Real ISMS Official Blog - ISO 27001, SaaS & Software

ISO 27001 - The auditor’s perspective

2009-01-12T06:02:00.000-05:00

Hello readers,

Wish you all a very happy and prosperous 2009.

During the 2nd last week of 2009, I had a meeting with a prospective client who was interested in implementing an ISO 27001 compliant ISMS and getting it certified. One question which they asked was, “Can I see an ISO 27001 system?”. When I requested them to be specific, they said “You know..all the documents, policies, guidelines etc.”. What I could infer from the discussion was that they clearly thought it was a system which was documented.

Tangibles and intangibles in an ISO 27001 ISMS

I spend some time to explain to them that the ISO 27001 system consisted of tangibles and intangibles. There are things that you can see, touch and feel, but there are a lot of components that you cannot see, touch or feel. This prompted me to go back to some of my earlier experiences with ISO 27001 customers. In most cases, during the initial discussions, most customers were asking the question, “Can I see the ISO 27001 policies that you have created?” During ISO 27001 training sessions, they would invariably ask the question, “Can you give us some sample policies and sample templates using which we can create the policies?” And, when asked, why they were always asking for the policies upfront, the answer invariably would be, “Well, that is what we need to pass the audits and get certified right?” This prompted me to think more about this from the customers’ perspective and ask the question, “Are ISO 27001 audits (especially from a certification process) being misinterpreted for their purpose?”

The smart ISO 27001 auditor looks for..

No doubt, documentation is a very important component from a certification process, but from my perspective, an ISO 27001 auditor, will look for two things,

1 - The existence of the ISMS
2 - The functioning of the ISMS

Let us examine, “Point 1 - The existence of the ISMS”. This essentially means whether the P-D-C-A (Plan-Do-Check-Act) model is in place and all the required components of the P-D-C-A model exists. This would start from the Scope, the security forum, the asset classification list, risk analysis approach, the actual risk analysis reports, acceptance of risk, risk treatment and actual proof of risk treatment, audits, reviews etc. Some of these components are tangibles and some of them are intangibles. The smart auditor will spend his time first verifying this.

Let us examine, “Point 2 - The functioning of the ISMS”. The functioning of the ISMS is verified through the review and improvement processes, which comes in the CHECK and ACT phase. The smart auditor will check the internal audit reports, and often ask the question “Have you done a root cause analysis?” This is a very important question because the auditor is probing whether the organization has not just identified the problem, but has gone deep inside to check the root cause of the problem and then solve it. This proves that the ISMS is not just existing, but also functioning.

The broad picture or the Top-level view

So, anyone who is getting ready for an ISO 27001 Implementation and Certification process, please keep the broad picture in mind. This will help you not to get off-track and will help you when you are in a dilemma at certain junctions of the ISO 27001 implementation cycle.

You will have a great ISO 27001 implementation, maintenance and certification experience if you focus on proving two factors.

1) I have an ISMS in my organization
2) My ISMS is functioning well

& if you care to come and check, I shall prove both the above points to you. With this attitude you have a winner ISMS in your hands.

Warm regards,

Anup Narayanan
www.isqworld.com (Learning ISO 27001 through storytelling)

Key Strategies for Implementing ISO 27001

2009-01-12T05:57:00.002-05:00

In 1995, the British Standard Institute (BSI) published British Standard (BS) 7799, a widely adopted set of best practices that help organizations implement effective information security management systems (ISMSs) and establish security controls for specific business areas. In October 2005, the standard was adopted by the International Organization for Standardization (ISO). As a result, implementing BS 7799 — now ISO 27001: 2005 — has become a major focus of attention for European-based companies and those working in the region.

Depending on the organization's size, the nature of its business, and the maturity of its processes, implementing ISO 27001 can involve a substantial investment of resources that requires the commitment of senior management. In addition, because of its emphasis on data security, many internal auditors perceive the standard to be focused solely on technology and often recommend that IT departments comply with the standard's requirements without understanding the amount of time and resources required for compliance. To ensure across-the-board acceptance and success, initial analyses and planning are vital. Because internal auditors are in the perfect position to add value to an organization's IT processes, they can help IT departments prepare the groundwork for an effective and efficient ISO 27001 implementation strategy during the initial planning phase. This will help companies ensure their IT processes are better aligned with the standard's requirements and ensure long-term compliance.

RECOMMENDATIONS FOR EFFECTIVE ISO 27001 COMPLIANCE

Implementing ISO 27001 can take time and consume unforeseen resources, especially if companies don't have an implementation plan early in the compliance process. To enhance compliance efforts, internal auditors can help companies identify their primary business objectives and implementation scope. Auditors should work with IT departments to determine current compliance maturity levels and analyze the compliance process' return on investment. These steps can be conducted by a team of staff members or external consultants who have prior experience implementing the standard. External consultants should work in collaboration with an internal team of representatives from the company's major business units. Below is a description of each recommendation.

Identify Business Objectives

Plans to adopt ISO 27001 must be supported by a concrete business analysis that involves listing the primary business objectives and ensuring a consensus is reached with key stakeholders. Business objectives can be derived from the company's mission, strategic plan, and existing IT goals and may include:

Ensuring effective risk management, such as identifying information assets and conducting accurate risk assessments.
Maintaining the company's competitive advantage, if the industry as a whole deals with sensitive information.
Preserving the organization's reputation and standing among industry leaders.
Providing assurance to customers and partners about the organization’s commitment to protecting data.
Increasing the company's revenue, profitability, and savings in areas where protective controls operate well.

The standard also emphasizes compliance with contractual obligations, which might be considered another key business objective. For instance, for an online banking division, implementing the standard would provide customers and partners greater assurance that risks stemming from the use of information systems are managed properly.

Select the Proper Scope of Implementation

Identifying the scope of implementation can save the organization thousands of dollars and time. In many instances, it is not necessary for an organization to adopt companywide implementation of a standard. The scope of compliance can be restricted to a specific division, business unit, type of service, or physical location. In addition, once successful compliance has been achieved for a limited, but relevant scope, it can be expanded to other divisions or locations.

Choosing the right scope is one of the most important factors throughout the compliance cycle, because it affects the feasibility and cost of the standard's implementation and the organization's return on investment. As a result, it is important for the selected scope to help achieve the identified business objectives. To do this, the organization may evaluate different scope options and rank them based on how well they fit with each objective.

Organizations also may want to sign memorandums of understanding (MOU) or service level agreements (SLAs) with vendors and partners to implement a form of indirect compliance to the standard. For example, a garment manufacturing company may have a contract with a software provider for application maintenance and upgrades. Therefore, the manufacturing company will not be responsible for the application’s system development life cycle compliance with the standard, as long as it has a relevant MOU or SLA signed with the software vendor.

Finally, the organization's overall scale of operations is an integral parameter needed to determine the compliance process' complexity level. To find out the appropriate scale of operations, organizations need to consider their number of employees, business processes, work locations, and products or services offered.

Determine ISO 27001 Maturity Levels

When assessing the organization’s compliance maturity level, auditors should determine whether or not the implementation team is able to answer the following questions:

Does a document exist that specifies the scope of compliance?
According to ISO 27001, a scope document is required when planning the standard's implementation. The document must list all the business processes, facilities, and technologies available within the organization, along with the types of information within the ISMS. When identifying the scope of compliance, companies must clearly define the dependencies and interfaces between the organization and external entities.

Are business processes and information flows clearly defined and documented?
Answering this question helps to determine the information assets within the scope of compliance and their importance, as well as to design a proper set of controls to protect information as it is stored, processed, and transmitted across various departments and business units.

Does a list of information assets exist? Is it current?
All assets that may affect the organization's security should be included in an information asset list. Information assets typically include software, hardware, documents, reports, databases, applications, and application owners. A structured list must be maintained that includes individual assets or asset groups available within the company, their location, use, and owner. The list should be updated regularly to ensure accurate information is reviewed during the compliance certification process.

How are information assets classified?
Information assets must be classified based on their importance to the organization and level of impact, and whether their confidentiality, availability, and integrity could be compromised.

Is a high-level security policy in place?
Critical to implementing an information security standard is a detailed security policy. The policy must clearly convey management's commitment to protecting information and establish the business' overall security framework and sense of direction. It should also identify all security risks, how they will be managed, and the criteria needed to evaluate risks.

Has the organization implemented a risk assessment process?
A thorough risk assessment exercise must be conducted that takes into account the value and vulnerabilities of corporate IT assets, the internal processes and external threats that could exploit these vulnerabilities, and the probability of each threat. If a risk assessment methodology is in place, the standard recommends that organizations continue using this methodology.

Is a controls' list available?
Necessary controls should be identified based on risk assessment information and the organization's overall approach for mitigating risk. Selected controls should then be mapped to Annex A of the standard — which identifies 133 controls divided in 11 domains — to complete a statement of applicability (SOA) form. A full review of Annex A acts as a monitoring mechanism to identify whether any control areas have been missed in the compliance planning process.

Are security procedures documented and implemented?
Steps must be taken to maintain a structured set of documents detailing all IT security procedures, which must be documented and monitored to ensure they are implemented according to established security policies.

Is there a business continuity (BC) management process in place?
A management process must be in place that defines the company's overall BC framework. A detailed business impact analysis based on the BC plan should be drafted and tested and updated periodically.

Has the company implemented a security awareness program?
Planning and documentation efforts should be accompanied by a proper IT security awareness program so that all employees receive training on information security requirements.

Was an internal audit conducted?
An internal audit must be conducted to ensure compliance with the standard and adherence to the organization’s security policies and procedures.

Was a gap analysis conducted?
Another important parameter to determine is the organization's level of compliance with the 133 controls in the standard. A gap analysis helps organizations link appropriate controls with the relevant business unit and can take place during any stage of the compliance process. Many organizations conduct the gap analysis at the beginning of the compliance process to determine the company's maturity level.

Were corrective and preventive actions identified and implemented?
The standard adheres to the Plan-Do-Check-Act" (PDCA) cycle (PDF, 62KB) to help the organization know how far and how well it has progressed along this cycle. This directly influences the time and cost estimates to achieve compliance. To complete the PDCA cycle, the gaps identified in the internal audit must be addressed by identifying the corrective and preventive controls needed and the company's compliance based on the gap analysis.

Are there mechanisms in place to measure control effectiveness?
Measuring control effectiveness is one of the latest changes to the standard. According to ISO 27001, organizations must institute metrics to measure the effectiveness of the controls and produce comparable and reproducible results.

Is there a management review of the risk assessment and risk treatment plans?
Risk assessments and risk treatment plans must be reviewed at planned intervals at least annually as part of the organization's ISMS management review.

Analyze Return on Investment
Based on the groundwork done so far, companies should be able to arrive at approximate time and cost estimates to implement the standard for each of the scope options. Organizations need to keep in mind that the longer it takes to get certified, the greater the consulting costs or internal staff effort. For example, implementation costs become even more critical when implementation is driven by market or customer requirements. Therefore, the longer compliance takes, the longer the organization will have to wait to reach the market with a successful certification.

MOVING FORWARD

Implementing ISO 27001 requires careful thought, planning, and coordination to ensure a smooth control adoption. The decision of when and how to implement the standard may be influenced by a number of factors, including different business objectives, existing levels of IT maturity and compliance efforts, user acceptability and awareness, customer requirements or contractual obligations, and the ability of the organization to adapt to change and adhere to internal processes.

To learn more about the standard, BSI has prepared a guidance document available on its Web site, http://asia.bsi-global.com/InformationSecurity/ISO27001+Guidance/download.xalter. In addition, the Standards Direct Web site, www.standardsdirect.org/iso27001.htm, covers the latest version of the standard.

K. K. Mookhey is the founder and principal consultant of Network Intelligence India (NII) Pvt. Ltd., an IT security consulting firm located in Mumbai, India, that offers ethical hacking, security auditing, BS 7799, and business continuity management services. Mookhey has worked on research projects for ISACA and has published several articles and white papers. He also has led teams on numerous security audit and implementation assignments and has trained people from the Big Four accounting firms and Fortune 500 companies on IT security issues.
Khushbu Jithra has been part of all information security documentation projects for NII and helps to conduct security research for the organization. In addition, she drafts and reviews commercial proposals and security consulting reports, especially those dealing with penetration testing, vulnerability assessment, ISO 27001, and security audits.

Nhava Sheva becomes India's first security certified terminal

2009-01-12T05:53:00.000-05:00

DUBAI: Global marine terminal operator DP World's Nhava Sheva International Container Terminal(NSICT) in India,has become the country's first to
achieve ISO 28000:2007 certification in supply chain security management systems.

With the certification announced yesterday, the terminal also known as DP World Nhava Sheva has become the 15th among the giant operator's network of 48 terminals worldwide, to get the distinction.

The Certification, undertaken by independent Rotterdam-based Dutch auditing firm and Maritime Classification Society of excellence Det Norske Veritas(DNV), validates the NSICT's mechanisms and processes to address security vulnerabilities at strategic and operational levels, as well as its preparedness for preventive action plans.

The Nava Sheva terminal, which boast of state-of-the art infrastructure and world class services, is already certified for ISO 9001, ISO 14001, OHSAS 18001 and ISO 27001 management systems.

The terminal, was granted the certification after a thorough security audit of the facility, focused principally on container security, physical access controls, personnel security, procedural security, security training and threat awareness, business partner requirements and IT Security.

"Having an internationally recognised and certified security management system will greatly benefit DP World's customers and other terminal users and stakeholders who can now be assured that robust systems are in place to provide for the safety of their cargo and people using the terminal facilities in DP World Nhava Sheva," DP World Nhava Sheva's CEO, Capt Rustom Dastoor, said.

Its investment in the ISO security management system has been recognised by the US Customs Border Protection agency, which invited DP World to join its Customs Trade Partnership Against Terrorism (C-TPAT) programme.

Source: http://economictimes.indiatimes.com/

VanceInfo Achieves ISO 27001 Security Certification

2009-01-04T05:55:00.000-05:00

BEIJING, Dec. 15 /PRNewswire-Asia/ -- VanceInfo Technologies Inc. ("VanceInfo" or the "Company"), an IT service provider and one of the leading offshore software development companies in China, today announced that it has achieved the International Organization for Standardization ("ISO") 27001 certification for Shanghai VanceInfo Technologies Limited ("Shanghai VanceInfo"), one of the Company's major subsidiaries.

ISO creates standards that specify worldwide requirements for products, services, processes, materials and systems. ISO 27001 is the international standard developed specifically for Information Security Management Systems ("ISMS"), requiring that a company uses a systematic approach to managing sensitive corporate information and ensuring data security. VanceInfo's recent certification recognizes the Company's adoption of an effective information security system that complies with one of the highest established international standards.

"The protection of customers' information, particularly intellectual property and trade secrets, is a top priority for VanceInfo. We strive to safeguard the integrity, availability and confidentiality of the data of our clients and business partners," said David Chen, President of VanceInfo, "As one of the leading providers of offshore software development, VanceInfo has a longstanding commitment to applying best practices and technologies to software development for our clients. Achieving the ISO 27001 certification today and the CMMI Level 5 certification a quarter ago serves as confirmation that VanceInfo has made continuous efforts to meet the industry's most stringent standards."

The ISO 27001 certification was awarded after detailed assessment of information security management in Shanghai VanceInfo's processes of software architect, development and testing. This accreditation marks another major step of VanceInfo toward achieving operational excellence and maximizing customer trust and confidence in the Company's IT infrastructure and security capabilities. The ISO 27001 certification will position VanceInfo with enhanced strengths in foreign markets where ISO standards provide uniformity across national and regional boundaries.

About VanceInfo

VanceInfo Technologies Inc. is an IT service provider and one of the leading offshore software development companies in China. VanceInfo was the first China software development outsourcer listed on the New York Stock Exchange.

The Company ranked number one among Chinese offshore software development service providers for the North American and European markets as measured by 2007 revenues, according to International Data Corporation, or IDC, a leading independent market research firm.

VanceInfo's comprehensive range of IT services includes research & development services, enterprise solutions, application development & maintenance, quality assurance & testing, and globalization & localization. VanceInfo provides these services primarily to corporations headquartered in the United States, Europe, Japan, and China, targeting high growth industries such as technology, telecommunications, financial services, manufacturing, retail and distribution.

Safe Harbor

This press release includes statements that may constitute forward-looking statements made pursuant to the safe harbor provisions of the U.S. Private Securities Litigation Reform Act of 1995. These forward-looking statements can be identified by terminology such as will, should, expects, anticipates, future, intends, plans, believes, estimates, and similar statements. Such statements are subject to risks and uncertainties that could cause actual results to differ materially from those projected. Further information regarding these and other risks is included in VanceInfo's filings with the U.S. Securities and Exchange Commission, including its registration statement on Form F-1. All information provided in this press release and in the attachments is as of December 15, 2008, and VanceInfo does not undertake any obligation to update any forward-looking statement as a result of new information, future events or otherwise, except as required under applicable law.

Source: http://findarticles.com/

What It Means To Be ISO 27001 Certified - Benefits and Potential Payoffs

2008-12-23T08:52:00.003-05:00

Mark Bernard is the Security & Privacy Officer at Credit Union Central of British Columbia. Today, Mark's credit union is the first financial institution to achieve ISO 27001 certification. Mark discusses ISO 27001 certification and its benefits with BankInfoSecurity.com.

Background: ISO 27001 is an information security management system (ISMS) standard published in October 2005 by the International Organization for Standardization (ISO). The certification ensures that effective security controls and policies are in place. The certification process is a measurement of the performance of best security practices and identification of opportunities to improve those practices. It basically involves testing the existence and effectiveness of the information security controls at any given institution.

Benefits/ Payoffs of ISO 27001 Certification

The Credit Union Central of British Columbia has changed remarkably in its level of security awareness, and the credit union system has gone up substantially. People now recognize the value of, or they are realizing the value of having an information security credential such as this, and it is helping the institution to identify information security issues and address them more effectively.

As an institution in general, the culture has benefited as well. It's more focused on information security now and the identification of assets and how the credit union treats assets, threats, risk, and the vulnerability associated to those assets have been very positive.

Such involvement also boosts the team culture that remains, and this team effort can be effectively channelized into other business areas.

The ISO framework provides many of opportunities for improvement and to draw new sets of controls and to manage those more effectively likely than they have been in the past. Also, because the ISO framework already exists the credit union is looking at other standards such as the BS 25999, which is Business Continuity Standard, and integrating those controls within the ISMS.

Becoming ISO certified also made a big difference to the institution economically by reducing the number of external consulting engagements that were necessary, costing hundreds of thousands of dollars. And now the credit union has a bonafide external audit group that comes by twice a year to monitor their activity and provide a list of opportunities for improvement.

Promoting accountability through ISO/IEC 27001 & 27002

2008-12-18T14:04:00.000-05:00

As organisations go, there are those that welcome internationally recognised standards with open arms, and those that shy away citing cost or even applicability.

However, there is a need for standards within all organisations, regardless of size or market. It is in defining the Statements of Applicability (SoA) that the project becomes both relevant and cost-effective.

There is "information" within every organisation that is relied upon, so a system is required to manage its security. At the least, we need to ensure that the information is viable for its purpose.

Combined, these provide best practice guidance and a framework for an information security management system (ISMS) - ISO/IEC 27001 - and the management thereof - ISO/IEC 27002 - for the protection, confidentiality, integrity and availability of the information assets upon which an organisation depends.

Code of practice

ISO/IEC 27002 is merely a code of practice, so organisations are free to implement controls as they see fit, and the ISO/IEC 27001 standard incorporates only a simple summary of such controls and does not mandate any.

An important element is the definition of the SoA, among other scoping documents.

Through the SoA you are free to broaden or narrow the scope of certification, as you see fit, limiting the focus of any analysis. Understanding the SoA is crucial to attaching meaning to the certificate.

If you only define "the HR department", the associated certificate says nothing about the state of information security in "procurement", "manufacturing", "the IT department" or even the organisation as a whole. You set the scope.

Similarly, if the SoA asserts that some technical controls are not necessary for specified reasons, the assessing body will check that assertion but will not otherwise certify or fail those controls or the lack of them. In fact, no technical controls may be assessed at all as part of the assessment as ISO/IEC 27001 is primarily a management standard and compliance requires only that the organisation has a suite of management controls in place. If you feel a control is not necessary, giving a valid reason should suffice.

Start small

Look towards the information assets you currently manage or those you feel you can easily manage within the reduced scope, define a narrow SoA focused on what is already known and document your process to define, design, implement and manage these controls, including those "few" controls that may be missing.

Beyond certification or having marketing potential the process of assessment should confirm or improve accountability internally for information asset interfaces with wider business functions and third parties, confirming the scope for use of information assets with those partners.

Certification is optional, but is increasingly being mandated from suppliers and business partners concerned about their information security and the security of shared or common information.

Bodies such as the British Standards Institution, the National Institute of Science and Technology and various national bodies are issuing approximately 1,000 certificates per year - and the trend is growing.

By concentrating on the known information assets of a small business function, defining your ISMS to manage these will get you on the ladder and act as a springboard to widen your certification later.

ISO/IEC 27001

ISO/IEC 27001 is a formal standard towards which your organisation can attain independent certification of its frameworks to systematically and consistently design, implement, manage, maintain and enforce information security processes and controls - an information security management system (ISMS).

It covers any organisation (commercial business, government body or non-profit organisation), specifying the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a well-documented ISMS, within the context of the organisation's overall risk management processes.

It defines the requirements for custom security controls that meet the specific needs of the organisation or, importantly, any specified part or department thereof.

Source: http://www.computerweekly.com

David Gregg is an infrastructure and security consultant at The Logic Group

The growing accreditation of IT security tools and processes

2008-12-18T14:00:00.001-05:00

Vincent Villers, Partner at PwC Luxembourg and Marc Sel, Director at PwC Belgium
Business review, December 2008

For a long time, Information Security has had many technical standards but has been lacking a minimal consensus in the area of management and responsibilities. The BSI (British Standards Institute) put forward their 7799 standards, which were well accepted and evolved into the ISO (International Standards Organisation) world. Fundamental to the ISMS (Information Security Management System) standard is the typical management organisation model ‘Plan-Do-Check-Act’:

ISO 27001 is commonly used as a term to refer to a family of interrelated standards:

• 27000 ISMS fundamentals and vocabulary
• 27001 ISMS requirements (absorbing parts of ISO 13335)
• 27002 Code of practice (based on the BSI 7799)
• 27003 ISMS implementation guidelines
• 27004 Information security management measurements
• 27005 ISMS risk management (absorbing parts of ISO 13335)

Structure of ISO 27001

The main standard document ISO 27001 addresses requirements for the Information Security Management System, as well as how to establish, manage and monitor the ISMS. It continues by addressing ISMS responsibilities, as well as audit and management review aspects.

The ISO 27001 certification process

In many countries, certification bodies have been established under the umbrella of accreditation bodies. For example, one of the authors, Marc Sel, is accredited Lead Auditor for PwC’s Certification Body ‘PwCC B.V.’ which is on a peer level with the BSI, TÜV and KEMA1 . PwCC B.V. is in turn accredited by the Dutch Accreditation Body (‘Raad voor Accreditatie’).

The International Register of ISMS accredited certificates lists those certificates that have been awarded to organisations that have gone through an accredited certification process in line with the ISMS standard BS 7799 Part 2:2002 and ISO/IEC 27001:2005 (i.e. the revised version of BS 7799 Part 2:2002).

This register has been produced in cooperation with the international network of certification bodies and is managed and maintained by the ISMS International User Group (IUG). It is updated on a regular basis in co-operation with the certification bodies. The entries in this register have been supplied by those certification bodies that have carried out the ISMS certification.

The increasing interest in ISO 27001 certification

In November 2008, almost 5.000 ISMS certificates have been issued (4.987 to be precise2) . The top five countries with the highest number of certificates today are Japan, India, the UK, Taiwan and China. They are followed by Germany and the USA.

The best advice to follow is to centralise core IT services in larger data centres. For example, the data centres of PwC Yemen, UK, Hong Kong, China, and USA have been secured by ourselves and accredited by the BSI against ISO 27001:2005. This gives us a strong background when helping customers prepare for such certification or improve their security posture.

