríade CIA como os principais componentes da garantia da informação. "C" significa confidencialidade; devemos proteger os dados que precisam de proteção e impedir o acesso de indivíduos não autorizados. "I" representa integridade; devemos garantir que os dados não tenham sido alterados de forma não autorizada. "A" simboliza disponibilidade; devemos garantir que os dados estejam acessíveis aos usuários autorizados quando e onde forem necessários, e na forma e formato exigidos. Também discutimos a importância da privacidade, autenticação, não repúdio e autorização.
Você explorou as salvaguardas e contramedidas prescritas para um sistema de informação para proteger a confidencialidade, integridade e disponibilidade do sistema e de suas informações. Ao aplicar o gerenciamento de risco, fomos capazes de avaliar e priorizar os riscos (vulnerabilidades de ativos que podem ser exploradas por ameaças) para uma organização. Uma organização pode decidir se aceita o risco (ignorar os riscos e continuar atividades de risco), evita o risco (cessar a atividade de risco para remover a probabilidade de um evento ocorrer), mitiga o risco (tomar medidas para prevenir ou reduzir o impacto de um evento), ou transfere o risco (passando o risco para terceiros).
Em seguida, você aprendeu sobre três tipos de controles de segurança: físicos, técnicos e administrativos. Eles atuam como salvaguardas ou contramedidas prescritas para um sistema de informação para proteger a confidencialidade, integridade e disponibilidade do sistema e de suas informações. A implementação de controles de segurança deve reduzir o risco, esperamos que a um nível aceitável. Os controles físicos atendem às necessidades de segurança baseadas em processos, usando dispositivos físicos de hardware, como um leitor de crachás, características arquitetônicas de edifícios e instalações e ações de segurança específicas tomadas por pessoas. Controles técnicos (também chamados de controles lógicos) são controles de segurança que os sistemas de computador e redes implementam diretamente. Os controles administrativos (também conhecidos como controles gerenciais) são diretrizes, orientações ou avisos direcionados às pessoas dentro da organização.
Em seguida, você foi apresentado às funções e governança de segurança da organização, as políticas e procedimentos que moldam a gestão organizacional e orientam a tomada de decisões. Conforme discutido, normalmente derivamos procedimentos de políticas, políticas de padrões e padrões de regulamentações. Os regulamentos são emitidos comumente na forma de leis, geralmente pelo governo (não deve ser confundido com governança) e normalmente acarretam penalidades financeiras por não conformidade. Os padrões são frequentemente usados por equipes de governança para fornecer uma estrutura para introduzir políticas e procedimentos em apoio aos regulamentos. As políticas são implementadas pela governança da organização, como a diretoria executiva, para fornecer orientação em todas as atividades para garantir que a organização apoie os padrões e regulamentações da indústria. Procedimentos são as etapas detalhadas para completar uma tarefa que irá apoiar políticas departamentais ou organizacionais.
Finalmente, abordamos o Código de Ética ISC2, que os membros da organização se comprometem a apoiar totalmente. Resumindo, devemos agir de forma legal e ética no campo da segurança cibernética.