In Luxembourg, only one company is registered as being accredited against the standard so far. However, considering the current trend of financial institutions to focus on their core business by considering outsourcing of several functions, coupled with the increasing need to embed trust in business relationship, all conditions are fulfilled to lead to a growing interest for this certification. Indeed, unlike current perception of other standards, the ISO 27001:2005 relies upon clear requirements and implementation guidelines that provides sufficient transparency to bring the required level comfort that an accredited company meets adequate level of security to build trust with its stakeholders. The implementation of an ISO 27001 ISMS is clearly becoming an optimal approach to help organisations tackle the current regulatory requirements with regards to Information Technology controls.

Finally, rather than individually answering each request for compliance, it is advised to look at the requirements holistically, and build a framework that allows demonstrating compliance against a broad set of regulations, re-using the same set of well-defined controls. The implementation of such a control framework makes demonstrating compliance significantly less expensive.

1 BSI British Standards is the National Standards Body of the UK, TÜV Rheinland Group is a leading provider of technical services worldwide, KEMA is a commercial enterprise, specializing in high-grade business and technical consultancy, inspections and measurement, testing and certification.
2 The status of the official ISO 27001 certificates is available at www.iso27001certificates.com

Source: PwC

VanceInfo Technologies gets ISO 27001 certification for Shanghai VanceInfo Technologies

2008-12-15T14:08:00.000-05:00

VanceInfo Technologies Inc. (VIT: News ) Monday said it achieved the International Organization for Standardization 27001 certification for its subsidiary Shanghai VanceInfo Technologies Limited. VanceInfo's recent certification recognizes the company's adoption of an effective information security system that complies with one of the highest established international standards.

VanceInfo Technologies Inc. is an IT service provider and an offshore software development company in China.

Gary Hinson on ISO/IEC 27000

2008-12-09T06:59:00.000-05:00

Few doubt that a major consequence of the current economic meltdown will be more regulations for the private sector to follow. New regulations almost always mean more spending on security and privacy controls. For a glimpse of what to expect, CSO turned to Gary Hinson, a New Zealand-based IT governance specialist and CEO of IsecT Ltd.

Hinson says to expect changes in the coming year, but they won't necessarily be tied to new regulations born of the financial crisis. Instead, his focus is on changes for the ISO/IEC 27000 family of standards. His efforts to help security pros understand the standards include a regularly-updated website: ISO27001security.com. Hinson spoke with CSOonline.com Senior Editor Bill Brenner about the nature and timing of updates to these important standards.

Where do you see the most significant regulatory changes in 2009?
There are a number of planned changes to the ISO/IEC 27000 family of Information Security Management System (ISMS) standards (collectively "ISO27k") over the next year or so, with several additional standards currently under development, several standards about to be released and earlier releases undergoing planned revision.

Let's start with the planned revisions.
Work is under way within JTC1/SC27, the ISO/IEC committee responsible for ISO27k, to review and where necessary adapt ISO/IEC 27001 and 27002. Both standards are being actively used around the world of course, making it likely that changes will be relatively limited in order to avoid disrupting the existing implementations and particularly the certification processes. I believe that in Japan, for instance, ISO/IEC 27002 is specifically recommended if not required to satisfy the Japanese privacy/data protection laws, with organizations being compliance-assessed against the code of practice although it was not originally intended by ISO/IEC to be used in that manner. No one really knows how many organizations have adopted ISO/IEC 27002 globally but I would guess it must be in the hundreds of thousands by now.

In revising ISO/IEC 27002, what are you pressing the committee to focus on?

1. Address and resolve the confusion around "information security policy" versus "ISMS policy" -- the latter being closer to strategy, as far as I can see.
2. Expand on the concept of personal accountability versus responsibility and clarify what is meant by "information asset."
3. Expand on typical computer room controls, for example environmental monitoring with local and remote alarms for fire, water, intrusion, power problems etc.
4. Update section 10.8 "Exchange of information" to improve coverage of mobile code, Web 2.0/Software As A Service etc. Technical advances are a tricky area for ISO27k since publication of the standards is such a long, slow process They try as far as possible to keep the standards technology-neutral but this can result in them lacking guidance in some areas].
5. Expand section 11.2 on "User access management" to include more on identification and especially authentication of remote users.
6. Provide pragmatic guidance on security testing of new/changed application systems in section 12.
7. Expand section 14 on "Business continuity management" to cover resilience as well as disaster recovery. This section would also benefit from more explanation of "contingency."
8. Update section 15 to reflect legal and regulatory changes such as the rise of e-discovery, document/e-mail retention and increasing use of computer data as evidence in court.
9. Emphasize the value of IT auditing processes in section 15.3.

Source: CSO Online

Emloyee education key to successful enterprise security

2008-11-13T11:33:00.000-05:00

Money can buy you many things, it seems, but not perfect security. Organisations have been investing in IT security over the past few years, but laptops and disks full of sensitive data are still going missing and corporate networks are still being hacked.

In all these breaches, the common link has become increasingly obvious: employees. Whether they are failing to abide by corporate policies, simply don't know about them, or work in a company that has no security policies in place, staff are mailing out millions of user accounts without proper encryption, giving out passwords over the phone and double-clicking on attachments that promise naughty pictures of Angelina Jolie.

A recent survey of 1,000 IT managers by mobile data security specialist SafeBoot showed that 54 per cent of respondents felt that the majority of their employees ignore company security policies, mainly due to a lack of understanding and "not taking it seriously".

The answer then should be clear: educate employees about the risks and what they should be doing to reduce them. And indeed, some companies are already doing that. But SafeBoot's research shows that 98 per cent of IT managers rely on memos and emails to communicate security. As Tom de Jongh, product manager at SafeBoot, points out: "You can't trust employees to read memos."

So what is the best way to teach employees about security - and get them to follow the advice? The first step is to realise that not everything is going to happen overnight. "You need to change the culture of the organisation over several years," says Martin Smith, chairman and founder of The Security Company. Smith, who started his career in military counter-intelligence and counter-espionage, has been trying to convince businesses of the importance of security awareness for 20 years.

"It's heartbreaking," he laments. "Infosec is focusing frantically on technology, but it doesn't matter what you spend on security unless you bring people with you. If staff could just know some basic stuff, it would all go away."

Generating this culture of security is an important component of overall security awareness. "There's an awful lot that users need to know - too much," Smith adds. "They're overloaded with information they're not really interested in - it's boring." Rather than trying to teach people using courses, he advises to have constant reinforcements of messages about the importance of security in conjunction with a place for employees to find out information.

Bad awareness education can be even worse than no training at all, Smith suggests. "Employees will always ask: 'What's in it for me?'. If all people see of security is a boring course once a year that effectively pushes the problem on to them so that the security team's arse isn't on the line, that's not a huge sell." Measures such as providing somewhere for employees to find out security information, letting them know that breaches in security could cost the company severely, creating a culture of security and not forcing them to do anything, are far more likely to make employees security aware.

Assuming the constant reinforcement of the message is getting through, employees who are about to perform an action that might be potentially dangerous will pause to think and consult the knowledge zone for the correct procedure. "Then you'll have employees thinking: 'Send out 25 million bits of information? That doesn't sound right. I'll just check the knowledge zone,'" Smith says.

Obviously, creating an intranet knowledge zone or having a security support team to answer queries takes resources. Cliff May, consulting manager at Integralis, often has to teach employees of client organisations about security as part of ISO27001 audits. He uses seminars and e-learning packages to educate users, but prefers seminars. "E-learning is not as effective. If you run tests, sometimes people get the answers off someone else - it's a paper exercise they just want to get over with."

Nevertheless, they can work well if you're prepared to invest in them properly. Paul King is a member of Cisco's security programmes organisation, which runs training around the world. As well as an initial induction programme that uses face-to-face training, Cisco uses e-learning systems featuring specially shot videos put together by professional video makers. "We keep them quite short, simple and interesting. There are also questions interspersed throughout, although they're not as hard as an exam."

Cisco has an internal home page with links to take people through to the e-training videos. Using web analytics, the company monitors which employees have been watching videos. "Everyone in the organisation understands that the need for security awareness comes down from John Chambers (Cisco's CEO)." But if employees aren't watching the videos they're supposed to be watching, their line managers will be asked why.

King says the company can also tell how effective training has been through other means. A recent video on "shoulder surfing" emphasised the importance of using privacy screens when working on laptops in public places. A link next to the video took the user to a place where they could buy a screen through their department's budget. "Take-up was huge. Lots of people now have screens on their laptops. That's our measure."

Cisco only produces a few of these videos. For the most part, it provides a constant background of security information to create a secure culture. It uses poster campaigns and newspapers among other things. A recent effort suggested employees should think of themselves as "security champions", trying to keep the company safe.

However, Robin Adams, head of the security division at the Logic Group, cautions against relying on posters. "The feedback I get is that posters work for about a month." Similarly, signs to remind users of good behaviour tend to fade into the background within days.

Although seminars can be expensive and not as effective in the long-term as other methods, they can work well in small companies. Firebrand offers low-level training courses that clear away jargon and acronyms - something that can creep in if security staff put on their own seminars without input from marketing, training or HR departments.

David Cole, academy team leader and senior consultant at risk consultancy DNV, suggests that role-playing works well in workshops and seminars. "There's a danger in infosec training that you end up showing slide after slide," he warns. "But you need to make it fun. You can have training exercises and create a scenario that builds slowly over the day."

May at Integralis uses anecdotes from his forensics career to enliven his sessions. "You get senior people turning up because they hear it's interesting. If you can add a bit of humour, they can enjoy proceedings." He also advocates the use of role-playing: "They have to think for themselves. It's a good way of making it sink in." Nevertheless, although he is in favour of induction courses, he considers a presentation by itself "virtually worthless".

It could be you

Getting employees to pay attention to all these messages usually involves sticks and carrots. Annual exams can test how much has actually sunk in. Strong punishments for people who have knowingly broken security policies can set an example and demonstrate the company is serious about security. But the Logic Group's Adams says that, in his experience, painting a worst-case scenario of what could happen works "amazingly well" when it comes to convincing staff to abide by the policies anyway. "If you explain that credit-card companies might take away their ability to process cards for orders, together with the effect that would have on jobs, people really listen." Explaining what information might be worth to criminals also helps, he adds.

Ultimately, no matter how good security technology becomes, people will always be a weak link. Ignoring this fact is, as Smith suggests, like focusing on brain surgery when the patient is dying of the common cold.

TOP TEN TIPS FOR YOUR STAFF

1. Make sure that all redundant equipment, documents and waste are removed as appropriate. It's no use protecting data on your PC if it's on your desk for everyone to see.

2. Lock your workstations when left unattended and log off at the end of your working day.

3. Don't share computer passwords except under the most exceptional emergency circumstances.

4. Don't make your password easy to guess. It should be at least eight characters, different for each account and not based on personal things such as dates or pet names.

5. Organised crime is at work and the average criminal is more motivated to steal from you than you are to defend yourself.

6. If you have a laptop, don't leave it on display in your car. Get a laptop cable lock. Many thefts are crimes of opportunity.

7. Avoid working in a public place, you never know who's watching. If you must, get a privacy protector.

8. Do not connect devices such as iPods, USB drives or even CDs to your PC without checking with IT - these can all carry malicious software.

9. Don't reveal details of your work security with anyone. If someone is trying to break in, they'll try to get as much information as possible.

10. If you think something is suspicious, report it. Many crimes are successful because earlier, unsuccessful break-in attempts weren't spotted by the right people.

CASE STUDY: RICOH

Japanese digital office-solutions company Ricoh has nearly 82,000 employees and offices in more than 150 countries. Three years ago, the company decided to go for a single global certification for ISO27001.

Kevin McLean, information security manager at Ricoh Europe, has been in charge of the EMEA aspects of the certification. "In order to achieve the certification, we created a project team. The team worked with the IT, HR and facilities management departments to establish the information security management system (ISMS) with a focus on access control, from IT systems to buildings. Recruitment policies were reviewed to cover the management of contractors and permanent personnel."

However, McLean knew that employee awareness would also be a vital part of both certification and the company's security policy. "While we strive to be as strong as can be with physical security, it can all be undone by people," he says.

So he and his team created a security awareness programme. They began with pilots in a number of offices, including the company's European HQ in London. They also set up ISMS business representatives groups, bridging units at each pilot area between their own division and the rest of the company, which met to decide activities and projects designed to improve employee awareness. "We tried a number of things to see how they were received." Since the pilot project at the HQ was in a relatively small area, it was possible to take advantage of "water cooler" chat to discover how much of the message was getting through. Managers told them that more staff were wearing ID badges, clearing their desks at the end of the day and performing other actions they had been advised to perform.

To get the message across, the unit devised initiatives including informal launches, articles on the intranet, a staff handbook and mandatory awareness training. Staff were also given free gifts, including a personal alarm and SIM card replicator, to reinforce the security message. A set of "11 commandments" based around the "DOIT" slogans ('protecting documents, office and IT') further added to the message.

"HR and marketing helped come up with the slogans," recalls McLean. "And HR were able to tap training and similar resources." Seminars and workshops involving role-playing allowed staff to explore security issues related to their working day. "Employees weren't interested in big picture stuff. It was all about 'How does this affect me?'"

Although Ricoh now has the certification, McLean says the programme will continue. "We're always going to be improving it."

WORKING WITH OTHER DEPARTMENTS

If security is seen as an IT issue, it will be left to the IT department to sort it out. Apart from the crippling amounts of extra work, that will mean security being someone else's problem rather than an issue for the whole company. So it's important to get other departments to work in conjunction with IT to ensure that the security message gets through and is seen as everyone's concern.

This usually involves board-level support as well as a "bridging unit" or a business relationship manager, depending on the size of the company, to liaise between IT and other departments. If you can get funding from those departments, they will be far more committed to the issue than if they are merely asked to give up their time.

The HR and legal departments can be useful, as they can ensure that employee contracts include suitable rules about security and IT use, together with appropriate actions in case employees break them. This means that if someone does cause a security breach, the contract, together with the training given to them, significantly reduces the chance of a lawsuit for unfair dismissal being filed against the company. Liaising with HR means security training can be part of the induction programme, avoiding the problem of security being seen as something "other".

Marketing, training and other corporate communications departments have those vital people skills that some IT specialists lack. When creating awareness campaigns, marketing can help to devise the most effective methods of getting the message across. And while IT can certainly provide the information about security that needs to be given to employees, a training or HR department is far more likely to be able to deliver seminars and courses in a way that non-technical people will appreciate.

Source: http://www.securecomputing.net.au/

Security survey finds increase in security standards adoption

2008-11-11T11:44:00.000-05:00

News Analysis

Ernst & Young's 2008 Global Information Security Survey begs the eternal question, depending on how you look at the numbers: Is the glass half full or half empty?

For example, the survey clearly shows that many companies may be slow to address growing security concerns, such as reliance on third parties -- partners, vendors and contractors. Only 45% of respondents include specific security requirements in all third-party contracts, but an optimist might say this reflects a trend in the right direction. One wonders if the other 55% write language into their more sensitive contracts that involve sharing confidential data or access to key systems.

The 11th annual survey by Ernst & Young (E&Y) polled nearly 1,400 organizations in more than 50 countries with annual revenues ranging from less than $100 million to more than $25 billion, as well as non-profits. Nearly a third of the organizations polled were in the financial services sector and 13% were in manufacturing, the second highest group.

The report comes on the heels of PricewaterhouseCoopers' annual Global State of Information Security Survey.

On a positive note, adoption of international information security standards is clearly trending up. Use of ISO/IEC 27001:2005 was up 15% over 2007 and ISO/IEC 27002:2005 rose 9% over 2007. The E&Y report stated that management standards, such as ISO 9000, have been adopted in certain industries where information security standards are becoming a necessity for doing business.

The survey also found that organizations are overwhelmingly planning to increase or maintain information security spending as a percentage of their total expenditures. The survey was conducted from June 6 to August 1, before the international economic crisis was in full bloom, so the question going forward is: What was the impact on total expenditures? It would be interesting to see the results if the survey was conducted now.

Interestingly, 50% of the respondents said organizational awareness was the most significant challenge to information security initiatives, edging out availability of resources, budget and addressing new threats and vulnerabilities. While the survey didn't specifically address training or awareness programs, only 19% of the respondents said they ran social engineering tests, while Internet and infrastructure testing is also common practice at 85% and 73% respectively.

While E&Y says regulatory compliance has been the leading driver for information security since 2005, it reports that protecting reputation and brand has become a significant driver as well. However, the question asked was not what drives information security initiatives and spending, but rather, what are the perceived consequences of security incidents? What is the "level of significance if information is lost, compromised or unavailable" Eighty-five percent of respondents said damage to reputation and brand was "significant" or "very significant," followed closely by loss of stakeholder confidence, loss of revenue, regulatory action and legal action.

Though the report cites compliance as a driver for raising security awareness and improvements, there's room for healthy skepticism about how much companies would do if they weren't compelled. Every car should have seatbelts, but how many had them before they were mandated?

Other key findings:

# Business continuity is an IT responsibility in 41% of the organizations, compared to 20% in risk management and 11% in information security. It would be interesting to see if this is trending toward or away from IT.

# Most organizations are unwilling to outsource key information security activities. This is somewhat interpretive. While two-thirds to three-quarters of the respondents are keeping things like vulnerability and patch management, incident response, DR/BC, security awareness training and e-discovery and forensics in-house, the majority are either outsourcing or planning to outsource security assessments, audits and pen testing.

# Few companies hedge information security risks with cyber insurance. Generally, around 10% of the organizations have some sort of insurance in one or more of eight information security-related areas, such as the cost of incident response or litigation, and few of the others have plans in the next 12 months. About one-third said they don't know, which leaves some potential for growth in the future.

Source: http://searchsecurity.techtarget.com/

Broadridge receives ISO 27001 certification for ProxyPlus

2008-11-05T11:41:00.000-05:00

This international certification specifically covers Broadridge's Information Security Management Systems (ISMS) for these flagship products, validating that the associated security policies for these applications have undergone in-depth testing and external audits. The new certification provides better protection and privacy for Broadridge's clients' data by ensuring that there is enhanced tracking and reporting on the company's security initiatives. Broadridge is distinguished among its competitors for its superior information security model and is one of only 77 companies in the United States that are currently ISO 27001 certified; of these companies, less than 10% are in the financial services industry.

Broadridge recognizes that the data processed by Broadridge on behalf of its clients is among its clients' most vital assets as it is confidential information related to their retail and institutional brokerage and investor communications activities. The certification adds yet another layer of security for Broadridge clients as they conduct their integral operations and transactions using key Broadridge applications to process this data. ProxyPlus is Broadridge's enterprise application that supports the core processing functions of Broadridge's proxy services, the company's largest business. Broadridge's BPS platform is one of the most robust securities processing engines in the industry for equities, mutual funds, and options providing real-time interfaces, as well as links to all major United States exchanges. Broadridge's impact solution is an integrated, online fixed-income securities transaction processing system, offering leading global financial institutions the ability to process fixed-income trades from order entry through to customized post-trade reporting. The certification of ProxyPlus, BPS, and impact offers the global banks and broker-dealers as well as corporate issuers and mutual funds whose data is processed using these three applicatiications, the assurance that Broadridge has created and implemented information security practices that are comprehensive and stringent enough to meet ISO standards.

The ISO 27001 Certification is designed to assist corporations with the development of a consistent methodology for implementing information security at the program level, as well as defining key control objectives designed to protect information assets. ISO 27001 is the only auditable international standard which defines the requirements to ensure that sufficient security controls are instituted within the certified organization. Additionally, maintaining the ISO 27001 Certification requires an annual review and three year re-certification. The continual scrutiny of Broadridge's ISMS in this manner provides confidence to clients that their data is protected on an ongoing basis.

"We are proud to have earned this certification and believe it reflects the dedication of our Information Security team to ensure that we have the highest level of controls in place when handling our clients' confidential information," said Mark Schlesinger, Chief Information Officer, Broadridge. "Data security is essential to the survival and stability of any organization and Broadridge's ISO Certification offers our clients a higher level of safeguard and protection for their information assets," Mr. Schlesinger added. To ensure that management is closely tied to ISO 27001 compliance, Broadridge has created a governance program that includes a management committee and has appointed information security champions in departments and divisions throughout the company whose job it is to support ongoing and timely security enhancements. This certification is just the beginning of what is envisioned as a multi-year plan to enhance and expand Broadridge's internal controls and security strategy.

Source: http://www.finextra.com

UK – Paternoster plans to achieve data protection compliance

2008-11-01T11:30:00.000-04:00

Paternoster has said it plans to be the first insurer to be certified for the data protection standard ISO 27001 following its Indian operations being passed as ISO 27001-complaint in June this year.

The certification process ensures the company adheres to the tight data security standards demanded by the global standard.

Source: http://globalpensions.com/

BTA Bank pioneered information Security Management System in Kazakhstan

2008-10-21T11:24:00.000-04:00

The FINANCIAL -- BTA Bank JSC is a sole bank in Kazakhstan to successfully introduce the Information Security Management System (ISMS) in compliance with ISO 27001 of the British Standards Institute (BSI).

ISMS covers BTA-Online system that provides entities with online banking services. Within this certification international experts have named BTA-Online the product with a highest level of protection.

ISO/IEC 27001:2005 certificate will enhance confidence of both investment companies and borrowers in BTA Bank to as regards its ability to protect information entrusted to it since the ISMS eliminates a risk of threat to information security.

ISO/IEC 27001:2005 specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented Information Security Management System. Only this standard can be used in a certification by an international standard that specifies requirements to the ISMS.

Development and introduction of the ISMS in compliance with ISO 27001 is a vital part of the IT strategy of Bank’s development and in general BTA strategy of turning into an international financial institution and raning among the major world’s banks.

Russia-based InformZaschita has designed the ISMS for BTA Bank JSC and introduced it.

Source: http://finchannel.com

"The Renaissance the Credit" has passed ISO 27001 certification

2008-10-20T19:39:00.001-04:00

«The Renaissance the Credit» has confirmed conformity of a control system with information safety to requests of international standard ISO/IEC 27001:2005. ISO/IEC 27001:2005 establishes requests concerning definition, introductions, managements, monitoring, an estimation, support and constant perfection of a documentary control system by information safety (further – SUIB). This standard is the only thing suitable for certification by the international standard defining requests to SUIB.

«The qualitative system of information safety is one of necessary and priority conditions of successful business dealing of the credit organisations, therefore we always watch closely conformity of our internal procedures to the international and Russian standards, – the Chairman of board of KB« has commented on the Renaissance the Capital »Alexey Levchenko. – In our bank one of the most advanced IT Infrastructures is created, and we should be assured of reliable protection of confidential data».

Procedure of certification of a control system by information safety has been executed by the British institute of standards (British Standards Institution, further BSI) - the most authoritative service provider of certification of Control systems in the international market. It is remarkable, that «the Renaissance the Credit» became the first bank certificated BSI in Russia and the second Russian bank, received the certificate of conformity ISO 27001.

It is necessary to notice, that «the Renaissance the Credit» has conducted preparation for certification independently, without attraction of foreign advisers that confirms high qualification of the experts supplying information safety of bank, and also active sharing of a management in safety issues. The bank is not intended to remain in current borders of certification and plans its further expansion for all basic business processes.

Source: http://fin-forex.com

NCR Facility Attains ISO/IEC 27001 Certification

2008-10-20T19:35:00.001-04:00

NCR Corp. announced its eCommerce Managed Hosting Services facility has achieved ISO/IEC 27001 certification recognizing the data center for meeting the International Standards Organization's exacting specifications for information security management. According to company officials, NCR's eCommerce Managed Hosting Services provides maximum secure protection of customer data for businesses running applications over the Internet."The ISO/IEC 27001 certification helps facilitate NCR's international expansion strategy to provide businesses in Europe and Asia Pacific with hosting solutions that deliver value for existing customer applications and help drive future capabilities including self-service and mobile transactions," said Chris Shea, NCR vice president, WCS Global Services Operations. "This certification explicitly underscores our ability to securely manage a customer's confidential data, provide highly compliant hosting services and address additional industry specific certifications and requirements."

The eight-month ISO/IEC 27001 certification process involved process documentation and numerous site audits by ISO inspection teams and BSI Management Systems, a management systems certification body.

"BSI was enthusiastic about the commitment and resources NCR implemented to ensure compliance with the rigorous ISO/IEC 27001 certification requirements," said Todd VanderVen, president of BSI Management Systems America. "With high standards of security, availability and risk management practices in place, NCR is well-positioned to provide customers with information security management processes and has established a structured framework to promote continuous improvement in meeting the specific needs of its diverse customers."

Source: http://www.tradingmarkets.com/

M I G awarded ISO 27001

2008-10-14T19:47:00.000-04:00

ISO Certifications awarded to M I G Investments for meeting quality and security standards
M I G Investments has been awarded the ISO 9001:2000 certification in recognition of its standardized Quality Management best-practices, and the ISO 27001:2005 certification for standardized Information Security techniques. The move comes as M I G Investments leverages its international expertise as a major Swiss, online FX broker by bringing customers quality services, innovation, technology and high security standards.

Source: http://www.forex-blogs.net/

Affinion Group Receives ISO Certification

2008-10-11T19:15:00.000-04:00

The Affinion Group, a global leader in affinity marketing, has been awarded the esteemed ISO 27001 certification, the highest international standard for information security management in the world.

The group was lauded for their high information security practices and policies. Due to the global affinity marketing firm’s dedication to shield its clients from identity theft and scammers, the Affinion Group is the only company in the industry and one of the 50 companies in the United States that was given the prestigious ISO 27001 Certification. Only 4,100 companies all over the world hold the same recognition.

Apart from the Affinion Group, other U.S. organizations that share the same commendation are Sun Microsystems, Bechtel Corp., Reuters America, The World Bank, Citigroup Technology, and Xerox Corp. among others.

The ISO Certification establishes Affinion’s longstanding commitment in seeking innovations that would further improve information security and reduce the incidences of identity theft and scams in their industry. Robert G. Rooney, Vice-President of the Affinion Group, stated the company strives to “raise the bar for the practices in our industry.”

An ISO certification indicates that a company has put into practice an information security management system that surpasses even the strictest security standards on a global scale.

The following are several factors that contributed to Affinion’s ISO Certification:

Implementation of best practice across all information security domains;
Putting up of a strong security outline that entails operation, monitoring, review, maintenance and development;
Systematic management of incidents with clear and timely escalation paths.

With its ISO certification, the Affinion Group has a strong foundation from where they could base their information security framework for 2008.

Operating for 35 years, the Affinion Group continues to enhance the value of its partners’ customer relationships by strengthening and marketing valuable loyalty, membership, checking account, insurance and other compelling products and services.

View the source press release from the Affinion Group.

EOL earns its fourth ISO accolade

2008-10-10T19:12:00.000-04:00

VAR EOL IT has bagged an International Standards Organisation (ISO) certification in security management and plans to use it to push into the public sector.

The firm has completed certification for the ISO 27001 for information security management systems, which less than one per cent of all UK firms have so far completed.

This brings the firm’s number of ISO qualifications to four; the others being ISO 18001 for occupational health and safety management, ISO 9001 for quality administration systems and ISO 14001 for environmental management systems.

Richard Parker, managing director of EOL IT, said: “This latest ISO is all about data security. A number of our competitors have this, but the immediate benefit for us is when tendering to clients.”

Parker added that the firm intends to go for larger public sector contracts now that it has four ISO standards. “There is only one other firm that I know in our sector with all four ISO certifications. It is all about putting in best practice to the business.”

Source: http://www.channelweb.co.uk/crn/news/2227374/eol-earns-fourth-iso-accolade-4253635

ISO-27001 Quick Reference

2008-10-09T19:44:00.000-04:00

I waffle on about this thing a lot - because I like it.

The fundamental triangle of all ISO business standards now rests upon ISO9001, ISO14001 and ISO27001. The documentation is meant to be structured in such a way that the “01″ document is the standard and the “02″ document is the guide. So ISO27001 is the standard and ISO27002 is the guide to that standard (neat).

Here’s a handy spider diagram that gives you all the headings from ISO27002. I use it as a quick tick list to guide people towards making a “scope of applicability” for their business security needs.

Note that the headings go from (4) to (15)…there is no (1) to (3)…this is one of the great unfathomable mysteries of ISO. We are unworthy of controls (1) to (3), perhaps in an afterlife these ultimate truths will be revealed to us…or maybe they just forget to include them, I dunno…

Anyway, I hope some folk find this useful

Source: http://ipvideo.ie/

ISO 27000 Serie Update!

2008-10-03T15:40:00.002-04:00

The ISO/IEC 27000-series numbering (“ISO27k”) has been reserved for a family of information security management standards, similar to the very successful ISO 9000 family of quality assurance standards and derived from a British Standard called BS 7799.

The following standards are either already published (shown in red) or works in progress:
ISO/IEC 27000 - will provide an overview/introduction to the ISO27k standards as a whole plus the specialist vocabulary used in ISO27k. Once approved by the members of ISO/IEC JTC1/SC27, it should be published later this year.
ISO/IEC 27001:2005 is the Information Security Management System requirements standard (specification) against which over 4,700 organizations have been certified compliant.
ISO/IEC 27002:2005 is the code of practice for information security management describing a comprehensive set of information security control objectives and a set of generally accepted good practice security controls.
ISO/IEC 27003 will provide implementation guidance for ISO/IEC 27001.
ISO/IEC 27004 will be an information security management measurement standard to help improve the effectiveness of your ISMS.
ISO/IEC 27005:2008 is a new information security risk management standard released in June 2008.
ISO/IEC 27006:2007 is a guide to the certification or registration process for accredited ISMS certification or registration bodies.
ISO/IEC 27007 will be a guideline for auditing Information Security Management Systems.
ISO/IEC TR 27008 will provide guidance on auditing information security controls.
ISO/IEC 27010 will provide guidance on sector-to-sector interworking and communications for industry and government, supporting a series of sector-specific ISMS implementation guidelines starting with ISO/IEC 27011.
ISO/IEC 27011 will be information security management guidelines for telecommunications (also known as X.1051) and will be released soon.
ISO/IEC 27031 will be an ICT-focused standard on business continuity.
ISO/IEC 27032 will be guidelines for cybersecurity.
ISO/IEC 27033 will replace the multi-part ISO/IEC 18028 standard on IT network security.
ISO/IEC 27034 will provide guidelines for application security.
ISO 27799, although not strictly part of ISO27k, provides health sector specific ISMS implementation guidance.
Other ISO27k is a holding page with preliminary information on more ISO27k standards including sector/industry-specific ISMS implementation guidelines whose scopes and ISO27k numbers have not yet been determined.

The names and content of as-yet unpublished standards may well change prior to their publication, especially the early drafts.

Source: http://www.iso27001security.com

1st ISO 27001 certification in France for security audits of IT systems

2008-09-24T08:16:00.000-04:00

Solucom, leading player in IT security, has just received certification to ISO/IEC 27001:2005 for its auditing services of the security of IT systems.

This internationally recognized certification guarantees the implementation of a management system and both organizational and technical security measures. It involves a regular reassessment of risks and facilitates continuous improvement. Solucom’s auditing service was audited and certified by LSTI[1], which is accredited by COFRAC[2].

Laurent Bellefin, Director of Security Operations at Solucom states that, “This is the first 27001 certification in France for security audits of IT systems[3]. We carry out more than a hundred audits annually, which involves handling sensitive client data. The certification and the regular, independent follow-up inspections are our clients’ guarantee that we are outstanding in the protection of the data they provide us.”

Obtaining the certification also enhances what Solucom has to offer in risk management consulting. Gérôme Billois, Security Manager, adds, “This certification demonstrates our commitment to ISO 27001 and our skill in implementing it. It is yet a further proof of our ability to support our major account clients in their own plans for certification or implementation of the standard.”

In France ISO 27001 is eliciting major interest among big companies. “Implementing the standard lets you formalize your security initiatives and ensure you are on top of the risks and constantly improving, which are essential points in today’s governance,” adds Gérôme Billois.

eHosting DataFort Achieves ISO 27001

2008-09-23T15:55:00.000-04:00

Region's Leading Service Provider Enhances Customer Confidence by Implementing International Security Standard Across Business Units

Dubai: 23 September, 2008 - eHosting DataFort (EHDF), the region's leading IT outsourcing service and consulting services provider and a member of TECOM Investments, today announced its internal business units have successfully implemented the ISO 27001 Information Security Management System (ISMS), an international standard for addressing information security concerns.

The decision to implement the management system across all departments including its Data Centres and security operations confirms eHosting Datafort's continual commitment towards its customers by improving the security of business information, making it the first ever service provider in the region and among a select few worldwide to implement such a system throughout the organization.

Implementing ISO 27001 comes as part of eHosting DataFort's certification process in establishing a Corporate Governance and Management System (CGMS) program which includes a host of international standard certifications including the ISO 20000, ISO 9000 and BS 25999. These certifications will be effective across business units at eHosting DataFort shortly.

Mohamed Fouz, CEO of eHosting DataFort, said: "Information security is a critical component of our business. Protecting business information through a robust security management system using effective security controls is a key management responsibility."

eHosting DataFort's initiative comes as a proactive response to providing customers a more agile and secure infrastructure through establishing the Corporate Governance and Management System program, considering the recent security breaches that have affected businesses across the region.

"Implementing ISO 27001 and complying with international standards will enhance the customers overall confidence in eHosting DataFort," added Fouz.

Ahmed Baig, Manager, Security Consulting at eHosting DataFort, said: "Many organizations believe that securing their IT systems will guarantee the security of critical information. But as many organizations have realized, security breaches are the result of absence of governance including processes and controls. eHosting DataFort is not only committed to raising the level of security standards in the region, but also firmly believes in living up to its commitment of providing reliable and secure services to its customers."

eHosting DataFort's consulting team has also successfully implemented ISO 27001 at Dubai Aluminum Company (DUBAL), Kuwait National Petroleum Company (KNPC), and more recently, at the Emirates Identity Authority (EIDA).

Committed to promoting information security within the region, the team at eHosting DataFort manages a 24/7 Security Operation Centre for monitoring and managing the security of leading organizations across the MENA region.

In fact their Corporate Social Responsibility (CSR) objective focuses on spreading awareness of information security and technology amongst the community focusing on Schools, Universities and Government/Public sectors through the Marifaty (My Knowledge) and Muthabara (Persistence) programmes.

eHosting DataFort offers consulting and advisory services in Information security, IT service management, business continuity and quality management systems.

Health information security standard issued

2008-09-23T15:39:00.000-04:00

In an effort to help protect personal health care information, the International Organization for Standardization (ISO) has published a new standard that specifies controls for managing health information security and utilizing best practices.

According to an ISO statement, the new standard - ISO 27799:2008 - applies to all health information in “whatever form the information takes, whatever means are used to store it and whatever means are used to transmit it.”

This new standard, announced in late August, addresses the use of internet and wireless technologies to share personal medical information, and the need to better protect confidentiality and keep data private.

“An important consideration was the adaptability of the guidelines, bearing in mind that many health professionals work as solo health providers or in small clinics that lack dedicated IT resources to manage information security,” the statement said.

Richard Rushing, CSO at wireless security firm AirDefense, told SCMagazineUS.com on Wednesday that the standard shows that many organizations have the same issues and that similar guidelines should be followed.

“If followed, it would make information more secure,” Rushing said, “but there is usually nothing that specifically states that it is to be followed, except for maybe an audit that may have occurred sometime in the past.”

The ISO standard will do things that Health Insurance Portability and Accountability Act (HIPAA)-related laws cannot do, said Rani Osnat, vice president for marketing with Sentrigo, a database security company.

“HIPAA protects privacy, but it is not an IT standard,” Osnat told SCMagazineUS.com. “It doesn't do anything to protect data from an IT standpoint. This ISO [standard] will provide a much-needed benchmark for health organizations to follow to encourage better IT security.”

Source: http://www.scmagazineus.com

Press Release - New Brand

2008-09-22T21:09:00.000-04:00

New York, September 22th – Axur and Realiso Corp. announce that from this date, Axur ISMS solution has a new brand and is called Real ISMS, property of Realiso Corp.

Please update your bookmark. Get access to Real ISMS site at www.realiso.com/realisms

For more information please contact us at contact@realiso.com

Realiso Corp.

626, Glenn Curtiss Blvd - Uniondale

New York, USA

Innominds software Receives ISO 27001 Certification

2008-09-15T15:52:00.000-04:00

United States of America (Press Release) September 15, 2008 -- Innominds Software, a leading provider of Software Product Engineering Services has received the ISO 27001:2005 Certification for its information security management system from Certification International UK, accredited by United Kingdom Accreditation Service (UKAS). These certificates validate that the services and security management of Innominds adheres to the highest standards in the world. With this, Innominds is among the few companies globally to be awarded the ISO 27001:2005 accreditation.

ISO 27001 is a management system that identifies, manages and minimizes a range of threats to business information. It provides guidelines for implementing a constructive risk management process, setting up policies, and ensuring a secure infrastructure is in place. This standard shows that a business has taken preventative measures to protect clients' data, and demonstrates to customers and prospects that the business is observing a duty of care.

Commenting on the accreditation Mr. Divakar Tantravahi, MD, Innominds said, “Receiving ISO 27001:2005 certification is an important milestone for our global business. As a Product Engineering service company, its imperative we have robust process in place to protect the Intellectual Property (IP) of our customers and this process helps us to ensure the confidentiality, integrity and availability of information and information processing infrastructure to protect the interests of all the stakeholders and also the physical, environmental, data and network security for our premises”

“This certification is important as it generates client confidence in the solution provider. As Innominds gears to deliver more services from its offshore locations in India, it is important that it generates confidence in handling data securely.” he adds.

About Innominds:

Ranked among Global Software 500 (source: Software Magazine 2005), Innominds Software is a specialized Software Product Engineering Services provider based out of San Jose, CA with offshore development center in Hyderabad. Innominds is ISO 9001: 2000 certified and its development methodology directly addresses the toughest challenges faced by the product engineering management who are aspiring to fuel innovation and mitigate business, financial and technology risks. For more information, visit the company's website www.innominds.com

Is information security important to your enterprise?

2008-09-15T15:47:00.000-04:00

Arun Gupta, Customer Care Associate & CTO of Shoppers Stop Limited asks does the responsibility for protection of information remains relegated to the IT organization or the CIO at best

BANGALORE, INDIA: The question "Is information security important to your enterprise?" asked of any CEO, CFO or even a board member will evince open mouth responses akin to challenging their basic foundational beliefs, the way George Orwell classic raises a fundamental 2+2=4! Off course, it is. But ergo their inability to demonstrate their actions to support the response belies the response. In real life, the responsibility for protection of information remains relegated to the IT organization or the CIO at best.

Through the ages, information has been equated with knowledge and power it bestows on the holder. In the current information age, it has become increasingly a challenge to protect it. The combination of distributed, fragmented storage and replication on multiple computing devices like the desktops/laptops, mobile devices and sharing by multitude of applications creates many points of potential breach. It's not always for gain that information leakage or destruction happens, but many times wilful destruction is attempted by disgruntled elements. Many a time, it is a demonstration of the power of knowledge that "You are insecure and at my mercy". In the last few years, this has been used for corporate blackmail too.

Enterprises value information and many are paranoid about it. This is evident in the access control mechanisms implemented by almost every IT organization. Volumes have been written about information security and many companies have created business models around providing tools, technology and best practices that can be implemented to protect the valuable information assets. Their efficacy remains a topic of heated discussion depending on the frame of reference.

Thus the challenge of information security has become a much debated topic in the IT fraternity and by virtue of that spawned service providers who use different tactics including the most elemental of all emotions "fear" to vend their products and services. Standards exist and are adopted to protect information (BS 7799, ISO 27001, etc); certification is expected to portray a secure organization. Formalized information asset classification and layers of protection offer some degree of comfort and protection.

CIOs thus continue to face the challenge to create and enforce policies that are unpopular with the rest of the organization as they impose restrictions on information access. Complex set of rules enumerating do's and don'ts impede users of information, internal as well as external. Many technologies are deployed at the fringes to lock down all possible avenues of access to the external world. This is despite the fact that most breaches occur not always in electronic form and due to negligence, internal process failure or by people working within, as demonstrated by many surveys conducted by umpteen agencies.

Industries that are governed by regulation around information security like Banking & Insurance, Pharmaceutical and Medical, undertake systemic programs spanning the enterprise to protect their information assets. A few FMCG and other consumer goods companies too have created framework to protect their formulae or designs that are their IP or that gives them a short to mid-term competitive advantage.

There are many avenues through which information moves out of the company. Over the lifetime of an employee, she comes into contact with all types of information in physical and electronic form, which is used for conducting business activities and taking decisions. The information gets printed, stored, absorbed, replicated, and transmitted internally as well as externally. With no control on the instances of the information, it is virtually impossible to protect it in all its variants. With attrition, employees walk away with knowledge locked inside their minds with no feasible way to monitor or control the flow.

At the same time, it is relatively easy to monitor and supervise access control. Many security vendors have however demonstrated that social engineering can overcome such policies and gain access at free will. Printed information lends itself to pilferage especially with organizations' inability to control the proliferation of printing devices. Every meeting that distributes printed sensitive information multiplies the risk.

In its physical form, information ownership rested with the creators and users, the individual functions like Marketing, Finance, Executive offices and Human Resources. Each distinct part of the company worked towards keeping information secure, not the Administration function which provided the paper in which it was created or the photocopying machines using which it was replicated for distribution. So who should be the custodian of information? Technology facilitates storage in electronic form akin to what paper did in the past before IT became ubiquitous in every organization. Most Risk Committees discuss information security with a bias that it's an IT issue thereby missing the point completely.

Thus, the question that haunts is, is the mantel of information protection rightly placed on the head of the CIO? Is the IT organization the only protector of the wealth created by information? Is electronic data the only way that information is created and stored in the enterprise? If information is a strategic asset, does the onus of protection make the CIO a strategic CXO or a convenient scapegoat under the guise that no one else understands the complexity of the technology required to protect the family jewels?

If information is indeed one of the key assets of a company, why does information security remain unaddressed systemically by the Management? Why are not other CXOs responsible for the information they create and consume? IT can set the process, educate the employees, deploy the tools, but cannot enforce compliance, like the proverbial horse and the well story. Thus security budgets remain challenged and ROI remains elusive for most of the implementations because there is no ROI. You take insurance but no one wants to die!

The perceived role of the CIO and the IT function here demands scrutiny. The security organization has evolved within IT and worked towards addressing the securing of information. The CISO role grew to cover hardware, networks, applications and operational data that manifested itself across the enterprise. Policies and processes addressed these issues, but business demanded exceptions to address market dynamics. Limitations thus placed on the CISO working under the CIO straightjacket the smooth functioning and implementation in the spirit with which the security was defined. This is similar to the pains faced by Internal Audit teams working under the aegis of Finance.

It is time now to unshackle and for the CIO to involve the CEO, CFO and the CPO (Chief People Officer) to collectively create a movement towards a secure organization by addressing the people, process and technology, the three cornerstones of any successful initiative. The group needs to drive home the point that they individually and collectively, are responsible for the implicit and explicit security of the IP contained within the information. It should be on the agenda and KPIs of the management team and reviewed frequently.

Information Security is too important a function and has implications that people talk about when it happens to others, while not believing that it could happen to them too. The ostrich approach will not will away the issue. Let the CISO be accountable to the Management team and they to him. This will also make the CIO focus on what matters and not operational issues relating to the basic security hygiene which everyone expects.

SAVVIS UK is awarded ISO 27001 security standard

2008-09-15T13:10:00.000-04:00

LONDON, Sep 15, 2008 (BUSINESS WIRE) -- SAVVIS UK Ltd, a leader in IT infrastructure services for business and government applications, has achieved the ISO 27001 security certification standard across its EMEA operations and data centres. The accreditation reinforces its commitment to IT security, business continuity management and ISO compliance.

The certification was extended to include SAVVIS' new Slough data centre, which will open in early October 2008. Based on the outskirts of central London, the facility boasts 24x7 advanced robust physical and logical measures including weight-sensitive entrance floor panels, 'man traps' and biometric scanning.

ISO 27001 is an internationally recognised standard for information security management that uses a continual improvement approach. The requirements of the certification focus on the security policy, physical and environmental security, access monitoring, adherence to legal requirements and internal processes of companies, as well as business continuity management.

With several recent high profile data loses reported in the UK, IT security is increasingly at the forefront of IT strategy for many enterprises, including SAVVIS' blue chip and government client base, which spans the government and legal, financial, retail, media sectors, amongst others. SAVVIS' data centres are built with multi-layer access levels and numerous parameters, as well as business continuity measures, providing a highly secure environment in which to host vital business applications and data.

"To achieve the ISO 27001 accreditation for the second consecutive year demonstrates SAVVIS' ongoing commitment to providing the highest level of security to its clients," said Richard Warley, International Managing Director for SAVVIS. "The protection of our clients' information is of utmost importance to us. The accreditation reassures our clients that we are a leading provider of IT security as well as managed hosting and network services."

Source: http://www.marketwatch.com

Systems, Visionet receive ISO/IEC certification for outsourcing centres

2008-09-13T15:44:00.000-04:00

LAHORE: Systems Limited and its US subsidiary Visionet Systems Inc’s Business Process Outsourcing Centres in Lahore and Karachi recently underwent an audit of their Information Security Management Systems (ISMS). The audit was conducted by Moody’s International (Pvt) Limited and as a result, Systems Limited and Visionet Systems have received ISO/IEC 27001:2005 certification for their outsourcing centres.

According to a statement, the company appreciated the efforts of its process implementation team and the 350-member outsourcing team, for the hard work and dedication that led to the achievement of this milestone. It also acknowledged the support of the Pakistan Software Export Board in this regard.

Systems Limited management pledged that it would continue its efforts for further improving its ISMS programme, in order to ensure that its information processing centers and the information assets with which they are entrusted by its clients from Pakistan, Canada, USA and Europe, would continue to be protected and kept secure and confidential.

The company expressed belief that this achievement would further strengthen its business ties with national and international clients and help Systems Limited to make significant contributions to the growth of Pakistan’s information technology exports.

Source: http://www.thenews.com.pk

Netmagic attains ISO 27001 certification

2008-09-08T15:32:00.000-04:00

MUMBAI, INDIA: Netmagic Solutions announced that three of its premier data centers in India have received the ISO 27001 certificate from BSI India, the subsidiary of the British Standards Institute.

Sharad Sanghi, CEO and Founder, Netmagic Solutions said, "Netmagic is expanding aggressively in the country and has recently announced the opening of the company's largest data center till date in Vikhroli, Mumbai. We have always provided services and solutions of highest standards to our customers. We have received this certification for three of our data centers in total in Mumbai and Bangalore.This has reinforced our commitment to provide quality services to enterprises globally."

In response to the growing demand for managed hosting services and datacenter services, Netmagic has been expanding rapidly in the country after the recent funding of Rs 80 crore raised from Fidelity International and Nexus India Capital. Netmagic Solutions currently specializes in Internet data centers, managed hosting, remote infrastructure monitoring and management, and mail and messaging services.

ISO/IEC 27001 is a part of a growing family of ISO/IEC standards. The 'ISO/IEC 27000 series' is an information security management system (ISMS) standard published in October 2005 by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC).

The ISO/IEC 27001 certification deals with establishing, implementing, operating, monitoring, reviewing, maintaining, and improving an information security management system (ISMS). Since a data center hosts critical data, a sophisticated and rigorous ISMS is absolutely essential. Certification by an independent third party gives the confidence to the customers of Netmagic that their data is safe and secure within the company.

Source: http://www.ciol.com/Channel-

New ISO Standard Focuses on Health Information Security Management

2008-09-02T15:38:00.000-04:00

A newly published standard from the International Organization for Standardization (ISO) helps to safeguard the confidentiality of personal health information by providing guidelines for the management of health information security. ISO 27799:2008, Health informatics - Information security management in health using ISO/IEC 27002, is applicable to many different types of records and ways of storing and transmitting information, offering a set of detailed controls for healthcare organizations of all sizes.

This new standard builds upon the principles set forth in ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice for information security management. Developed jointly by ISO and the International Electrotechnical Commission (IEC), ISO/IEC 27002:2005 provides guidelines for organizations from any industry sector to initiate, implement, maintain, and improve information security management practices.

The development of ISO 27799:2008 was guided by healthcare professionals who contributed their expertise on the specific application of ISO/IEC 27002:2005 guidelines to health information management.

ISO Technical Committee (TC) 215, Health informatics, led the development of ISO 27799:2008. Since the committee's formation in 1998, TC 215 has published 48 International Standards that help to achieve compatibility and interoperability between independent information and communication technology (ICT) systems. The U.S. has held the secretariat of this committee since its inception, and the Healthcare Information and Management Systems Society (HIMSS) has performed the secretariat duties since 2003. In addition, HIMSS serves as the Administrator of the American National Standards Institute (ANSI)-accredited U.S. Technical Advisory Group (TAG) to TC 215.

For more information on ISO 27799:2008, see the ISO news release. The Healthcare Information Technology Standards Panel (HITSP) is currently running a series of free educational webinars that aim to build awareness of the work that is currently underway to support the exchange of healthcare information in the United States.

Three more webinars remain in the series. The next session, Electronic Health Record (EHR) and Emergency Response, will take place on Thursday, September 4, from 2:00 p.m. to 3:30 p.m. For more information, visit www.hitsp.org/webinars.aspx.

About HITSP

Operating under contract to the U.S. Department of Health and Human Services (HHS), HITSP is administered by ANSI in cooperation with strategic partners including HIMSS, the Advanced Technology Institute (ATI) and Booz Allen Hamilton.

Source: http://news.thomasnet.com

ANALYSTS SAY STATE MUST INVEST IN ONLINE SECURITY

2008-08-13T15:34:00.000-04:00

CAIRO: While the boundaries of Gaza and Kashmir garner far more headlines, a less tangible set of borders are proving to be almost equally vital to state security: those that govern the sprawling fields of data on the internet.

Under a set of global security standards known as ISO 27001, nearly 90 percent of Egyptian state information systems are not secure, said Hassan El Meligy, director of assistance and automation as Megacom, an 11-year-old information technology consulting firm. In most cases, nearly half of the standards on the list are unmet, he said.

Megacom works with a range of banks, manufacturers, small businesses and state agencies here, and often insists on using international standards to figure out how protected their clients are. “Because we are connected globally, anyone can steal information,” El Meligy said.

The sort of online nastiness that can befall a state already has a number of precedents. In August this year, hackers paralyzed Georgian state websites just as Russian tanks pushed across the country’s physical borders. And shortly after Estonian officials talked of removing an old Soviet monument from the capital Tallinn in 2007, state websites were smashed by a wave of “denial of service” attacks.

The physical route of a country’s internet contact is important. Georgia’s websites were particularly vulnerable because much of their connection is wired through Russia. An article published in The New York Times yesterday pointed out that the shift of internet paths to other countries has American intelligence worried over their ability to monitor global flow of information.

A country’s economic and political interests are often intertwined, and it is still businesses, such as banks, that make up the bulk of hackers’ targets.

The interaction between public and private is often complex. In many cases, companies are reluctant to let local competitors catch a glimpse of sensitive information, so they reroute their networks through service providers in other countries, as with Egypt’s internet through Europe. The risks of this became obvious when a submarine snapped cable in the Mediterranean last January, dragging connection speed to a crawl for several days.

While both local and global companies are sprouting up in Egypt to deal with these issues, the state should also do more to make firms abide by standards, El Meligy said. In his opinion, this is not much different from forcing companies to follow fire codes.

“You don’t have a fire every day, but you could face a hacker every day,” he said. “The government should apply security standards.”

Online crime has grown organically with the internet. While many early web lawbreakers acted mostly to see what they could get away with, the image of the lone, basement-dwelling hacker has since morphed into something closer to a mafia don: Complex online groups with multilayered bureaucratic — and non-technical — structures now function essentially like other organized criminals, as with one Russian group busted in 2004 after unleashing a series of “denial of service” attacks.

Now many use tools like botnets, or collections of automatically-run software, to plunder online accounts, alter public records, glimpse sensitive information and then blackmail its users, or disrupt the day-to-day work of businesses and governments.

Some examples of large attacks include “Code Red” in 2001 and the “SQL Slammer” in 2003 — both based on worms, or self-replicating programs used to jam the bandwidths of targets.

Many companies and state bodies are also becoming worried about insiders. The threat that disaffected employees could ransack company data or that a sensitive spreadsheet could be intercepted from an unsecured wireless network is becoming graver as more people work outside the office, according to many in the industry.

As the stock exchange expands here, and firms as diverse as automotives and tourism reach outside of Egypt, businesses and the state will continue to march steadily online. The profits are potentially huge, but so are the risks.

There is plenty of ground to cover. At a conference on internet security held by the International Data Corporation last week, one speaker asked how many in the crowd had heard of the SQL Slammer. Only two raised their hands.

El Meligy pointed to local culture. While Egyptians are becoming more aware of the threats posed online, many are used to leaving the doors of the offices and homes open to visitors, and are thus reluctant to shut themselves off, he said. “Everything is open [in Egypt],” he said. “People consider computers in the same way.”

Dubai Bank gets ISO award

2008-07-30T15:31:00.000-04:00

DUBAI - Dubai Bank, a Dubai Group company, has announced its Information Security Management System (ISMS) has been accredited at the highest possible level, receiving ISO 27001:2005 certification. This is an all-encompassing international standard, designed to protect and improve the security of financial information and transactions for the bank and its customers. The accreditation endorses Dubai Bank as being ultimately modern and reliable to its customers in terms of protection of information, meeting top international level requirements.

Accredited ISO auditors TUV Rheinland ME FZE assessed Dubai Bank’s compliance with the various requirements for certification and after conducting the audit, the team recommended the issue of a certificate of compliance, which was received by Dubai Bank on June 25, 2008.

Dubai Bank’s CEO Salaam Al-Shaksy said: “This is yet another accomplishment in line with Dubai Bank’s quest for continual improvement and customer satisfaction. Being ISO-certified is an important achievement for any business in this day and age. Dubai Bank has received the highest accreditation available today for information security, a vital step forward in line with the demands associated with modern technology and the risks attached thereto.”

Chief Risk Officer of Dubai Bank, Pravin Kandhari said “today’s customers are better educated, and they understand the risks of living in a constantly connected world, so they have higher expectations of service quality and security. Dubai Bank’s ISMS was developed to address the needs of control standards and system compliance.”

Source: http://www.saudigazette.com.sa

Tata Communications Attains ISO 20000 and 27001 Certifications for Managed Services and Data Centers

2008-07-28T15:29:00.000-04:00

Tata Communications (NYSE:TCL), a leading provider of the new world of communications, announced today that it has successfully attained the International Organization for Standardization (ISO) 20000-1:2005 and 27001:2005 certifications for its Global Managed Services Operations in the areas of Managed Hosting, Managed Storage Services and Hosted Messaging Services. The company's data centers in India have attained the ISO 27001 and renewed the ISO 14001 certifications. These certifications represent another milestone in Tata Communications' path to securing a leadership position in the hosting and managed services space.

ISO is the entity responsible for developing and publishing standards across a variety of business, government and societal subjects. The ISO 20000 and 27001 certifications validate that basic operational best practices are followed in the areas of customer service and security, respectively. ISO certifications serve as a trusted and authoritative element of the standards-based foundation from which Tata Communications delivers managed services.

"The managed services offered by Tata Communications are characterized by complexity and high levels of information security," said L. Shekar, Vice President, Global Managed Services, Tata Communications. "ISO certifications will help us to significantly scale up our Global Command Center operations and will lead to a consistent and improved customer experience, positioning our company as a true global player in the managed services domain."

Tata Communications owns and operates data centers located across three continents, all centrally managed by the Managed Services Operations Center (MSOC) in India. The ISO certification can externally substantiate the fact that all operational processes at the Tata Communications MSOC are built for compliance with the IT Infrastructure Library (ITIL), the prescribed manual for managing IT infrastructure, development, and operations.

"Tata Communications continues to pursue a leadership position among global managed hosting and storage service providers," said Abid Qadiri, Vice President, Data Center and Application Services, Tata Communications. "Our continued data center expansion in the US, UK, Asia and India, in addition to our portfolio expansion in the areas of virtualization, IBM AIX support, application management and server clustering are some of the key milestones planned to achieve this leadership. Attaining industry-leading certifications and participating in compliance reviews such as ISO and SAS-70 for our worldwide data centers is an integral part of our overall global strategy."

Tata Communications offers a full suite of managed IT infrastructure services ranging from colocation to managed hosting and managed storage services, all of which are administered from highly secure locations within its global Tier-1 IP backbone, with a footprint spanning over 100 countries. Tata Communications' corporate vision is to help businesses grow through IP enablement solutions. The fulfillment of this goal is a strategic road paved with the pursuit to confront and excel at the most contemporary, elite and rigorous technology and industry benchmarks.

For further information on the ISO certification and standards details visit www.iso.org/iso/iso_catalogue.

For more information on Tata Communications suite of managed service solutions visit www.tatacommunications.com.

National Bank of Azerbaijan to complete transition to ISO/IEC 27001 in autumn

2008-07-25T16:28:00.000-04:00

Baku. Vugar Mustafayev-APA-ECONOMICS. International auditor KPMG will complete the National Bank of Azerbaijan’s Phase 1 transition to the ISO: 27001 Information Security Management Standard, said the central bank’s IT officer Ilham Hasanov.

ISO/IEC 27001 is the only auditable international standard which defines the requirements for an Information Security Management System (ISMS). The standard is designed to ensure the selection of adequate and proportionate security controls.

The standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving your ISMS.

The project will be accomplished in early November, 2008. The new standard will help protect information assets and give confidence to any interested parties.

Corporate responsibility a crucial element for Ricoh Malaysia

2008-07-18T15:24:00.000-04:00

RICOH (M) Sdn Bhd sees corporate responsibility (CR) as a crucial element in its business processes and corporate values to make it a business partner of choice for other organisations, says business development division unit head Frankie Yun.

“Ethical business practices as well as social and environmental standards are now being looked upon as pre-conditions for doing business, especially international business.

“Companies should no longer look upon CR as being a part of any legal requirement. Besides profits, companies are also expected to focus on people and the planet,” he told StarBiz.

Ricoh Malaysia is one of the partners for the StarBiz-Institute of Corporate Responsibility (ICR) Malaysia awards presentation dinner on Aug 22. It is a CR Event Supporter under the workplace category.

“Ricoh Malaysia believes CR should be an integral part of a company’s values and conduct. As an event supporter, our objective is to assume responsibility for CR and highlight its importance to corporate Malaysia,” Yun said.

Frankie Yun

The office equipment maker has established a Corporate Social Responsibility Charter and Responsible Activities as a Corporate Citizen as CR initiatives.

These are summarised in four areas: integrity in corporate activities, harmony with the environment, respect for people and harmony with society.

According to Yun, the essence of the CR initiatives is to promote a CR-driven organisation and enable Ricoh Malaysia to gain society’s trust thus resulting in steady growth and development for the group.

Some of Ricoh Malaysia’s CR activities include turtle preservation, tree and mangrove replanting, beach cleaning as well as recycling toner cartridges and bottles into benches.

In addition, Ricoh Malaysia has also put in place many employee welfare programmes.

As part of its Integrity in Corporate Activities initiative, Ricoh Malaysia has embarked on achieving the ISO 27001:2005 certification under Information Security Management System (ISMS) by this fiscal year.

“This will help to enhance the security of our information management system and also the protection of personal information.

“We are committed to offering our customers reliable products and services to gain their absolute confidence,” Yun said.

The group is also expanding its CR initiatives to include business partners and educational facilities as part of its efforts to create a sustainable society.

This is reflected in the group’s latest effort with Inti International University College for the setting up of an E-Resource Centre within the campus to expose students to real life business environments.

Yun said this would provide and equip undergraduates with the relevant technical skills and exposure to cutting-edge information and communications technology.

Source: http://biz.thestar.com.my/news/story.asp?file=/2008/8/18/business/1774944&sec=business

Become Confident in Your ISO 27001 Practices

2008-07-14T16:06:00.003-04:00

Managers who claim that their organizations comply with ISO/IEC 27001:2005 but that they see no need to go through the bureaucracy of getting the ‘badge on the wall’ are only deceiving themselves. The reality, I suspect, is that the vast majority of organizations that won’t submit their Information Security Management Systems (ISMS) to an external audit against ISO 27001 fear that, when it comes to the push, their systems would fail the test. Survey after survey tells a depressingly familiar information insecurity story. Most recently, the 10th annual CSI/FBI survey revealed that, amongst the security-conscious, information security control-focused members of the CSI, computer crime continued to have a significant financial impact. The average incident last year cost $204,000, and the top two security breaches were through virus attacks and unauthorized access – both of which are comprehensively controlled through the controls and management systems mandated by ISO 27001.

ISO27001 Effectively Manages Data Security

This evidence, combined with the findings of a recent survey carried out amongst UK-based organizations that ISO27001, suggests – somewhat contradictorily – that securing information is rarely the primary driver for achieving certification. The top reason was commercial advantage, summed up by one respondent who said that a certificate ‘gives customers confidence that our data security is well managed and certified by an independent source.’
And it’s that certification ‘by an independent source’ which is the real benefit of pursuing ISO 27001 in the first place. US regulators implicitly recognized the importance of external validation for information security effectiveness when they observed that: ‘the best way to strengthen US information security is to treat it as a corporate governance issue that requires the attention of boards and CEOs.’

Achieve High Security Standards through ISO 27001

There are sectors in which the ‘badge on the wall’ debate is already history, and in which certification is now becoming a basic business requirement. UK cheque printers, for instance, are required to comply with a sectoral version of ISO27001 and suppliers to the NHS are expected to be on track for certification (there is now a health sector version of ISO17799) – even if the NHS itself still has some way to go. Business Process Outsourcing companies are finding it much simpler to provide a copy of their ISO 27001 certificate in their tender documentation than to answer detailed information security questionnaires. Some of this might be expected: BS7799 was, after all, a British Standard, and the UK government’s Cabinet Office has, for several years now, driven take-up across the UK public sector. And as more and more local authorities and public-sector organizations become certified, so the pressure for their private-sector suppliers to achieve the standard will increase – and today’s early adopters are clearly stealing a march on their competitors.

Achieve Your Certificate in ISO 27001

Internationalised as ISO 27001 , information security certification can also be a short cut to best-practice compliance with a wide range of data compliance and regulatory requirements, ranging from Data Protection Acts across the EU, privacy and breach legislation across the OECD, and specific legislation such as GLBA, HIPAA and Sarbanes Oxley. Determined outsourced suppliers are increasingly insisting that their certificate be taken into account when preparing for and costing their annual SAS 70 audit, with consequently substantial reductions in both the cost of, and disruption caused by, the audit.

Are organizations beginning to recognize that, in fact, it is the badge on the wall that counts? Yes, as evidenced by the increasing number of badges. It took about seven years (to December 1994) for the first 1,000 certificates to be achieved, but less than two and half years later there are more than 3,500 successes. And certification has a ripple effect: every organization that achieves ISO 27001 will expect its key suppliers to meet the standard. And this means that anyone who thinks the badge doesn’t count will have nowhere to hide when the CEO comes asking why your competitors have stolen your lunch.

1 BS7799 Survey 2005, Information Security Ltd 2 ‘Information Security Governance: a Call to Action’, US National Cyber Security Summit Task Force, April 2004

Source: itgovernance.co.uk

The importance of security in e-Governance

2008-07-07T09:17:00.002-04:00

Technology has proliferated in all spheres of life. Accompanied by the rapid growth of the Internet there has been a concomitant rise in online transactions. The government sector has been no exception to these facts and it has wholeheartedly embraced IT in general and Internet-based technologies in particular, of late, in order to extend the benefits of governance to all citizens—urban and rural—through a slew of e-Governance projects.

At the Sabha, Anil Sagar, Additional Director, Indian Computer Emergency Response Team (CERT-In) said, “As computer systems have become more user friendly and easy to access, their adoption has grown phenomenally. As a result, we have a scenario wherein multiple operating systems and infrastructure components co-exist. This has increased the potential for security threats.”

Too often, security is described as something necessary to keep you out of trouble. It is more than that. When your information is secure, you can use it to accelerate your business. Amuleek Bijral, country manager, RSA Securities commented, “Despite massive investments in security technologies and services, few companies can claim that all their data is adequately protected.”
Like any other IT-enabled project, an e-Governance project also runs on a network. A government department deals with a considerable amount of information that may be critical to several other government departments concerned as well as external parties and citizens.

Security without borders

In the past, guarding the perimeter against external threats was sufficient, but today’s organizations are virtual, global, and dynamic. Simply deploying perimeter-based security is no longer enough to protect data, as information does not reside within static boundaries. On the contrary, a perimeter-centric security model hinders the frictionless movement of information between users spread across the globe what with users accessing data from a variety of devices such as PCs, PDAs, mobile phones, laptops, etc. Anil Sagar emphasized, “Attackers and users, both, are not confined to a particular geographical location so it becomes difficult to trace back the attacker. Also users are not always aware of and do not give sufficient importance to security measures.” The weakest link in the system is the human one.

As Bijral put it, “Data cannot be confined to one place; the importance of data lies in sharing it. When you share your data, it is spread across several devices including PCs, laptops, data centre servers, mobile phones etc. You need to secure the end-point. Rather than securing the environment, greater emphasis should be given to secure the information that is flowing across several networks.” Information-centric security binds security directly to information and to the people who need it.

The aim of attacks is changing from ‘preserving oneself and wiping out the enemy’ to ‘preserving oneself and controlling the opponent.’ Cyber attacks involve collecting the tactical information and using the same to overpower enemy systems, which brings down servers and thereby, business activities to a standstill. Hemal Patel, MD & CEO Elitecore Technologies, predicted the possibility of cyber warfare, which he defined as ‘an attack on information in the information age’.

A full-fledged Cyber attack involves gaining control over networks and there are four steps in it. They are:

1 Gain control over Network of Government and Defense Establishments.
2 Bring down the Financial Systems: The Stock Markets and Banks.
3 Take Control of a Nations’ Utilities (Power, Telecom etc).
4 Take control over personal identities (Passport data / Driving License / PAN No. / Ration Cards etc).

Today there are numerous threats—malware, bots, key-loggers, phishing and spoofing to name a few common ones. Lack of security awareness was cited as the biggest cause for attacks.

Control strategy

CERT-In (computer emergency research team-India) along with NIC and other IT vendors has been working towards improving the security levels of IT systems. CERT-In had recently tied up with Quick Heal to deploy the company’s anti-virus solution on government PCs. Bijral said, “If we can identify the data that we care about and where that data resides, then we need a model to discuss risks and threats.”

Draft amendments to the IT Act 2000 lack strong protection against cyber terrorism or cyber war. Patel said, “There should be a combined effort from intelligence agencies, NIC, CERT and the industry to collectively fight a Cyber War.” A central nodal agency is required, one that can frame a national strategy for countering insurgency in cyberspace. The creation of national nodal agency for IP Security deployments is vital.

There is a need for security solutions that not only cover security threats from end-to-end but also result in low CAPEX and OPEX. Another important aspect of adopting a security solution is to comply with regulations. Regulations, however, are dynamic and keep on changing. It is to handle this eventuality that the ISO 27001 and ISO 27002 standards had been developed. These adopt a framework approach combining the solutions that are required to cover end-to-end system security. ISO 27001 and ISO 27002 deliver a common language communicating security on a global basis to protect customers, outsourcers, business partners, regulators, auditors and non-security staff.

In a framework-based approach, the key areas of risk are identified to begin with, after which the solutions to counter those risks are taken into consideration, and in the next step technology controls are applied, as are policies and procedures. A review of the implementation of controls ensures that they align with an organization’s security policy and that there is consistency across data classification categories.

Furthermore, there is also the need to inculcate security awareness amongst users about recent threats/attacks as well as the dos and don’ts of using Internet. Security has become a key issue that needs to be addressed. Since government deals with sensitive information of national interest, securing data is of utmost importance. The key to securing information, however, does not lie in infrastructure security but the data and information security that are shared over various systems. That is why the need for securing such information has become a priority.

ISO 27001 certification helps deliver measurable difference for BT

2008-07-02T12:52:00.001-04:00

An international security standard is giving BT’s customers peace of mind - and helping the company secure major deals.

ISO27001 - an international standard designed around 133 security controls - provides a model for setting up and running an effective information security management system.
The company now has 26 certificates covering more than 60 key sites and services - and 20 new sites have been earmarked for certification.

According to global head of IT governance for bid security and certifications Lou Garcia, this demonstrates that BT meets security control requirements - and shows a high level of security governance, especially in the area of risk management. Lou said: “Many of BT’s most significant customers demand this certification for the services BT provides - and, as demand from our customers increases, so does our programme of certification.”

Source: http://businessassurance.com/iso-27001-certification-helps-deliver-measurable-difference-for-bt/

The key to data wiping

2008-07-02T12:43:00.001-04:00

You've just spent the last of the financial year's budget on new computers. Fantastic. And you might even donate your old computers to charity, or sell them on eBay. But what about the data stored on them? You may need to get rid of it before you get rid of the computers.

Adrian Briscoe, General Manager Asia Pacific, Kroll Ontrack, a data recovery company, advises businesses and individuals to be cautious when discarding old hardware with proprietary information.

A test of three PC workstations and two servers purchased by Kroll Ontrack on eBay found that, while all the hardware had been subjected to some type of data erasing, three units had a combined total of approximately 70GB of data ranging from Excel, Lotus 1-2-3, image files and back-up archives. "Take care to delete data properly," says Mr Briscoe, "and not just by using the format command on your computer. You need to erase the hard drive to a certain standard."Bill Taylor-Mountford, general manager of Acronis, a company that provides storage management and disaster recovery software, agrees."Deleting data leaves a fingerprint, or a ghosted image. With the right tools, specialists can recover the data after it has been deleted.

That's why some software-wiping algorithms use 35 passes to destroy data."Mr Briscoe says any device that has information presents some risk to organisations, and needs to be wiped permanently. "The erasing process will take anywhere from half an hour to half a day. Nobody considers buying a PC without having antivirus software. Why not run erasing software as part of the process at the end of the computer's life cycle?"But is just deleting your data every time you get rid of computers the smartest thing to do? What if you have 1000 computers to get rid of?

Wiping everything may take up more time, energy and money than it's worth, says Milton Baar, director of IT Security consultants The Swoose Partnership, and committee member of Standards Australia IT 12/4, which represents Australia for ISO27001, the international standard for information security management."Organisations should start a thousand miles earlier than end of financial year," says MrBaar. "They need corporate governance practices, which cover information security issues.

Organisations should understand what information they have on their computers and have control of it, rather than just wiping everything when they get rid of the equipment."

ISO 27005 will assist organizations in their information security risk management

2008-06-19T16:36:00.002-04:00

The FINANCIAL -- Organizations of all types are very concerned by threats that could compromise their information security and managing this aspect has become a primary concern for their information technology (IT) departments.

The new International Standard ISO/IEC 27005:2008, which describes the information security risk management process and associated actions, will help them to manage risks.

Threats may be deliberate or accidental, and may relate to either the use and application of IT systems or to IT's physical and environmental aspects. These threats may take any form from identity theft, risks of doing business on-line, denial of service attacks, remote spying, theft of equipment or documents through to a seismic or climatic phenomenon, fire, floods or pandemic problems. These threats may result in various business impacts, for example, financial loss or damage, loss of essential network services, loss of customer confidence through to loss power supply or failure of telecommunication equipment.

"A risk is a combination of the consequences that would follow from the occurrence of an unwanted event and the likelihood of the occurrence of the event. Risk assessment quantifies or qualitatively describes the risk and enables managers to prioritize risks according to their perceived seriousness or other established criteria." ISO reports.

ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management, provides guidelines for information security risk management and supports the general concepts specified in ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements.

The new standard is designed to assist the implementation of ISO/IEC 27001, the information security management system standard, which is based on a risk management approach. Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002: 2005, Information technology – Security techniques – Code of practice for information security management, is important for a complete understanding of this International Standard.

The information security risk management process consists of:

context establishment
risk assessment
risk treatment
risk acceptance
risk communication,
risk monitoring and
review.

However, ISO/IEC 27005:2008 does not provide any specific methodology for information security risk management. It is up to the organization to define its approach to risk management, depending, for example, on the scope of the information security management system, based on the context of risk management, or the industry sector.

Edward Humphreys, convener of the ISO/IEC working group that developed the standard comments: “Today, most organizations recognize the critical role that information technology plays in supporting their business objectives and with the advent of the Internet and the prospect of performing business online, IT security has been in the forefront. ISO/IEC 27005:2008 is relevant to managers and staff concerned with information security risk management within an organization and, where appropriate, external parties supporting such activities.”

Source: http://finchannel.com

DoF participates in ISO meeting in Japan

2008-06-11T10:50:00.001-04:00

DoF's participation - the first-ever by a governmental organisation from the GCC region - reflects its commitment to adopting the latest total quality standards at all levels of Governmental practice, especially in the information security.

This is in line with DoF's preparations to acquire the ISO 27001 Certificate by the end of this year.

The participants in the Kyoto meeting discussed several topics related to information security systems, including applied standards and universal measurements set by ISO in this sector.

The participants brought up issues pertaining to information security management for critical infrastructure and information security governance.

'Our participation comes in line with the directives of DoF's top management represented by H.H. Sheikh Mohammed Bin Khalifa Al Nahyan, Chairman; H.E. Hamad Al Hurr Al Suwaidi and H.E. Mohammed Sultan Al Hameli, Executive Director, to enhance the level of IT performance and security. DoF has achieved several milestones in implementing its IT infrastructure and now works to add more value and to enhance overall quality standards,' said Salem Al Rumaithi, Head of the IT Directorate at DoF.

The discussions at Kyoto focused on a series of standards that will help in establishing and maintaining an efficient information management system, using a constant improvement approach. Putting these standards into practice will help attain the security control objectives through a recommended range of specific security controls.

Butti Al Rumaithi, Head of Information Security Office, said: 'We are committed to improving the performance of IT systems and information security procedures by adopting International best practices in this field. During the meeting, we exchanged ideas about ways of managing information systems and enhancing their security. We also shared views concerning the implementation of international standards related to data protection and risk management. We look forward to leveraging the department's participation in specialised International meetings, as we consider that developing the overall performance and enhancing security of our IT systems is one of our top priorities.'

DoF recently launched its Strategic Plan for 2008-2012 which included priorities that call to develop state-of-the-art IT technologies to support the future role and activities of the Department.

Source: http://www.ameinfo.com/160017.html

The Bare Minimum

2008-05-26T10:29:00.001-04:00

We have all heard about ISO 17799 and ISO 27001; ISO 17799 is being renamed to ISO 27002 and ISO 27001 was formally known as BS7799-2. If you haven’t and your reading this, stop now and go look them up. Here is a good place for an general overview.

These standards are the basis of least requirement for doing business, when security is concern. Instead what you see are most companies, those that care and especially here in the US, are still in a phase of “working towards” meeting these standards. Very few western organizations have implemented or even looked at these standards. In Japan over 2000 companies have been certified meaning that Japan dwarfs any country by at least 300% more compliance than the UK and the US put together.

Something needs to be done to bring the compliance level up. Especially when it comes to the base foundation for security controls and ISMS.

So what can you do? Here is a 10 step guide to becoming certified.

Prepare the ground: obtain copies of the ISO 17799 and BS7799-2 standards, research the background, set the objectives, understand the costs and benefits, and liaise with senior management to gain their support.
Define the scope: what’s in, what’s out, including issues like location, assets and so on. Prepare a Statement of Applicability.
Define a formal ISMS (Information Security Management System) policy.
Analyze the information security risks to identify the corresponding security control objectives.
Prepare a security implementation plan describing the implementation of specific information security controls to satisfy the objectives identified in step 4. Gain management approval and secure the budget.
Implement the plan. Prepare, review, approve and publish information security policies, procedures, standards and so forth. Bring controls protecting the IT infrastructure and facilities up to scratch. Review and where necessary improve application security controls. Prepare and exercise contingency plans.
Operate and maintain the information security management system. Keep records to document proper use of your system (e.g. information arising from the review of system security logs).
Perform an information security audit and management review to check that everything is in order (this typically involves an informal pre-certification assessment by the certification body).
Make any last-minute adjustments to the information security management system to address issues identified in the pre-certification assessment.
Undergo the formal certification assessment by an accredited certification body.

Source: http://securitymusings.com/article/307/the-bare-minimum

Axur ISMS is now approved by European Union

2008-05-16T13:32:00.002-04:00

Axur ISMS is the only full ISO 27001 oriented management system recommended by ENISA - European Network and Information Security Agency. It´s a great honor for us!

You can check more about ENISA at: http://www.enisa.europa.eu

And you can read more about Axur ISMS & ENISA at: http://www.enisa.europa.eu/rmra/methods_tools/t_axur.html

Solution for ISO 27001 promises to Heat Up the Information Security Market

2008-04-22T10:26:00.006-04:00

New York, April 21 - Axur Information Security, a global company, leader in information security, launched AXUR ISMS, a complete solution for implementing and managing international standard ISO 27001. New on the market and totally aimed at best practices, this is the first world solution made available entirely in the SaaS (Software as a Service) model. Axur ISMS can be evaluated for free at http://isms.axur.net/.

According to Bibi Bosak, International Sales VP, ISO 27001 is currently the only internationally accepted certificate of information security. "Having ISO 27001 certification is a public demonstration that the company has excellent information security, and applies good practices for preserving the confidentiality, integrity and availability of information." According to a report issued by ACNielsen, there are 5,797 companies certificated in 64 countries. The adoption of the standard has increased at the rate of 200 new certificates per month.

Axur ISMS is present in markets where ISO 27001 certification is important, such as Japan, the United Kingdom, Taiwan and China. "Our solution is cross-industry and adapts to any purpose, regardless of its size. Axur ISMS was developed to be completely in accordance with the criteria of the risk management standard, security policies and continuous improvement. The two great benefits of Axur ISMS is the reduction in the risk of non-certification for those in the process of implementation, and a drastic reduction of the costs for maintaining certification," states Bosak. "Using the SaaS model to distribute our solution guarantees greater security, reliability and lower costs for our clients. Additionally, the online model allows the delivery of Axur ISMS in real time"

Axur Information Security (http://www.axur.net/) is an information security Management Solutions leading company. We act as a global player in the ISO 27001 solutions market. Founded in 1999, Axur has hundreds of clients present in several market sectors, including financial, telecom, industry, government, retail, energy, mining, dot-com, service sector and oil & gas.

Axur provides high technology solutions to reduce organizational risk, measuring and demonstrating the controls efficiency regarding the organization's information assets protection using worldwide best practices.

For further information, please contact us.

Axur Information Security
626, Glenn Curtiss
Uniondale, 11556
New York - USA
Manager: Bibi Bosak
Telefone: +1 516 522 2573
Email: sales@realiso.com

Your supplier suffers a disaster: The case for ISO 27001

2008-04-17T09:45:00.003-04:00

You've built out your disaster recovery plan. You've tested it. You are meeting your objectives. You keep your plan updated with regular reviews and testing. You've mitigated your risks and have systems and processes in place to handle any disaster that comes your way. You feel confident in your plan. Then one of your suppliers suffers a disaster. They cannot ship the raw materials you need. Now your supplier's disaster has become your disaster!

This should only be a bad dream. A large enterprise would have established risk mitigation practices to ensure that multiple suppliers are available for critical raw materials. A number of years ago I toured the manufacturing facility of a large PC server hardware vendor. While there, I posed a question on this subject, and they readily indicated that they source from three different manufacturers. Not only that, they perform audits on each shipment to ensure the component quality met standards they'd set. Furthermore, they regularly alternated between sourcing manufactures to ensure that the process to integrate an alternate component was always running well -- a sound and tested backup plan.

I suspect that all large enterprises source critical components from multiple suppliers to ensure a supplier's disaster never hurts the enterprise. But what about supplies for noncritical business processes? A large European enterprise approached me with an interesting question on this subject. They were in the process of updating their risk analysis for secondary back-office processes and stumbled across what appeared as a risk from their chosen supplier of desktop PC equipment. They required localized keyboards for PCs in branch offices of the various countries in which they did business – just as the French, German and Italian languages are different, so are their keyboards. They happened to know that their PC supplier's localized keyboard production facility was located in France. What if that facility is destroyed or compromised in some way? Would their supplier be able to build an Italian keyboard in another facility? They had not negotiated that requirement as part of their supplier agreement with the PC manufacturer, and realized they needed to update their PC supplier requirements. This is what they proceeded to do, ensuring that they would not suffer this risk.

What happens if only one supplier exists for a critical component? I'm sure you can think of a situation where this is the case. I've spoken with a smaller manufacturing company that sells about $250 million of product per year. They build very unique products that target the oil exploration industry. Two suppliers of one of their components exist in the market, but only one of those suppliers is able to produce the component with the quality that the company requires. This is a risk for the company, but they just plug along hoping that a large disaster never hits their supplier. They maintain large quantities on hand in reserve as a mitigation plan. I asked them if they have ever requested proof of business continuity plans from their supplier. They had not. Furthermore, they haven't created comprehensive business continuity plans for their own business operations. They only have about 20% of their business processes covered. I have found that this is the case in many small to medium-sized businesses, especially those that have been growing rapidly.

What I found surprising is that for the past 10 years, this small manufacturing company has focused on process efficiency, lean manufacturing, six-sigma quality and efficiency improvement, and has been ISO 9001-certified for about 15 years. But even with all of that, if their one supplier suffers a dramatic disaster, all of those quality improvement and lean manufacturing efforts will have been for nothing. (And yes, I keep bugging them about this, but the desire to rectify the problem has to come from the top.)

I've spoken to many other enterprises that demand proof of viable business continuity plans from their suppliers. And just as many of these enterprises have their customers demanding proof of business continuity plans from them. I have noted, however, that the supplier/consumer proof-of-business-continuity-plan requirements occurs ad-hoc. I have not seen a standard used in the United States. The ISO 27001 Information Security Management System certification standard is the only corporate-level certification standard that includes business continuity. It is almost three years old now and has seen some uptake in Japan. I'm hoping that corporations around the globe will begin to obtain ISO 27001 certification and demand the same of their suppliers as a proof point that suppliers have plans to survive any disaster the world throws at them.

Are you looking at ISO 27001 and demanding this certification stamp of approval of your suppliers?

Author: Richard Jones, VP and Service Director for Data Center Strategies, Burton Group

Source: http://searchdatacenter.techtarget.com

Source:

Japan firms to start information security rating body

2008-04-10T10:48:00.001-04:00

TOKYO -- Eighteen Japanese firms said Tuesday they were creating the world's first ratings agency looking at data security, which they said was a rising concern for companies.
The new firm, called IS Rating, will be launched on May 1 and start issuing ratings in July, both to Japanese and foreign companies and organizations.

It will give out ratings based on how they manage data, including files containing personal information, which circulates within the firm or is shared with third parties.
IS Rating will also offer training and edit documents to encourage security.

"For businesses, it's extremely complicated to measure whether the internal handling of their masses of data is appropriate," the firms creating the new agency said in a joint statement.
Major international firms generally adhere to an international code of technical safety standards known as ISO 27001.

But the statement said: "In addition to existing norms on the security of information management such as ISO 27001, a new scale provides a complementary tool that has been asked for."

Companies which are shareholders in the new agency include electronics giant Matsushita Electric Industrial Co., best known for the Panasonic brand, along with computer maker Fujitsu Ltd. and photocopier producer Fuji Xerox Co. Ltd.

Other firms in the initiative include a subsidiary of electronics maker Canon Inc., the Nikkei business media group, the Mitsubishi Corp. trading house and banks Mizuho Corporate Bank Ltd. and Sumitomo Mitsui Banking Corp.

Source: http://newsinfo.inquirer.net

Business Benefits of ISO 27001 Certification

2008-04-09T09:23:00.002-04:00

We first met Mark Bernard last fall. The Security & Privacy Officer at Credit Union Central of British Columbia, Mark discussed risk management and ISO 27001 Certification

Today, Mark's credit union is the first financial institution to achieve ISO 27001 certification. Read this interview for his insights on:

What it means to be ISO 27001 certified;
How the institution has changed as a result;
Potential payoffs for your institution if you follow this same path.

TOM FIELD: Hi, this is Tom Field with Information Security Media Group. I'm talking today with Mark Bernard, Security and Privacy Officer with Credit Union Central in British Columbia. You may recall him talking to us earlier last year about his institution's work in the ISO 27001 Certification. Mark is here today to tell that this institution has completed that certification. Mark, thanks for joining me today.

MARK BERNARD: My pleasure, Tom, and thanks for having me drop in and visit.

FIELD: Mark, what does this achievement really mean for your credit union?

BERNARD: Well, the credential is widely accepted within our industry, both here in North America and in Europe, and it's a way of our credit union being to demonstrate to the other credit unions and our other financial institutional clients the level of security that we've applied here at Credit Union Circle.

FIELD: How would you say that your institution has changed as a result of this 10-month process that you've gone through?

BERNARD: Well, I think that the big thing that has changed is the level of awareness, certainly within the various departments that we have here, and the credit union system has gone up substantially. People now recognize the value of, or they are realizing the value of having an information security credential such as this, and it is helping us to identify information security issues and address them more effectively.

FIELD: Mark, what would you say is the big payoff for the institution for having achieved this certification?

BERNARD: I think there are many different payoffs. There is an economical payoff by simply reducing the number of. I guess, external consulting engagements that are necessary, which are costing hundreds of thousands of dollars. And now we have a bonafide external audit group that comes by twice a year to monitor our activity and provide a list of opportunities for improvement. So it has benefited us economically, and I think as an organization in general, the culture has benefited as well. It's more focused on information security now and the identification of assets and how we treat assets and how we treat the threats and the risk, and the vulnerability associated to those assets. So, it's been very positive actually.

FIELD: Now how about for your members; what if anything will they notice from the changes that you've undergone?

BERNARD: It's really designed to be a measurement; the process is a measurement of the performance of practices and identification of opportunities to improve those practices. So, the membership doesn't immediately see anything substantial. Although, the members that I have come into contact with and spoken to are extremely impressed with the amount of due diligence that we've applied to our information security practices, and feel a higher extent or level of trust fort he information that they've entrusted to us.

FIELD: Well, that makes sense, and of course trust is the most fundamental currency you have with your members.

BERNARD: Yes, absolutely.

FIELD: Mark, what would you say are your biggest sort of lessons learned from this whole experience you've been through?

BERNARD: I think taking a very -- one of the most important things is taking a very sort of pragmatic approach. Identifying the culture within the organization and not be sort of, the implementation activities and integration activities around that culture. Providing ample room for for people to adjust to change is important. As well as giving them an opportunity to learn and understand what information security means. These are all very crucial components.

FIELD: Now, have you heard from other financial institutions that have been sort of on the sidelines watching what you've been going through?

BERNARD: Absolutely. Two of our biggest partners here in British Columbia have acknowledged the fact that they're very impressed with the work that we've done. And now they are actually considering becoming ISO 27000 certified themselves.

FIELD: O.K., for those that are sort of watching and waiting and thinking about maybe dipping their feet in, what advice would you give to them if they are considering the same move?

BERNARD: Well, again, I think paying attention to the culture is probably the most important part to avoid any disruption to the current organization. There are many, speaking of the organization, there are likely very many things that are already being accomplished within the ISO framework that just need to be pulled together in a way that can be recognized and reported and documented. So, it's not going to likely create a lot of disruption, but there will be a difference, and it will be a positive difference.

FIELD: You know, it occurs to me, you bring a team together for a project like this that there must be sort of a team culture that remains that you can sort of channel into other areas in the business?

BERNARD: Absolutely, and that's a very good point, because after becoming ISO certified and after getting the information management system institutionalized if you like ... you have this framework in place where you audit conformity to controls and evaluate the need to accept, reject or transfer that risk and as well monitor the change within the organization. So that framework exists, and because of that framework now in existence we are looking at other standards such as the BS 25999, which is Business Continuity Standard, and integrating those controls within the ISMS.

FIELD: Excellent, so there is always another big project on the horizon?

BERNARD: Yes, and the ISO framework provides many of opportunities for improvement and to draw new sets of controls and to manage those more effectively likely than they have been in the past.

FIELD: Well, Mark, next time we talk, we may have to get you come in here for a longer session to show us how it is all done.

BERNARD: Okay.

FIELD: Mark Bernard, I appreciate your time and your insights today. Congratulations to you and good luck with your future endeavors.

BERNARD: I appreciate the opportunity to speak you and all the members.

FIELD: We've been talking with Mark Bernard of Credit Union Central in British Columbia. For Information Security Media Group, I'm Tom Field. Thank you very much.

Source: http://www.cuinfosecurity.com

ISO 27001 - A standard choice

2008-04-02T19:34:00.001-04:00

Through a perplexing alphabet soup of choices in security standards, most Middle East enterprises are selecting and working with the ISO/IEC 27000 series of benchmarks, especially the 27001 standard. Choosing a security standard is easier said than done.

The average enterprise in the Middle East which is looking for an enterprise wide security standard is faced with an absolutely perplexing, alphabet soup of choices that can deter everybody but the keenest.

To add to the confusion, names of standards often get changed, even when the content remains the same, as these moves from one standards body to another.

Security service providers and consultants, such as Kurt Information Security, tend to pick and choose among different standards to form the basis of their practices and procedures. Such companies have a research and development arm which integrates pieces of various standards to form a security matrix for the firm to employ with its customers.

This is not a choice available to most enterprises. For one, standards cost money and for another, integrating the best among standards requires valuable resources, time and capital - none of which an enterprise can or should rightly be expending.

Read more at: http://www.itp.net/news/515187-a-standard-choice

Who needs ISO 27001?

2008-03-31T15:20:00.000-04:00

If you hold your client’s classified or sensitive data as part of performing business with your client, you may want to get an ISO 27001 to offer ’security’ comfort to your clients. Get it? No.
Here is an example, if you hapenned to hold your clients’ source code or similar sensitive data as part of performing your business, your client will be concerned about the security of their sensitive data - specifically, they would like to know if your Information security department is reliable and sustainable. That is where ISO 27001 comes in. Not all companies benefit from ISO 27001. Right?

What does ISO 27001 offer that is different from what you have today? It is a measuring Framework. Framework which enables you to scale your policies and handle them appropriately as your grow.

Security policies in companies today are often abstract and gets close to the ‘terms of usage’ policy within a company. However, it is worth exploring an ISO security framework - ISO 27001. This enables you to formally enumerate policies, data classifications and provide an appropriate risk treatment and provide continuity.

Source: http://www.allaboutgovernance.com

ISO 27001 - What really matter is an ISMS.

2008-03-28T13:04:00.002-04:00

Life would be simple if curing security headaches were just a matter of buying some new technology. In reality, good security requires fundamental organisational change, says Danny Bradbury

What constitutes good security today? Simply throwing a firewall at your system won't cut it, says Ross Anderson, professor of security engineering at Cambridge University's computer laboratory.

"It usually comes down to how people behave in institutions," he warns. "Managers optimise their own utility, rather than the shareholders'."

All too often, those in charge resort to buying equipment, plugging it in and declaring the problem solved. In reality, security must be part of the company's DNA at an operational level.
At the heart of the debate lies the disparity between the box-tickers, who do just enough to satisfy the regulators, and those who put in extra effort, says Mark Lobel, principal in advisory services at consultancy PricewaterhouseCoopers.

"There are two ways you can go about it. You can adopt a compliance-based approach and tick every box in the Sarbanes Oxley rule book, or you can take a risk-based approach," he says. "A risk-based approach is the way you should approach this."

That approach entails identifying and analysing real threats to the organisation. More mature companies may use some kind of risk matrix to quantify this, say, with the probability of risk on one axis, and impact to the organisation on the other.

"By identifying and starting with the business objectives, you make sure that you're properly aligned and focused," says Lobel.

But companies need a more detailed framework than this. David Cole, academy team leader and senior consultant at risk management consultancy DNV IT Global Services, thinks he has the answer.

"ISO 27001 is a standard on how to set up a management system," Cole says. "It tells you what is expected of an information security management system."

Read more at: http://www.silicon.com/research/specialreports/datalockdown/0,3800014480,39170493,00.htm

Become Confident in Your ISO 27001 Practices

2008-03-17T10:41:00.001-04:00

New ISO standard for IT disaster recovery published

2008-03-10T18:34:00.001-04:00

A new ISO International Standard which focuses on IT continuity is now available. ‘ISO/IEC 24762:2008, Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services’ aims to ‘offer guidance on the information and communications technologies and services necessary for disaster recovery as part of business continuity management’.

According to ISO/IEC 24762:2008, business continuity management is an integral part of any holistic risk management process and involves:* Identifying potential threats that may cause adverse impacts on an organization’s business operations, and associated risks * Providing a framework for building resilience for business operations * Providing capabilities, facilities, processes, action task lists, etc., for effective responses to disasters and failures.

With this new standard, organizations will be able to build resilience into their information and communications technology infrastructure critical to their key business activities. This will complement their business continuity management and information security management initiatives.

Source: http://continuitycentral.com/news03805.htm

"Published" vs. "In Progress" Standards from ISO 27000 family

2008-02-28T16:19:00.004-05:00

Take a look on "published vs. in progress" standards from ISO 27000 family. It's nice to see that will surge new standards to fill the lack of "industry" oriented controls compilation, like ISO 27799 and ISO 27011.

Published standards:

ISO/IEC 27001 - the certification standard against which organizations' ISMS may be certified (published in 2005)
ISO/IEC 27002 - the code of practice with good practice advice on ISMS (previously known as ISO 17799 and before that BS 7799 Part 1 (last revised in 2005, and renumbered ISO/IEC 27002:2005 in July 2007)
ISO/IEC 27006 - a guide to the certification/registration process (published in 2007)

In progress standards:

ISO/IEC 27000 - an introduction and overview for the ISMS Family of Standards, plus a glossary of common terms
ISO/IEC 27003 - an ISMS implementation guide
ISO/IEC 27004 - a standard for information security management measurements
ISO/IEC 27005 - a standard for information security risk management
ISO/IEC 27007 - a guideline for auditing ISMSs
ISO/IEC 27011 - a guideline for ISMSs in the telecommunications industry
ISO/IEC 27799 - guidance on implementing ISO/IEC 27002 in the healthcare industry

The truth about fortresses (ISO 27001 Paradigm)

2008-02-20T14:43:00.000-05:00

How does a service provider who offers data hosting and datacentre services in the region ensure that his/her customer information is secure?

This was the principal question that drove me to converse with a good number of the biggest hosting companies in the Middle East region. I discussed in length with them security across the physical infrastructure, the logical security - of where datacentres are located and manned - and application security. (Read in detail on the defence layers implemented by regional service providers in the March issue of NME).

It is a statement of fact that security measures undertaken by these hosting companies are often of the highest level. In most developed markets, they are trend setters in implementing the latest of security technologies and also in following the metrics of best practices. In most cases, this would mean the firm will need to be compliant to standards and have basic security certification, like ISO 27001, before it can expect to attract any customers. The certification is an indication to potential and existing customers, along with the rest of the market that the firm has put in place stringent processes across the handling, storage and management of data to ensure that there are no holes through which information can leak. In other words, that the company takes its customer information seriously.

The Middle East data outsourcing market is nowhere close to these developed markets. However, I was (understandably) expecting a certain level of standards implementations among these service providers, considering that this is one of the rapidly growing market segments. To my absolute horror, I found this not to be the case.

Many service providers in the region remain uncertified in any security standard. Some of them implement ISO 27001 in pockets but none of them do it across the organisation; in fact, one particular company spokesperson was kind enough to inform me that the Middle East did not need this yet. The majority of them - hold your breaths now - do not have a disaster recovery site by default for customers. This is almost always set up based on the end-user's preferences and is always a site within the same country. And none of them realise that this is a recipe for disaster.

Source: By Sathya Ashok (http://www.itp.net/news/511758-the-truth-about-fortresses )

ISO 27001 - Standard for data is hailed

2008-02-18T14:14:00.002-05:00

Stephen Burrows, managing director of the Wigan-based Centre for Assessment, gives advice on how businesses can protect themselves and their clients' details from missing personal data."Attitudes to data protection are changing fast and rightly so. "We are all concerned about the loss of 25 million child benefit claimants' personal information, the missing details of three million learner drivers and that NHS patient details have been misplaced.

In the wrong hands this information can have detrimental consequences, and across the UK, people are taking the protection of personal information much more seriously. We're working in a world increasingly served and driven by computer technologies so it's important that companies look at the controls they have in place and identify ways to tighten up their data protection. After all, the systems are only as secure as the weakest link.

One of the measures being brought in to address this is ISO 27001. This new Information Security standard provides a systematic framework for an organisation to account for its information assets, assess the security risks and implement effective controls to avoid these. ISO 27001 is suitable for organisations of all sizes.

We're confident that Government departments, financial institutions and the wider business community will, in the very near future, be looking to implement and gain certification to ISO 27001 in order to gain the public's confidence that their data is indeed protected. Centre for Assessment will certainly be recommending the new standard to clients, many of whom are already certificated to ISO 9001.

Source: http://www.wigantoday.net/business-news/Standard-for-data-is-hailed.3788831.jp

Who is who? ISO 27001 and others...

2008-02-14T06:21:00.002-05:00

Sarbanes Oxley (SOX) requires companies to disclose information regarding finances and accounting. SOX helps prevent financial malpractice and accounting disclosures. All public companies must adhere to SOX regulations.
Gramm-Leach Bliley Act (GLBA) requires financial institutions to protect customer data and provide privacy notices. Banks and financial institutions must follow GLBA.
Health Insurance Portability and Accountability Act (HIPAA) requires health care organizations to ensure the privacy of personal health information. Hospitals, medical centers and any business dealing with patient medical records must comply with HIPAA.
Payment Card Industry (PCI) specifies how to secure information systems and media containing cardholder account information to prevent access by or disclosure to any unauthorized party. PCI also covers how to effectively delete unnecessary data. Companies that store, process or transmit credit card holder data must follow PCI.
ISO 17799 / 27001 is an information security management system (ISMS) standard published in October 2005 by the International Organization for Standardization and the International Electrotechnical Commission. Its full name is ISO/IEC 27001:2005 - Information technology — Security techniques — Information security management systems – Requirements, but it is commonly known as "ISO 27001."
COBIT is an IT governance framework and supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT enables clear policy development and good practice for IT control throughout organizations. COBIT emphasizes regulatory compliance, helps organizations to increase the value attained from IT, enables alignment and simplifies implementation of the COBIT framework.

The 2007 ISO 27001 Benchmark Study

2008-01-31T11:15:00.000-05:00

Research from Wolcott Group, "The 2007 ISO 27001 Benchmark Study," shows that many organizations have significant gaps in how they manage information security. While most organizations have mature or developing controls for information security, many still have immature processes for key issues like security policy training, access control, asset management, business continuity, IT compliance auditing, and more.

Highlights of Immature Controls and Processes:

57% have immature processes for classifying the value of their information assets
56% have immature employee training programs on information security policies and procedures
47% have an immature approach to managing information security
45% have immature business continuity processes
36% have immature IT compliance auditing processes

Interested parties can visit Download The 2007 ISO 27001 Benchmark Study to register to download a complimentary copy of the benchmark study.

How to apply ISO 27002 to PCI DSS compliance

2008-01-29T08:34:00.000-05:00

The PCI Data Security Standard (PCI DSS) consists of 12 mandatory high-level requirements for all organizations that store, transmit, or process payment cards. These 12 requirements are further subdivided into sections, describing activities that organizations must engage in while managing their networks, administering their systems, and, in general protecting the payment card data with which they have been entrusted.

While PCI DSS details compliance requirements in most areas, its directives make only passing reference (if at all) to an overall security framework into which the required actions must fit. If organizations simply follow the PCI DSS blindly, they may not achieve the overall security goals.

ISO 27002, also known as ISO 17799, is a security standard of practice. In other words, it is a comprehensive list of security practices that can be applied -- in varying degrees -- to all organizations. The benefit of such a standard to organizations attempting to comply with the PCI-DSS is twofold. First, it provides a framework that allows organizations to achieve their PCI security goals along with those from other sources, like industry or governmental regulations. Second, it provides guidance on how to fit some of PCI's governance and policy requirements into an organization's compliance program.

For example, ISO 27002 discusses the necessity of involving business, management, human resources and technology representatives in the security program. It also provides references for high-level policies for important areas such as data classification, data handling and access control. While PCI DSS describes specific technical practices and organizational activities, it doesn't talk about the overall program in which these activities exist or the specific policies that require these activities.

When a company establishes a program based on a broad standard like ISO 27002, it can treat the PCI-DSS requirements as a subset of those required by the ISO. Further, a program structured according to ISO 27002 will require organizations to employ critical support systems required by many regulations (and PCI DSS in particular). For example, ISO 27002 requires change control in network administration, system configuration, policy management, procedure management and software development. PCI DSS calls out the need for accurate diagrams and documentation for its network and systems as well as change control processes to ensure discipline in administration of the PCI DSS-related components.

ISO 27002's broad requirements for change control associated with all aspects of administration encourage a consistent approach across an enterprise. This kind of approach, when applied to PCI DSS, would help improve both the consistency, effectiveness and efficiency of change control across a company and increase the likelihood that an auditor would find a company's practices acceptable.

Another benefit of combining the structure of ISO 27002 and the specific requirements of PCI DSS is that the PCI DSS helps organizations define three of the most challenging aspects of ISO compliance: scope of compliance, data classification and data handling. Armed with these constraining requirements, organizations can define policies and procedures that are consistent with best practice as specified by ISO and directly address PCI DSS compliance. For example, PCI DSS defines what aspects of credit card data are sensitive. It describes access control requirements for credit card information, encryption requirements for transmission and storage, and even the testing necessary to verify effectiveness of controls. These specific requirements allow organizations to state how systems must be configured, how employees must treat data and how an organization monitors the effectiveness of its controls.

A growing number of organizations are building security programs according to standard frameworks like ISO 27002. These frameworks are allowing organizations to factor compliance with multiple regulations and contracts into their security programs in a consistent and effective manner.

The beauty of using the ISO standard with specific regulations is that the regulations fill in the necessary details that the framework lacks while the framework provides structure to address multiple sets of requirements consistently. The two concepts work hand in hand and provide effectiveness, efficiency and auditability.

About the author:Richard E. "Dick" Mackey is regarded as one of the industry's foremost authorities on security and compliance. He is a frequent speaker and contributor to magazines and online publications. He has advised leading financial firms on compliance with PCI, GLBA and SOX. He has also provided guidance to a wide range of companies on enterprise security architectures, identity and access management and security policy and governance.

ISMS Standards

2008-01-24T11:05:00.000-05:00

New ISO series of 27000 standards

ISO/IEC 27000 Fundamentals and vocabulary
ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) - Published 15th Oct 2005
ISO/IEC 27002 Code of practice for information security management as from April 2007 -currently ISO/IEC 17799:2005, published 15th June 2005
ISO/IEC 27003 ISMS implementation guidance (under development)
ISO/IEC 27004 Information security management measurement (under development)
ISO/IEC 27005 Information security risk management (based on and incorporating
ISO/IEC 13335 MICTS Part 2) (under development)
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems - Published 15th February 2007
ISO/IEC 27007 Guidelines for information security management systems auditing (under development)

ISMS Specifications

ISO/IEC 27001:2005 ISMS - Requirements (revised version of BS 7799-2:2002 Information security management systems – specification with guidance for use.)
ISO 9001:2000 Quality Management Systems – Requirements

Auditing Standards

ISO 19011:2002, Guidelines on Quality and/or Environmental Management Systems Auditing

Accreditation Standards

ISO/IEC 17021 Conformity Assessment – Requirements for bodies providing audit and certification of management systems
ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems

Control Standards

ISO/IEC 27002:2005 Code of practice for information security management

From: TQMC

From now on, Axur Blog will be published only in English!

2008-01-15T11:54:00.000-05:00

From now on, we decide to post only in english. English will be our official language. Why to do so?

1-) We believe ISO 27001 is a worlwide stuff. It's very important to share our experience in ISO 27001 implementation and management with all consultants around world.

2-) Starting march, Axur ISMS will be delivered in English, and we need to communicate with our clients.

3-) English is an universal language. Looks like a kind of "successfully Esperanto".

Axur Team!

Medir e melhorar controles de segurança, é só começar!

2007-12-17T17:29:00.000-05:00

Chegou a hora de falarmos sobre métricas na gestão da segurança da informação. Este assunto sempre foi meio escanteado, já que parecia suficiente identificar riscos e implementar controles. Sabemos hoje (ou melhor, sempre soubemos) que não existe gestão de fato se não houver métricas e indicadores de performance.
Vamos falar um pouquinho sobre métricas. O conceito de métrica é amplamente utilizado na disciplina de administração (principalmente em mapas estratégicos e balanced scorecard) e em segurança da informação tem por fim identificar se estamos ou não sendo eficientes dentro do contexto de proteção de nosso negócio.

Duas categorias de métricas...

Existem dois grupos de métricas. Em primeiro lugar aparecem as métricas do sistema de gestão da segurança da informação, famoso SGSI. Estas métricas visam evidenciar se estamos girando o nosso PDCA adequadamente, no contexto da ISO 27001. São métricas relacionadas a gestão de riscos, de políticas, incidentes, ações corretivas e preventivas.

Controlar e mensurar!

Bom, o trabalho não para por aí. Alias, ele ainda está começando. Existe ainda um segundo grande grupo de métricas, que são as métricas de eficiência dos controles. A pergunta é simples “quão eficiente é o meu firewall, ou a minha política de senhas, na mitigação dos riscos identificados?”.

Para compor uma métrica você deve identificar indicadores de performance. Eu recomendo sempre a utilização de 5 indicadores de performance. Já é o suficiente.
Vamos ver como isso se comporta na prática. Primeiro escolhemos um controle qualquer, vou escolher o controle x.x.x da norma ISO 27002, que é a “Acordo de confidencialidade”. Propositalmente escolhi um controle que não é tecnológico, para poder ilustrar a dinâmica dessa medição fora do ambiente de TI.

Em primeiro lugar preciso identificar quem é o responsávelo pelo controle. Idealmente este controle é praticado pela área de recursos humanos, uma vez que esta área faz a ponte de contratação dos funcionários e muitas vezes de terceiros. Vamos considerar então que para este exemplo, nosso gestor de controle é a Gerente de RH.
Segundo passo, na medida do possível precisaremos de informações sobre a quantas anda este controle. Se é um controle novo, sem problema, não temos histórico e teremos que criar alguma referência com base em nossa experiência de mercado. Caso este controle já esteja sendo utilizado, existe algum dado, resultado ou não de auditoria, que possa nos dizer o quão eficiente ele é?

Imagine para uma empresa que tem um fluxo mensal de contratação de 100 profissionais, caso a área de recursos humanos fosse auditada, quantos acordos de confidencialidade eu poderia aceitar em estado de não conformidade? A resposta ecoa com um ZERO gritado a multidão, mas zero pode ser muito pouco, se este for um novo controle. Risco zero só existe quando o orçamento é infinito.

Sendo mais realista, proponho a seguinte escala de indicadores de performance para este controle:
1- Mais de 20 funcionários novos sem Acordo de Confidencialidade assinado
2- De 15 a 20 funcionários novos sem Acordo de Confidencialidade assinado
3- De 10 a 15 funcionários novos sem Acordo de Confidencialidade assinado
4- De 5 a 10 funcionários novos sem Acordo de Confidencialidade assinado
5- Até 5 funcionários novos sem Acordo de Confidencialidade assinado

Esta é uma escala, e não temos como negar. Agora precisamos escolher o indicador de eficiência esperada. Como o controle é novo, vou escolher o indicador 3. Com o passar do tempo posso apertar a eficiência esperada, porque nosso desejo é que com o passar do tempo, o PDCA cuide de reduzir o risco.

Crie uma agenda para o seu controle!

Qual o próximo passo? Já temos indicadores de performance para a nossa métrica de eficiência do contorle. Precisamos agora escolher uma periodicidade para que este controle seja revisado. A revisão não significa auditoria. O próprio gestor poderá informar o indicador de performance do seu controle.

Vamos definir então que este controle será medido bimestralmente. Você como Security Officer deve receber bimestralmente a revisão do controle que será avaliado pela própria gestora de RH. A auditoria, dentro de sua agenda, ficará responsável por validar estes resultados. Esta é uma maneira inteligente de envolver os gestores e de deixar todos antenados quanto a uma possível validação de resultados.
Passado um ano, podemos apertar mais a eficiência esperada, pulando para a de número 4, onde aceitaremos de 5 a 10 funcinoários novos sem NDA.

O ISMS Risk Management Software, nossa ferramenta para gestão de riscos e controles, faz isso de forma automática, atendendo aos critérios da norma ISO 27001 que demandam a medição periódica da eficiência dos controles. O melhor de tudo é que fornecemos medições on time. Este tipo de relatório permite que você meça a evolução ou involução dos controles x riscos.

Sem medo de me repetir, parafraseio a turma da qualidade, que reza “só podemos gerir aquilo que podemos medir, só podemos medir aquilo que controlamos”. Controles e métricas são a base da gestão da segurança da informação!

Gestão de Risco e Compliance: O que vem antes?

2007-10-17T08:36:00.000-04:00

A grande dúvida que paira no ar, e que certamente ocupa o pensamento dos CIOs e CSOs em todo mundo é: o que vem antes, gestão de risco ou compliance? A resposta não é simples, mas é lógica. Convido vocês leitores a investir alguns minutos e desbravar comigo ponto-a-ponto, quais são os parametros que condicionam e direcionam esta decisão.

Compliance e Gestão de Risco são dos hits do momento. Nunca se falou tanto em manter a conformidade com padrões internacionais, ao mesmo tempo que estruturar processos para antecipar problemas (gerenciar o risco) parece ser a nova ordem. Como em tudo que é novo e onde falta informação, acabamos cometendo alguns enganos que podem comprometer o cumprimento de nossas metas.

Gestão de Risco

É mais simples do que parece. Gerenciar riscos é um processo que deve ser executado continuamente, deve ter pai e mãe (alguém tem que ficar formalmente responsável por conduzí-lo), e deve ser institucionalizado. A gerência do risco se divide em quatro partes: (i) identificar e avaliar os riscos (risk assessment), (ii) tratar os riscos (risk treatment), (iii) aceitar os riscos abaixo da linha de corte (risk acceptance) e (iv) comunicar os riscos (risk communication). Muita gente é boa em identificar e avaliar os riscos, mas peca na hora de definir controles para tratar os riscos e também na hora de comunicar aos interlocutores certos.

O que eu fiz de errado?

Como já escrevi em outros artigos, e sintetizo aqui, os erros mais comuns no gerenciamento do risco são:

Criar super planilhas com cálculos complexos para medição do índice do risco: em análise de risco, menos é mais. Simplifique ao máximo sua matriz, pois só assim você conseguirá transformar este processo em parte do dia-a-dia das pessoas. Não esqueça, risco é evento associado a sua probabilidade e seu impacto. Nada a mais, nada a menos.

Tomar as decisões sobre impacto e probabilidade, e sobre o tratamento do risco sem envolver os gestores e a alta direção: a decisão por tratar ou não um risco é da Alta Direção e das pessoas que responderão legalmente caso o risco torne-se um incidente. Esqueca análise de risco de gabinete, onde você identifica e você decide. Envolva as pessoas se você quer que elas participem do processo!

Confundir análise de risco com análise de vulnerabilidades: trate as vulnerabilidades como vulnerabilidades. Para corrigir bugs e aplicar patches, utilize o controle “gestão de vulnerabilidades” da ISO 27002 (antiga ISO 17799). Se você colocar vulnerabilidades tecnológicas e riscos em um mesmo nível, provavelmente enlouquecerá. Deixe as vulnerabilidades para as ferramentas de análise de vulnerabilidades, construa sua análise de risco em alto nível. Pense no negócio!

Compliance

Mais simples do que parece, estar “compliant” com algo é estar em conformidade. Conformidade com o que? Depende. As empresas precisam estar de acordo com a lei, sejam elas gerais ou específicas, como atos regulatórios ou acordos comerciais.

Uma norma ou lei é formada por um conjunto de asserções que indicam “boas práticas”, sejam elas recomendações ou obrigações. O procedimento através do qual sabemos se estamos ou não em conformidade com determinada lei é bem simples. Faz-se uma engenharia reversa e transformamos os itens da norma em questionamentos. Algo do tipo, digamos que a lei específica traga a seguinte resolução:

Resolução 1.1.1: A empresa deve possuir acordo de confidencialidae assinado com todos os funcionários e terceiros.

Transformamos em algo como:

A empresa possui um processo que garanta que são assinados acordos de confidencialidade com funcionários e terceiros? (Sim / Não ).

Este seria o primeiro nível da validação. Você pode ir além colocando uma escala de maturidade. Sempre tem quem quer ver para crer, ou seja, verificar se o controle está ou não aplicado para atender a norma. Cuidado para não transformar sua Gap Analysis em auditoria. A escolha é sua!

Onde encontrar checklists gratuitas?

Não entendo muito porque investir dinheiro em verificar a conformidade, acho que o dinheiro deve ser investido nos planos de ação para garantir a conformidade. Checklists de SoX, PCI-DSS, ISO 27002 entre outras, são facilmente encontradas na Internet. Dias atrás fui abordado por um conhecido em um evento de Segurança da Informação. Perguntou se eu podia ajudá-lo em um projeto de PCI-DSS e se poderíamos fazer uma Gap Analysis. Fizemos um teste e digitamos “pci-dss checklist” no Google. Logo nos primeiros links já tivemos acesso a pelo menos duas boas checklists que certamente atendiam ao seu objetivo.

Onde eu quero chegar?

Quero dizer a vocês que faz-se muito alarde em torno de processos simples. Complicamos desnecessariamente. Investimos tempo e dinheiro em tarefas que poderiam ser realizadas com três vezes menos tempo, e se fossem implementadas de forma simples, trariam um resultado muitas vezes mais visivel a Alta Direção. Não podemos querer implementar gestão de risco exigindo que nossos gestores de negócio, já preocupados com inúmeras tarefas, sejam especialistas em calcular o risco.

Finalmente, o que vem antes?

Nem um, nem outro. Conformidade e gestão de risco são complementares, e só alcançam seu resultado completo quando integrados. Como saber qual o nível de risco se eu não souber quais são os controles que eu já tenho implementado em meu ambiente? Como justificar a implementação deste ou daquele controle senão através de riscos?

Para quem não precisa atender a leis ou regulamentações específicas, tire o “compliance” de sua frente. Foque na gestão de risco. Porque querer saber se eu atendo aos controles da SoX se eu não preciso atender a SoX? Neste caso o contexto da "análise de gap" de melhores práticas pode ser direcionado aos padrões normativos internacionais, como é o caso da ISO 27002. O que não significa que eu tenho que aplicar todos os controles da norma. A análise de gap vai me dizer o quão aderente estou ao padrão, mas será a análise de risco que vai direcionar os controles que devo ou não implementar.

Sobre Declaração de Aplicabilidade

2007-08-06T22:01:00.001-04:00

A Declaração de Aplicabilidade é uma listagem dos controles aplicados, e dos controles não aplicados. Ou seja, é uma listagem de TODOS os controles do Anexo A da ISO 27001, mais os controles adicionais.

Devem ser colocadas justificativas pela APLICAÇÃO e pela NÃO APLICAÇÃO dos controles.

Nosso colega Ediemerson corretamente informou que devem ser feitas referencias para os riscos que estão sendo tratados, devemos indicar aonde encontra-se documentada a aplicação do controle selecionado.

Atenção: não confundir o termo APLICADO com APLICAVEL. Somente podem ser justificado o controle como NÃO APLICAVEL, se realmente não for possível aplicá-lo, como por exemplo "comércio eletrônico" para uma empresa que não realiza comércio eletrônico. A justificativa deste controle é, NÃO APLICAVEL.

NÃO APLICADOS são aqueles controles pelos quais não se optou devido a inexistência de risco que o justificassem, por serem NÃO APLICAVEIS, ou pela sobreposição de controle. Isso é muito comum!

Gestão do risco ou gestão da vulnerabilidade?

2007-08-06T22:01:00.000-04:00

Tenho investido um bom tempo em palestras, cursos, seminários e toda a sorte de evento relativo à segurança da informação (mais especificamente com o tema “gestão de risco”). Ao ter me envolvido tão intimamente com este tema, tive a oportunidade de conversar com muitos especialistas, conhecer diversas visões sobre o assunto, e resolver alguns entendimentos equivocados que muita gente traz em relação ao assunto.

Neste artigo vamos tratar sobre a diferença entre gestão de riscos e gestão de vulnerabilidades. Espero que definitivamente possamos chegar em um acordo consciente sobre o que é uma coisa e o que é outra.

Vamos direto ao ponto. Risco é um termo abrangente, que é utilizado por dezenas de disciplinas relativas a segurança. No contexto de Segurança da Informação risco é tudo aquilo que pode acontecer em um momento futuro, associado ao seu impacto potencial.

O risco pode ser interpretado como um evento. Evento é algo que pode acontecer, e que se efetivamente vier a acontecer, dará luz ao que conhecemos como “incidente”.
Bom, até aqui, nenhuma grande novidade. Um risco será composto de um evento associado a uma probabilidade e um impacto. Vejamos abaixo como representar isso em uma tabela:

Evento: Acesso não autorizado da equipe de desenvolvimento ao banco de dados de produção.
Probabilidade: Baixa
Conseqüência: Alta
Risco: Médio

A partir daqui compartilho com vocês algumas conclusões não tão óbvias.

Isso é risco ou vulnerabilidade?

O risco é uma combinação de fatores. Essa combinação de fatores geralmente é, em parte a identificação de uma ameaça, em outra parte a identificação de uma vulnerabilidade. Essa combinação, chamamos de evento. O evento só se evidencia quando nós temos um agente (ameaça) e uma vulnerabilidade (fraqueza). Na tabela do exemplo acima a ameaça seria um funcionário da equipe de desenvolvimento (talvez um mau funcionário), e a vulnerabilidade a falta de controle de acesso ao banco de dados de produção.

Esse é o contexto do risco para a norma ISO 27001. Uma visão abrangente, mas não profunda. Faço uma pergunta, faz sentido se tivéssemos avaliado apenas a vulnerabilidade ou apenas a ameaça?

Gosto de citar o exemplo de um cliente onde após uma análise de vulnerabilidades, identificou-se a necessidade de aplicar uma correção em determinado servidor, responsável por gerar certificados digitais. Ao conversar com o analista perguntei se existia algum tipo de conexão de rede àquele servidor; a resposta foi não. Perguntei então se existia mais alguém, além do administrador do equipamento, com acesso físico aquela máquina; a resposta foi outro não. Neste caso aplicar um patch corretivo seria mais arriscado do que deixar o servidor desatualizado, uma vez que o software gerador de certificados poderia entrar em conflito com o sistema operacional, até então estável.

Acredito em uma visão abrangente dos fatores de risco, inclusive para equipamentos de TI. Sinceramente não acho que um equipamento possua mais que 30 risco (não confundam com vulnerabilidades).

Vamos imaginar o caso hipotético onde um perpetrador utiliza uma vulnerabilidade no sistema operacional para invadir o servidor de web. Como este risco deveria ser escrito?

Evento: Acesso interno ou externo ao equipamento através de falhas no sistema operacional devido a não atualização ou aplicação de pacotes de atualização fornecidos pelo fabricante.
Probabilidade: Alta
Conseqüência: Alta
Risco: Alto

Neste caso, ao invés de identificarmos que o servidor possui uma falha na aplicação web, devemos tratar de forma conjunta todo o manancial de problemas técnicos relativos a este servidor. Digo mais, todas estas falhas deverão ser tratadas através da aplicação de um único controle

Este controle é indicado na norma ISO 27002 (antiga ISO 17799) como “12.6. Gestão de Vulnerabilidades”, cujo o objetivo é “prevenir os danos resultantes de vulnerabilidades conhecidas”. E aqui faço uma ressalva importante: é extremamente crítico que você possua uma forma de identificar se os seus sistemas operacionais, aplicações, ativos de conectividade e etc, estão com os devidos patchs aplicados. Só por favor, não confunda gestão de vulnerabilidades com gestão do risco.

Gestão de Risco: TI ou não TI? Eis a questão!

Eu não desisto de dizer, divulgar, promover e explicar que existe uma distância abismal entre gerenciar riscos no contexto da ISO 27001 e gerenciar vulnerabilidades tecnológicas. Para alguns de nós, segurança está associado a criptografia, VPN, firewall, IPS etc. Se você quiser gerir segurança a partir das melhores práticas, terá que deixar que TI cuide da aplicação dos controles tecnológicos necessários para mitigar os riscos, e focar sua inteligencia e tempo na gestão dos processos que permitirao a identificação sistemática de novos problemas, a indicação de alternativas para o tratamento do risco, e o monitoramento de oportunidades de melhoria e incidentes.

Menos é mais!

Em se tratando da gestão do risco, menos é mais. Quanto menos você entrar no detalhe, quanto menos você granularizar seus ativos (sempre recomendamos agrupá-los), quanto menos você investir tempo e esforço no baixo nível, maior será a abrangência da sua análise e maior será o seu resultado. Defendemos que o gerenciamento de risco possa ser realizado de forma simples, que seus resultados possam ser lidos e interpretados por executivos, que a matriz de risco possa ser atualizada sem muito esforço, e que os interlocutores no processo de gestão de risco consigam visualizar na matriz de risco da sua área, processo ou ativo, efetivamente, aquilo que de fato representa risco ao negócio da sua organização.

Identificação e Classificação de Ativos

2007-07-31T08:48:00.000-04:00

Segue abaixo POST enviado para uma conhecida lista de discussão, onde tratei o assunto "Identificação e Classificação de Ativos".

O assunto "identificação e classificação de ativos" é de vital importância para qualquer empresa que deseja certificar na ISO 27001 ou mesmo estar de acordo com as melhores práticas internacionais em gestão da segurança da informação.

Para o pessoal que está entrando agora na área da Segurança da Informação, é importante definirmos o conceito de Ativo.

Ativo é tudo o que tem valor ou gera valor para minha empresa. Este é um termo que emprestamos do mundo financeiro/contabil, cujo antônimo é passivo.

Se "Ativo", neste contexto, é algo importante ou que gera valor para a minha organização, o que devemos considerar como ativo em Segurança da Informação?

Simples: tudo aquilo que por si só é importante (Informação) ou cujo seu papel pode afetar a segurança da informação (preservação da confidencialidade, integridade e disponibilidade).

Cerca de três anos atrás fiz um exaustivo estudo de identificação dos possíveis tipos de Ativos. Estudei o texto das principais normas de gestão de risco e segurança da informação com o objetivo de identificar classes de ativos (categorias) com o fim de estruturar melhor a organização dos ativos no contexto da gestão do risco. Esta para mim seria o primeiro passo rumo a configuração de uma ciência.

Seguem abaixo algumas das minhas conclusões:

1-) Sobre categorias de Ativos

As normas, em sua maioria, fazem referência a seis grandes grupos de ativos, que são:

a) Ativos de Informação: informação digital e em papel;
b) Ativos de Software: sistemas, aplicações, ferramentas e etc;
c) Ativos Físicos: dispositivos de processamento, armazenamento, ambientes e etc;
d) Serviços: serviços de computação, serviço de transporte de dados (aluguel de link), serviço de fornecimento de energia elétrica e etc;
e) Pessoas: funcionários, terceiros, estagiarios e etc;
f) Ativos Intangiveis: imagem da empresa, reputação, credibilidade, vantagem estratégica e etc.

Ufa! Chegar até aqui, acreditem, não foi fácil. Hoje estou satisfeito porque consigo classificar qualquer ativo em uma destas seis categorias. Esse pequeno primeiro passo foi importante para a estruturação do meu entendimento; entendimento de algo que até então parecia muito vago e sem método.

Subdividi estas seis categorias em outras 28 categorias, que subdividi por sua vez em 50 categorias. Com isso ganhei granularidade. A vantagem em classificar os ativos em subcategorias é o tempo que economizamos para atualizar nossa matriz de risco. Explico o porquê.

Imagine que você tenha um novo risco associado a "funcionários terceirizados", ao invés de correr sua matriz de risco em busca de ativos que façam referência a "funcionários terceirizados", basta categorizar o ativo nesta classe, e automaticamente inserir o novo risco para todo o ativo assim definido. Isso economiza algum tempo, e garantirá que o risco será replicado para toda a sua base de ativos onde houver "funcionário terceirizado".

2-) Não confunda Inventário de Ativo de Hardware e Software com Ativos de Negócio

Aqui vai uma outra questão muito importante. Muitas empresas com as quais tenho tido contato, confundem a necessidade de identificar e classificar Ativos relevantes para a organização, com o exercício de gerar imensas listas de ativos de hardware e software.

Como o colega Siera escreveu, a função do inventário de ativos é identificar aquilo que é importante para a empresa. É uma forma de colocar em foco o mais relevante, e investir tempo em análise e proteção daquilo que de fato faz diferença para o negócio. Não conheço ferramenta de inventário de software que catalogue pessoas, serviço de terceiros, imagem da empresa, ambientes físicos e etc. Ferramentas de inventário de hardware e software são muito boas para dar ao administrador uma visão do seu parque tecnológico, mas no meu ponto de vista, mais atrapalham do que ajudam no inventário de ativos do negócio.

3-) Agrupamento de Ativos

A regra de ouro da gestão da segurança é manter o processo o mais simples possível. Acreditem em mim, ja fiz análises quantitativas, qualitativas, mistas e tudo o mais que foi possivel, e o ensinameno que levo de tudo isso é que o processo de gestão da segurança só vai melhorar se acontecer repetidas vezes, e só vai acontecer repetidas vezes se for simples.

Algumas empresas (talvez ainda com essa visão de hardware e software) costumam listar exaustivamente os seus equipamentos de TI, para analisar seus riscos separadamente. Por exemplo: imagine uma empresa de desenvolvimentode software com 300 funcionários, todos utilizando estações de trabalho padrão. Faz sentido cadastrar 300 ativos e realizar uma análise de risco para cada ativo? Em minha opinião isso seria gastar tempo e intelecto em vão. Se isso já é estranho, imagina ainda empresas que analisam 600 roteadores :-)

Para esta caso o ideal é identificar e cadastrar apenas um ativo "Estações de Trabalho da Equipe de Desenvolvimento XPTO", e fazer UMA análise de risco, porque no final das contas, os controles aplicados a todas as estações serão os mesmos.

4-) Classificação de Relevância dos Ativos

Peça para o dono do Ativo indicar sua importancia em CID. Não esqueça do L, que é a Legalidade. Caso existam regulamentações que exijam a proteção do ativo, a aplicação do controle independe da análise de risco.

Gosto muito de classificar os ativos em 3 níveis de relevância: alto, médio ou baixo. Estou anexando um figura que mostra a valoração (valuaton) do ativo em cinco tipos.
Considerações finais:

Peço aos colegas e amigos que me perdoem se fui pouco didático ou se dei pouca atenção a esse ou aquele ponto. Espero sinceramente que este POST possa ajudar alguém que assim como eu, já passou ou está passando por um processo de certificação ISO 27001.

Ativo - Segunda Parte

2007-07-31T08:47:00.003-04:00

Bom, poderia chamar este post de "Ativos - Além da Teoria, vamos a Prática". Porque pretendo, apesar de objetivo, passar por um dos pontos que mais costuma confundir o Security Officer interessado em atender a ISo 27001.

A questão é: quão granular devo ser para tratar os "ativos"? Devo considerar a caixa de e-mail do meu computador um ativo, ou o ativo é a minha workstation? Ou ainda, cada um dos computadores dos 750 funcionários do call-center são ativos diferentes? Se essas são as suas dúvidas não se desespere, 99 em 100 implantadores de ISO 27001 já passaram por estes dilemas "intelectuais".

A norma deixa claro que a organização deve identificar seus principais ativos. Quando escreve "principais ativos" não significa uma lista exaustiva dos ativos da organização. A única função de separarmos do joio os ativos importantes é garantir que a análise de risco será sobre aquilo que mais importa para a minha organização.

Quão profunda deve ser essa seleção? Neste, como em todos os outros critérios da norma, deve sempre imperar o bom senso. Se eu tenho 300 estações de trabalho da equipe do desenvolvimento, e julgo que os riscos aos 300 são os mesmos, basta que eu indique o ativo "Workstations da Equipe de Desenvolvimento". E lá vou eu em busca de 10, 20, 50 ou 100 riscos relacionados a este ativo.

É claro que se eu identificar um risco alto relacionado por exemplo ao vazamento de código fonte através de um serviço de webmail gratuito, vou aplicar o controle bloqueio de web para todas as estações do setor (não sejam assim tão maus!).

A regra é: faça uma boa análise de risco. Se para isso você tiver que entrar na peculiaridade do hardware, então faça. Nos meus muitos anos de praça nunca precisei, e acho que se tivesse feito, teria decuplicado o meu trabalho, além de tornar inviavel a perpetuação deste processo nas empresas dos meus clientes :-)

Ativo - Primeira Parte

2007-07-31T08:47:00.001-04:00

A norma ISO 27001 deixa claro em seu texto, que a implementação do SGSI está focada em proteger os ativos importantes da organização. Mas afinal de contas, o que é um "ativo"?

Pra quem vem do mercado financeiro, ou pra quem opera no mercado de capitais, este termo é bem familiar. Ativo é tudo aquilo que tem valor ou gera valor para uma empresa.

Muitas vezes a turma de TI confunde ativo especificamente com componentes de tecnologia. É importante compreender que ativo é um termo muito mais abrangente.

Fiz uma análise das principais normas de segurança da informação: ISO 27001, ISO 13.335-1 e 2, ISO 17799 (ISO 27002) entre outras. O que percebi é que existe uma definição em comum entre estas normas, de que os ativos podem ser classificados em seis tipos. São eles:

Informação
Software e Sistemas
Pessoas
Serviços
Áreas ou Instalações Físicas
Intangíveis (imagem, credibilidade e etc)

Bom, então aqui vai a minha dica: quando forem analisar os riscos para determinado escopo, considerem agrupar tipos de risco para cada uma das categorias acima.

Classificação da Informação

2007-07-31T08:45:00.001-04:00

Bom pessoal, este é um dos mais controversos controles do anexo A da ISO 27001. Literalmente você pode montar uma iniciativa complexa para classificar sua informação ou algo simples. Neste controle mais do que em qualquer outro é importante estar bem focado no negócio, para não criar um monstro capaz de devorar o próprio Security Officer.

Em primeiro lugar, creio que o termo correto, ao invés de CLASSIFICAÇÃO DA INFORMAÇÃO, deveria ser TRATAMENTO DA INFORMAÇÃO. Explico o porquê. Bom, em primeiro lugar entendo que a classificação da informação é apenas uma das facetas do tratamento da informação, que também deve considerar o "rótulo".

Vamos deixar isso mais simples. O que entendemos por Classificação da Informação é um processo que se divide em "Criação de Categorias de Informação" e "Definição de como rotular as informações". Isso tudo para tratar a informação considerada confidencial de maneira diferente da informação pública.

Exemplo: minha empresa pode ter três categorias de classificação, sendo (a) informação confidencial; (b) informação de uso interno; (c) informação pública. O bacana a partir da classificação é poder determinar como será tratada a informação confidencial quando for enviada por e-mail (na maioria dos casos só pode ser enviada se criptografada), ou até mesmo métodos de descarte de informações confidenciais em papel (que só será feito através de fragmentadora de papeis).

Mas para que serve a tal da classificação? Sabemos que proteção da informação é um recurso caro, classificar é uma forma racional de proteger melhor aquilo que é mais importante :-)

ISMS - Keep it simple!

2007-07-31T08:44:00.001-04:00

Implementar um SGSI certificável pela ISO 27001 não é tarefa das mais fáceis. É um honroso emprego da inteligência na aplicação de melhores práticas que visam transformar a cultura de uma empresa e voltar a atenção do Board para a proteção da informação.

Proteção sistemática que deve se perpetuar.

Alguns "Indiana Jones" da segurança da infomração tem-se aventurado a inciar o processo de certificação nas empresas onde trabalham. O caminho é árduo quando se começa certo. O caminho é árduo e tortuoso quando logo de início calçamos o sapato apertado ou somos obrigados a andar rápido demais.

O mau planejamento de orçamento e a má definição do Escopo da certificação, tem sido os principais fatores de insucesso em projetos de ISO 27001. Explico.

1) Como estes projetos tendem a iniciar por TI, muitos gestores acreditam que a certificação é uma iniciativa que o ajudará a justificar a compra de 'n' softwares e appliances para proteção de dados. Em alguns casos sim, em outros casos não. Esquece o nosso gestor neófito que historicamente gastamos muito mais em educação e treinamento. Consulte a área de Qualidade de sua empresa para entender a abrangência do assunto.

2) Quando a definição de escopo, recomendo uma boa lida na norma ISO 27001, no item 4.2.1 item (a), que transcrevo abaixo:

a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope (see 1.2).

Recomendo veementemente que a consolidação do escopo seja feita com apoio de um especialista. Muitas empresas cometem erros venais quando definem como escopo uma área ligada a sistema ou infra-estrutura de TI. Para estes casos fica muito complicado identificar as interfaces com outras áreas de negócio, e se criarmos infinitas interfaces para isolar o escopo, corremos o risco de implementarmos o SGSI em um escopo de pouco valor para o negócio da organização. Não esqueça que a informação é dinâmica, e não estática.

Pense por vertical de negócio e não por horizontal ou backoffice.

TI e a Corrida para o Futuro - A Gestão de Riscos como Alternativa

2007-01-25T11:13:00.000-05:00

Por Victor Hugo Menegotto, CISSP

Geralmente a corrida inicia em direção ao caminho mais fácil, que parece ser sempre o mais adequado, o menos custoso, e mais eficiente, quase tão bom quanto os maiores players do mercado. Afinal, se a Microsoft, a Cisco e a IBM seguem estes padrões, faremos o mesmo, é perfeito. Parece perfeito.

Perdi a conta do número de projetos encerrados e sem continuidade, perdi a conta do número de executivos que não se preocupou em gerir, medir e controlar, mas apenas em atender demandas externas ou exigências internas. E de fato, seus objetivos foram atingidos, mas para um período curto de tempo, a curto prazo, pois é assim que funciona nossa cultura. Não é a toa que os indianos possuem uma grande potência em TI, eles planejam a longo prazo, e quando começam a colher os frutos, a garantia de que terão frutos para um século é quase certa. O mais grave disso tudo, não é a garantia dos frutos que talvez não tenhamos, mas a concorrência - com planejamento e organização – que sem piedade, nos atropelará.

Então basta de atender demandas e exigências, esta na hora de planejar o futuro, participar da implantação de seja qual for a normativa, e principalmente, dar continuidade aos processos implementados. Essa é uma tarefa difícil, mas longe de impossível. Com participação, organização e as ferramentas certas, o processo se torna menos complexo. E às vezes até simples.

Mas afinal, que normativa devemos seguir?

Considerando ITIL (ISO 20000) e Cobit, como muito promissores, pelo menos 1 destes 2 é um “must have” para quase qualquer organização de médio à grande porte. Mas o principal ponto de investimento, não é especificamente nenhuma norma. E sim, a gestão de riscos, sejam eles financeiros, de mercado ou de segurança. Independente do risco, sua gestão é fundamental.

Ok, esta entendido, ITIL, Cobit e Gestão de Riscos, mas por onde começo?

Quando você compra um carro, qual a primeira coisa que você se preocupa?

a) Em como vai fazer para consertar alguns detalhes da pintura;
b) Em como vai fazer para trocar o som, as rodas e etc;
c) Com o seguro.

Não sei em relação a você, mas para mim a resposta parece muito simples, no seguro é claro. E é neste ponto que assino embaixo da Gestão de Riscos, que irá nos proporcionar a alternativa para o seguro - o controle. A gestão de riscos vai nos dizer, quais são os problemas, vai elencá-los, vai tratá-los, e vai medí-los. Provendo a gerencia completa sobre nossos processos. Sem dúvida, a gestão de riscos deve ser o ponto de partida para qualquer executivo de TI.

E por favor, não esqueça: não basta analisar os riscos, você deve gerí-los, acompanhá-los, controlá-los e aí sim, terá gerência sobre Tecnologia da Informação e seus processos de negócio.

Socorro, invadiram o meu computador!

2006-04-07T11:11:00.000-04:00

Por Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Estamos mergulhados na tecnologia, e isso é inegável. Feliz, ou infelizmente, hoje não temos mais como optar em não fazer parte da comunidade “conectada” à Internet. A exclusão digital causa tanto impacto quanto qualquer outro tipo de exclusão social. Mas como em tudo que é novo, a tecnologia traz consigo riscos que até então eram desconhecidos. Nunca antes tivemos tantos relatos de fraudes na Internet, seja o roubo de informações de usuários, intrusão de computadores, captura de números de cartões de crédito ou até mesmo o controle da conta bancária do internauta desprevenido.

Mas a Internet não é um bicho de sete-cabeças, e tudo isso não acontece por acaso. Acredito sinceramente que passar o cartão de crédito pela Internet em 90% das vezes é uma operação mais segura que passar o cartão para o frentista em um posto de gasolina ou em um restaurante desconhecido. Onde mora a diferença entre a segurança e a insegurança no ambiente virtual? Mora no comportamento e nos hábitos do usuário, ou seja, em nossa condição de realizarmos tarefas com consciência do risco, e tomando alguns cuidados.

O assunto é novo e nem todo mundo tem acesso a informação de como se manter seguro no mundo digital. Você já deve estar se perguntando “O que eu devo fazer para navegar com tranqüilidade?”. Sintetizei abaixo algumas dicas que julgo de máxima importância e que poderão ajudá-lo. Se estas dicas forem levadas a sério e praticadas, posso garantir que você estará muito mais seguro.

Precauções para Usuários Leigos na Internet

• Evite instalar programas que você não precisa, principalmente pacotes de software distribuídos em revistas ou disponíveis gratuitamente pela Internet. Às vezes por traz de um software gratuito, esconde-se um programa que captura informações do seu computador e envia para centros de pesquisa de marketing e mídia.

• Desligue seu computador ou desconecte da Internet enquanto você não estiver utilizando.

• Evite ao máximo abrir arquivos via anexo ao seu e-mail. Esteja atento: os vírus geralmente enviam e-mails falsificando o remetente e usando o endereço de e-mail de alguém que você conhece. Frases curtas e em inglês ou português no corpo de e-mail, e arquivos anexados no formato ZIP são fortes indícios de vírus. Quando se trata de arquivos em anexo ao e-mail a ordem é sempre desconfiar. Em alguns casos recomendo que você telefone para o suposto “remetente” e pergunte se o e-mail é original. Muito cuidado com e-mails de desconhecidos, em 99% dos casos podem ser vírus. Não deixe sua curiosidade sobrepor sua cautela.

• Instale um software de antivírus em seu computador. Esta é uma premissa básica e deve reduzir bastante o seu risco de infecção por vírus, o que não garante uma “segurança 100%”. Lembre-se de atualizar seu antivírus: um antivírus desatualizado é só um pouco melhor que nenhum antivírus.

• Quando for utilizar a internet para fazer compras, dê preferência as lojas que possuem boa reputação ou indicadas por pessoas de confiança. Nunca passe mais informações pessoais ou informações da sua empresa do que o necessário.

• Não se constranja em ligar para a loja virtual para garantir que ela realmente existe. Pergunte ao vendedor qual o endereço físico da loja. Talvez você só tenha que fazer isso uma vez, e pode ter certeza que vai evitar dores de cabeça no futuro.

• Antes de você usar o notebook da empresa para trabalhar em casa, confira com a equipe de tecnologia da sua empresa se as regras de segurança não estão sendo desrespeitadas.

• Se você carrega um notebook ou um handheld (palmtop, pocket pc e etc), evite levar consigo informações confidenciais. Certifique-se de não deixá-los em locais onde possam ser roubados, principalmente quando são despachados no aeroporto.

• Grande parte dos crimes onde há roubo de informações como senha bancária, são realizados através de e-mails enviados a correntistas simulando a página dos bancos. A grande maioria dos bancos brasileiros não enviam e-mmails para seus correntistas, a exceção dos que enviam, em hipótese alguma solicitam informações como por exemplo a senha dos correntistas. Nesta caso a regra, mais do que nunca, é: DESCONFIE. Em caso de dúvida, ligue para o seu gerente.

• Se você teme pela visualização de conteúdos ofensivos pelos seus filhos, consulte um especialista. Existem mecanismos que filtram o conteúdo da Internet e impedem que crianças sejam expostas a pornografia ou outras ameaças desse tipo.

• Se o seu computador está se comportando de maneira estranha, como por exemplo, abrindo janelas com propaganda sem que você tenha clicado em nenhum botão, chame um especialista.

• Dependendo da importância das informações que você carrega em seu computador, recomendo que um técnico certificado e de confiança verifique de tempos em tempo o seu equipamento em busca de falhas de segurança, vírus ou cavalos-de-tróia (o cavalo de tróia é um software que permite ao intruso acessar seu computador remotamente).

• Utilize senhas fortes (com combinação de letras e números). Evite usar nomes próprios, datas e outras palavras de fácil adivinhação. Uma boa senha pode ser, por exemplo, a combinação de diversos caracteres com no mínimo 8 caracteres: “s3nh4f0rt3”. Troque sua senha pelo menos a cada 90 dias.

• Quando utilizar sistemas públicos, como por exemplo, cyber cafés, evite ao máximo acessar seu Internet Banking. Caso você tenha que acessar algum sistema que peça senha, certifique-se de trocá-la imediatamente após retornar para casa.

• Nunca, em hipótese alguma, revele a sua senha para ninguém, nem mesmo para o administrador do sistema da rede da sua empresa. A função da senha é ser secreta.

• Para usuários de sistema Microsoft, recomendo que utilizem o Windows XP com o service pack 2 (última atualização do sistema operacional). Se você não souber como fazer, procure o suporte de um técnico.

• Use um firewall, programa que protege o seu computador contra acesso de terceiros. Softwares de firewall podem ser facilmente encontrados em lojas de software ou na Internet. Recomendo ainda que utilizem o programa de firewall que vem junto ao Windows XP na versão com atualização do service pack 2. Configurá-lo pode não ser fácil, portanto considere o apoio de um técnico de confiança.

• Faça cópias de segurança dos arquivos do seu computador para CDs ou outras mídias removíveis, como disquete ou fitas. Confie em mim, você ainda vai precisar recuperar alguma informação importante.

Estas são apenas algumas dicas para que você possa evitar a maioria dos riscos do mundo digital. Cedo ou tarde vamos nos defrontar com alguma situação que poderá colocar em risco nossas informações, nossa privacidade e algumas vezes o acesso a nossa conta bancária. Neste momento, a diferença entre o sucesso ou o fracasso do ataque, será o seu conhecimento. Sinta-se a vontade para passar este documento adiante.

Segurança e Insegurança em Telefones Celulares

2005-02-11T11:09:00.000-05:00

Victor Hugo Menegotto, consultor da Axur Information Security.

Os crimes envolvendo a Internet e os ativos de informação estão surgindo com uma força jamais vista, ocupando cada vez mais o “top-of-mind” das preocupações rotineiras de CSOs, CIOs, CFOs e CEOs. Como tudo que é novo, existe ainda uma grande lacuna que dificulta o trabalho de investigações de crimes que utilizam a tecnologia como meio, e este gap é sentido por advogados, juízes e contadores, e não só pelos profissionais de TI. Como sabemos, o Brasil é referência mundial quando o assunto é “hackers e afins”, significa que devemos abrir os olhos para estas ameaças e garantir nosso papel também como referência no combate ao crime “virtual”.

Comentei em um artigo que escrevi em abril 2004 que deveríamos começar a nos preocupar com os vírus em telefone celular. Em junho de 2004 saiu a primeira notícia de um vírus para telefone celular pela Kaspersky Labs, e ao contrário do que já tinha se visto, este vírus era real, e não mais um HOAX. Em novembro do mesmo ano surgiu outro vírus. Eu sinceramente não imaginava que eles viriam tão rápido e que causariam tantos danos.

Os vírus para celular se propagam através de Bluetooth e, em alguns casos consomem toda a bateria dos aparelhos contaminados. Não é fantástico? Claro, do ponto de vista tecnológico. Já por outro lado, do ponto de vista do cidadão digital, é uma catástrofe. Estamos perdidos no meio de Bluetooth, Bluesnarfing, Bluebugging, Bluejacking e outros termos que denominam tecnologias e técnicas de intrusão. Mesmo os que não utilizam computadores estão sujeitos a uma contaminação, basta ser dono de um celular. A contaminação por estes "mobile virus" é voltada para aparelhos telefônicos avançados.

Os vírus atuantes mais comuns são o Skull, Cabir e suas variantes. O Skull substitui os ícones do telefone por caveiras, e o Cabir infecta os aparelhos em um raio de até 10 metros, via bluetooth. Um hacker com um dispositivo Bluetooth em um shopping pode conseguir diversas informações. Já imaginaram estar em um restaurante, em uma feira de tecnologia ou simplesmente passeando em um shopping center e ter o seu celular invadido por um hacker agindo através do Bluetooth? Ou mesmo, contamido por um vírus que apaga toda a sua agenda?

Da mesma forma como nos preocupamos com o aspecto de contaminação do celular por vírus, existe o viés da utilização do celular como ferramenta de espionagem, e então entramos na ciranda da busca por evidências nestes dispositivos, algo que até então ainda não se tratava. Informações muito valiosas podem estar contidas nos aparelhos, desde uma chamada realizada até uma fotografia. São inúmeros os casos de roubo de informações através de fotos tiradas via telefone celular. Um simples clique, e depois outro. Pronto, a fotografia do projeto esta no e-mail do concorrente. Mais fácil seria gravar uma reunião, ou telefonar para o concorrente e deixar o aparelho ligado durante uma decisão importante. As alternativas são muitas, cabe a nós identificá-las e tratá-las da forma mais adequada.

Já existe uma movimentação no mercado para proibição de utilização de alguns tipos de aparelho celular dentro das empresas. Em algumas corporações é proibida a entrada em determinados locais com telefone celular. Atualizem suas políticas e adicionem esta regra para os perímetros considerados críticos. A facilidade que estes aparelhos nos fornecem no dia-a-dia são também um prato cheio para quem quer se aproveitar de seus recursos.

Mas a salvação esta a caminho. O número de artigos e informações sobre investigação de aparelhos celular dobrou neste último ano. A tecnologia se desenvolve, e nós corremos atrás, na tentativa de criar proteção. O número de conceitos abordados por tecnologias móveis é tão grande que a comunidade de segurança da informação no Brasil deveria dedicar atenção maior ao tema. Não cabe discutir as vantagens e desvantagens das tecnologias, mas cabe o alerta de que esse conhecimento deve ser adquirido pelos profissionais de segurança.

Os aparelhos GSM, por exemplo, possuem cartões de memória denominaados SIM - Subscriber Identity Module, os famosos chips. Estes chips armazenam informações fundamentais para uma investigação. O GSM armazena até informações dos locais pelos quais o usuário do aparelho passou. Ferramentas como Sim Manager Pro e SIM-Scan são utilizadas para análises das informações armazenadas nos cartões SIM. Vale lembrar que os cartões também podem ser invadidos. Uma das práticas mais comuns de "anti-forensics" é a remoção de informações importantes para a investigação. Para quem tem GSM, guarde bem seu PIN e seu PUK. Outros aparelhos, CDMA, que não utilizam cartões do tipo SIM também podem ser investigados. Um exemplo de software para este fim é o famoso Oxygen, desta vez na sua versão Forensics.

Seguindo a regra de que neste ano de 2005 os investimentos em segurança serão priorizados, com o avanço das tecnologias de telefonia móvel, é interessante que as empresas comecem a levar em consideração medidas de proteção de propriedade intelectual em visão aos dispositivos móveis, considerando telefones celulares de handhelds. De qualquer forma, fica o recado, mesmo para quem passou por situações traumáticas de vazamento de informações através de celulares: existe uma luz no fim do túnel e com a tecnologia disponível para este tipo de investigação, é muito dificil que os criminosos consigam sair ilesos.

Security Officer: O Gestor da Segurança da Informação

2004-10-07T10:49:00.000-04:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Com a evolução dos sistemas de tecnologia houve uma desenfreada busca pela modernização e pela informatização dos processos das empresas. Processos que antes eram realizados manualmente, ou através de dezenas de formulários, foram traduzidos para os meios digitais. Isso tudo aconteceu nos últimos 10 ou 15 anos. A quebra de paradigmas dos ativos reais e tangíveis para os ativos de informação, muitas vezes intangíveis, fizeram com que as grandes empresas fossem pegas no contrapé.

O universo cada vez maior de hackers, de vulnerabilidades tecnológicas e de ameaças internas criaram um cenário de grande risco para as organizações. Surgiu um risco com o qual os executivos não estavam acostumados a lidar: o risco da quebra da confidencialidade, integridade e disponibilidade da informação. As primeiras perguntas dirigidas pelos CEOs aos diretores e gerentes de TI foram: Qual o meu nível de risco? Como devo gerenciar este risco? Qual o nível adequado do risco? Quais são as melhores práticas internacionais em segurança da informação?

E percebeu-se que ninguém sabia ou poderia responder. A disciplina de gestão de risco operacional, sistêmico, cambial, entre outros, é parte do dia-a-dia de muitas empresas; a gestão do risco à informação, não. Pois então, na mesma época – década de 90 - percebeu-se também que não havia ninguém nas empresas com conhecimento suficiente para responder as perguntas dos executivos. Foi frente a esta nova necessidade que surgiu o Security Officer.

O nome ainda permanece em inglês, mas Security Officer é o equivalente a Gerente de Segurança da Informação, e possui variações como CSO – Chief Security Officer, resumindo que este funcionário é responsável pela gestão da segurança da informação. Observem que em algumas empresas americanas e até mesmo brasileiras, o CSO está com status de C-Level, respondendo diretamente ao Conselho Administrativo. Mas o nome do cargo não é tão importante, o que deve ser esclarecido é a natureza do seu conceito funcional.

Ainda está em crescimento o número de SO (Security Officers) que não são responsáveis somente por segurança em tecnologia da informação, acumulando também funções de segurança no controle de acesso físico – como deveria ser. Nos Estados Unidos a grande maioria dos SO possui background militar, do FBI ou serviço secreto; aqui no Brasil este cenário é muito diferente, nossas cadeiras de SO são ocupadas geralmente por ex-funcionários de grandes consultorias de segurança da informação.

O especialista em segurança da informação tem ganhado cada vez mais espaço no mercado de trabalho. Ainda existe muita demanda para profissionais de segurança, inclusive com salários que superam em muito a média de um profissional de tecnologia da informação. Infelizmente não existem muitos cursos acadêmicos com foco em segurança da informação, por conta disso, a formação deste profissional fica a critério de cursos especializados e de certificações internacionais. Nesta área, possuir certificações neutras (não focadas em uma tecnologia específica), pode significar rápida colocação no mercado de trabalho, destaco algumas certificações como CISSP e SSCP do (ISC)2, CISA, CISM do ISACA e CIFI do IISFA. Maiores informações podem ser encontradas na web.

Exemplo de Descrição de Cargo

Existe muita dificuldade em estabelecer quais são efetivamente as responsabilidades do SO e como este se enquadra na hierarquia de uma empresa. O que percebemos é que na maioria das empresas brasileiras o SO fica abaixo do diretor de tecnologia. Este é um modelo errado, embora eu tenha sempre muito cuidado em apontar este erro, porque já é um grande mérito a empresa possuir um responsável por segurança. No modelo ideal posicionamos o Security Officer de forma a que esta possa se reportar diretamente a Alta Administração. A independência é fator fundamental, porque o SO não pode se sentir constrangido em indicar situações anômalas que envolvam seus superiores. É necessário também um conhecimento generalista de tecnologia; queiramos oou não, as empresas são apoiadas por componentes tecnológicos em seus processos de negócio.

Responsabilidade:

Manter a análise de risco atualizada, refletindo o estado corrente da organização;

Identificar controles físicos, administrativos e tecnológicos para mitigação do risco;

Aprovar junto a Alta Administração o nível de aceitação do risco;

Desenvolver, implementar e gerenciar um programa de conscientização e treinamento com base na Política de Segurança da empresa;

Conduzir processos de investigação forense computacional e estabelecer interfaces com especialistas externos

Trabalhar lado-a-lado com consultores externos e auditores independentes quando for necessário.
Qualificações:

Deve ser diplomático, bem articulado possuir condições de liderar um ou vários grupos e ainda, estar capacitado a escrever relatórios com uma linguagem de negócio para indicar à Alta Administração o status de risco da organização;

Deve possuir experiência em Gestão de Risco, Política de Segurança, Plano de Continuidade de Negócios, Auditoria e padrões internacionais de segurança, como a BS 7799;

Deve estar capacitado a desenvolver acordos de níveis de serviço com terceiros, para estabelecer um bom controle da segurança nas interfaces externas à organização;

É interessante que o SO possua conhecimento em aspectos legais relacionados à segurança da informação. Algo que é muito valorizado é o conhecimento técnico e seu entendimento acerca dos controles tecnológicos como Firewall, IDS, VPN, antivírus entre outros.

Estas são algumas indicações que eu imagino que poderão facilitar na definição da posição do Security Officer na sua empresa. Obviamente existem diferentes modelos que vão variar de acordo com a cultura de cada empresa, o mais importante é começar, a evolução da figura do SO será uma equalização natural que a experiência fornecerá ao entendimento que a organização tem em relação à segurança da informação.

Governança Corporativa: Segurança da Informação na Mira dos Conselhos

2004-08-31T09:31:00.000-04:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

No atual modelo de governança corporativa, aspectos como a segurança da informação raramente são considerados. “Criar valor para o acionista” – esta é uma das principais premissas de qualquer empresa da iniciativa privada. Observando sob esta fria óptica, existe um grande contrasenso na abordagem utilizada por alguns executivos.

Alguns dos indicadores que posicionam o valor da empresa quando de um processo de valoração, são diretamente influenciados pela capacidade da organização em proteger sua informação. Significa que empresas da nova economia, e empresas da velha economia que estão buscando a modernização, tem seu maior valor concentrado nos ativos intangíveis, como marca, percepção de mercado e conhecimento.

Analisando este cenário, percebemos que os ativos de valor para a empresa se desdobram sob o prisma da informação. O que conta hoje não é mais o patrimônio imobilizado, e sim a capacidade que ela tem de gerar retorno sobre o investimento em uma perspectiva de dois ou cinco anos, em conseqüência dos seus diferenciais. Muitos destes diferenciais, que agregam valor para a empresa, são personificados em: bases de dados, cadastros, planejamento estratégico, fórmulas, projetos dentre outros. Ou seja, informação pura.

Os últimos cinco anos estão aí para confirmar; algumas empresas que surgiram no início deste nosso novo século já valem muito mais do que indústrias centenárias. Existe um movimento forte para a informatização, processos digitalizados; frente a isso, ou as empresas modernizam sua forma de pensar a gestão do negócio, ou terão que sair do jogo. Na estrada rumo ao desenvolvimento e a modernização, informatização é palavra chave.

Então, o que fazer para seguir um bom modelo de governança, considerando a segurança da informação como uma das regras do jogo? A exemplo do que muitas empresas já fazem nos EUA e em toda a Europa, as empresas brasileiras devem começar a olhar com mais seriedade para as questões dos riscos relacionados a tecnologia da informação. O que muitos executivos não percebem, é que a responsabilidade final caso ocorra algum incidente relacionado ao vazamento de informação, ataque de um hacker, perda de dados entre outros, será da Alta Administração. O impacto de qualquer um dos incidentes citados refletirá no potencial competitivo da empresa, minimizando sua vantagem competitiva e em alguns casos trazendo sérias conseqüências financeiras e administrativas, como quebra de contratos, multas e até mesmo degradação da imagem.

Para que haja caracterização de Due Dilligence, o Conselho Administrativo da empresa deverá prestar atenção em aspectos como:

• existência de uma política de segurança da informação dando o direcionamento das ações para o manuseio dos dados no ambiente corporativo e também por parceiros de negócio;

• analise dos riscos relacionados a informação, para poder tomar decisões em relação a implementação de controles

• acompanhamento dos incidentes expressivos no ambiente organizacional

• garantia da privacidade da informação de clientes e parceiros

• segurança da informação deve fazer parte das tomadas de decisão das empresas

Deve-se considerar também a formação de um Fórum de Segurança. Este Fórum já está presente nas grandes organizações e geralmente é composto por membros da Alta Administração e pelo Security Officer (pessoa responsável pelas questões táticas da segurança na empresa). Estas são algumas das medidas que devem ser estudadas para configurar um bom modelo de governança, considerando a proteção dos ativos de informação. Este processo não é simples e traz consigo uma mudança nos paradigmas administrativos, mas é tão importante, que deve ser tratado como ponto chave na estratégia de uma empresa que pretende continuar posicionada no mercado pelos próximos cinco anos.

Aplicações Seguras: Como saber se a segurança é suficiente?

2004-07-07T09:30:00.000-04:00

André Palma, consultor da Axur Information Security.

A garantia de segurança das informações de sua empresa depende diretamente de sua habilidade em gerenciar os riscos existentes no ambiente tecnológico. A implementação de ambientes seguros tem sido uma das principais preocupações dos executivos da Área de Tecnologia. Entretanto, é fundamental que as aplicações desenvolvidas para sua empresa apresentem os controles necessários frente aos cenários: “ameaças” x “vulnerabilidades” x “impacto”.

É importante ter em mente que desenvolver aplicações com segurança representa um custo adicional no projeto. Tanto prazo quanto investimento podem ser diretamente afetados pela necessidade de construir aplicações que estejam preparadas para os riscos existentes no ambiente em que serão executadas.

Quando o assunto é segurança, é impossível desconsiderar o aspecto financeiro envolvido. É muito importante que os profissionais de segurança e tecnologia estejam preparados para justificar os investimentos em segurança da informação. É necessário que todo custo envolvido em um projeto possa ser adequadamente justificado frente a necessidades reais.

Aplicar mecanismos de segurança em excesso, simplesmente para seguir as melhores práticas do mercado, pode significar investimento desnecessário: identificar o nível ideal de segurança não é um processo simples. Requer uma avaliação das ameaças e vulnerabilidades do nosso ambiente.

Sabe-se, por exemplo, que a quantidade de caracteres de uma senha está diretamente relacionada à dificuldade de quebra ou adivinhação desta senha. Agora a pergunta importante seria: quantas vezes tentaram quebrar ou adivinhar a senha de minha aplicação? Se nunca foi tentado antes, por que exigir senhas complexas com dezesseis caracteres ou caracteres especiais?

E por mais incrível que possa parecer, descobrir as estatísticas das tentativas de acesso não autorizado não é uma tarefa impossível. Comece analisando a quantidade de tentativas de entrada no sistema invalidadas devido à senha incorreta. Se estes números lhe parecem estranhos, então talvez seu sistema precise de senhas complexas com vários caracteres, caso contrário, talvez o mecanismo que exige senhas muito complexas esteja representando um custo desnecessário.

O que fica claro com este exemplo é o desafio de não apenas garantir o desenvolvimento de aplicações seguras, mas também de garantir que a implementação de mecanismos de segurança não está sendo exagerada. Em outras palavras, garantir que a aplicação irá atender os requisitos necessários de segurança, sem superestimar os riscos existentes.

Porém o contrário também não é desejável. Um outro lado da moeda pode ser apresentado por aplicações cuja segurança é considerada secundária, o que representa um erro assim como exagerar nos mecanismos de segurança. É comum que o cronograma para o desenvolvimento de aplicações priorize as funcionalidades essenciais ao sistema. Muitas vezes o pensamento é: “Vamos fazer o sistema funcionar, depois iremos pensamos nos aspectos secundários, como segurança”.

Considere sempre a segurança como aspecto essencial, pois não existe sentido em ter uma aplicação pronta, mas insegura. Cedo ou tarde será necessário aplicar mecanismos de segurança nesta aplicação e isto pode ser desastroso quando considerado após a finalização do projeto.

Partindo do pressuposto que seu ambiente está seguro, pois atualmente a segurança da infra-estrutura de tecnologia tem sido uma das prioridades nas áreas de tecnologia, é fundamental possuir uma metodologia que permita inserir mecanismos de segurança nas aplicações de forma racional. E mais, é importante que a aplicação seja monitorada para que a real necessidade ou eficiência dos mecanismos de segurança possam ser medidos e acompanhados enquanto a aplicação está em produção. Dessa forma é possível identificar os pontos em que a segurança foi subestimada e também aqueles pontos em que foi superestimada.

O desenvolvimento de novas versões das aplicações deve considerar melhorias também nos mecanismos de seguraança, dessa forma a aplicação irá com o tempo atingir o nível ideal de segurança considerando os riscos realmente críticos e a relação custo x benefício dos controles mecanismos implementados.

Qualquer erro de projeto, verificado posteriormente durante o processo de monitoração da aplicação, pode servir de lição para novas aplicações. O importante é não confiar em excesso na definição inicial dos requisitos de segurança de uma aplicação e garantir que a área de tecnologia está habilitada a verificar se as ações tomadas e os controles inseridos estão realmente minimizando os risco de acordo com o impacto para a empresa.

BS 7799-2: Certificar ou não certificar? Eis a questão.

2004-05-26T09:29:00.000-04:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

A euforia causada pela possibilidade da certificação em um padrão de segurança da informação internacionalmente reconhecido traz consigo um pouco de confusão. Já não se sabe realmente quais são os benefícios da certificação. Alguns defendem que a certificação na BS 7799-2 é uma importante demonstração pública de que a empresa utiliza uma sistemática homologada para o gerenciamento do risco, outros consideram a certificação como uma conseqüência natural de um sistema bem implementado. Quais são os reais benefícios de uma certificação em BS 7799-2? E quais são seus potenciais riscos (se é que eles existem)?

Por ser um entusiasta da segurança da informação, em especial da BS 7799, sou um tanto quanto suspeito para falar. No último ano tivemos três empresas brasileiras certificadas na norma, e para este ano estamos sentindo uma movimentação intensa de organizações dos mais diversos setores em busca da tão desejada certificação. A utilização do framework da norma BS 7799 talvez seja a solução para muitos gestores de tecnologia e de segurança que buscavam uma fórmula para gerenciar seus riscos e a eficiência de seus controles de segurança.

A norma reflete a experiência dos maiores players internacionais do mercado, e significa uma redução de trabalho considerável, uma vez que não temos que sair por ai reinventando a roda. Sintetizei alguns pontos que considero fundamentais na hora da escolha pelo caminho da certificação.

I - Aumentar a efetividade da segurança da informação

Para quem tem uma visão purista da segurança da informação, talvez este seja o mais importante aspecto inerente à certificação. A implementação de um SGSI – Sistema de Gestão de Segurança da Informação, segue a visão de melhoria contínua apregoada pelos sistemas de qualidade, na configuração de um PDCA (Plan-Do-Check-Act). Esta sistemática da à organização a capacidade de manter-se monitorando constantemente oportunidades de melhoria.

II - Investimento racional em segurança da informação

Muitas empresas não possuem claramente definidas suas necessidades de segurança - realizam grandes investimentos em segurança de acordo com as práticas de mercado. O retorno sobre o investimento em recursos de segurança torna-se obscuro. Possuir um Sistema de Gestão de Segurança da Informação significa identificar com grande precisão as necessidades de melhoria. Isto é, investir onde é necessário, garantindo um nível adequado de segurança e investimentos alinhados às necessidades da empresa.

III - Diferencial de mercado frente à concorrência

Em ambientes de forte concorrência, onde a confiança é fator fundamental para agregar novos clientes ao seu negócio, a certificação é uma poderosíssima ferramenta de marketing. Estar certificado na norma BS 7799 significa para o cliente a tranqüilidade em saber que a empresa possui solidez e que as suas informações, enquanto custodiadas pela empresa certificada, serão tratadas com o maior zelo, garantindo a privacidade, confidencialidade, disponibilidade, integridade e legalidade da informação.

IV - Gerar valor aos acionistas e satisfazer requerimentos de consumidores

A gestão da segurança da informação já esta sendo considerada como elemento complementar aos modelos de governança corporativa. Em tempos onde a informação é apontada como um dos ativos intangíveis mais importantes em processos de valoração das empresas, garantir uma boa gestão do risco da informação deve ser considerada disciplina tão ou mais importante que a gestão do risco operacional, de crédito, de câmbio entre outros.

V - É o único padrão com aceitação global

A norma BS 7799 é a convergência entre os interesses dos mais diversos tipos de empresas, tanto da iniciativa pública quando da iniciativa privada, para a configuração de um padrão que corresponda aos interesses do mundo todo. A primeira parte da BS 7799 transformou-se em ISO 17799, padrão reconhecido internacionalmente, inclusive no Brasil, onde contamos com a NBR ISO/IEC 17799.

VI - Pode haveer redução em taxas de seguro

Estar de acordo com as práticas indicadas na norma BS 7799 significa redução de risco. Do ponto de vista financeiro, quanto menor o risco, tanto maior será a garantia de perpetuidade do negócio. Algumas empresas conseguiram expressivas reduções nas taxas de seguro em vista da certificação.

VII - A norma cobre a área de tecnologia, recursos humanos e estrutura física

Ao contrário de normas específicas para segurança de ativos tecnológicos, a BS 7799 cobre a organização com uma visão holística, considerando a proteção do patrimônio informação independente da sua forma de apresentação (física, digital, voz e etc), considerando controles tecnológicos, administrativos e físicos. Muitas vezes há uma preocupação excessiva com a tecnologia e esquecemos que a dependência da empresa pelo conhecimento de um técnico especialista em JAVA, pode ser uma vulnerabilidade tão grave quanto um firewall mal configurado.

VIII - Reduz a probabilidade de risco devido a não implementação de políticas ou procedimentos eficientes

A organização da gestão da segurança no modelo PDCA, garante a continuidade das ações de segurança e a constante medição da eficiência dos controles, no melhor modelo Security Scorecard. Evita que sejam despendidos esforços em vão em projetos perecíveis que são ações pontuais contra focos de risco. As auditorias internas e o sistema de reporte de incidentes garantem um tratamento continuado às políticas de segurança e a efetividade da utilização dos procedimentos necessários para a manutenção da taxa de risco.

IX - A Alta Administração direciona as ações de Segurança da Informação

Com a estruturação da segurança conforme o padrão BS 7799, quem comanda as ações estratégicas que vão nortear as atividades táticas e operacionais é a Alta Administração da empresa. A composição do Fórum de Segurança contempla o repasse de síntese de incidentes, dos resultados da auditoria interna de segurança e da eficiência dos controles para os executivos. Este sumário apresenta o status da empresa frente aos riscos existentes, considerando os riscos que estão sendo mitigados e riscos que fazem parte do negócio.

X - Revisão independente do seu sistema de Gestão da Segurança

A certificação na BS 7799 indica a revisão independente do seu sistema de gestão de segurança da informação. O documento da certificação atesta a imparcialidade com que seu sistema de gestão foi avaliado. A auditoria externa segue regras rígidas e por isso tranqüiliza os parceiros das empresas certificadas: com a certificação em BS 7799, a empresa realmente pratica a disciplina de segurança da informação.

XI - Certificação significa “due dilligence” e redução do risco

Estar certificado significa expressar publicamente que a Alta Administração desenvolveu uma análise de risco à informação, que possui uma política de segurança da informação e que esta é divulgada amplamente, e que existe uma sistemática para monitorar permanentemente os riscos aos ativos de informação. O termo “due dilligence” indica que a empresa toma as atividades necessárias frente as suas responsabilidades para salvaguarda da sua informação. Caso, futuramente, ocorram incidentes relacionados ao vazamento de dados ou qualquer outro tipo de evento, a empresa poderá apontar indícios de que tomou todos os cuidados para que esta situação não ocorresse.

XII - Maior conscientização por parte dos funcionários

A busca e a manutenção da certificação na BS 7799 é por si só um motivador para o engajamento dos funcionários junto aos objetivos de segurança da informação. A segurança da informação sempre foi vista com certa antipatia pelos colaboradores, de uma forma geral, por parecer um cerceamento desnecessário das facilidades de acesso à informação que gozam a grande maioria dos nossos colegas de trabalho. Utilizar a certificação como razão para a manutenção da segurança, em um primeiro momento, pode ser um forte aliado para conquistar a colaboração de funcionários e justificar ajustes um pouco mais profundos na estrutura da empresa (como por exemplo, cotas de e-mails, regras para acesso a internet entre outros).

XIII - Determinações governamentais de alguns paises

Quem tem acompanhado a evolução no número de certificações no mundo certamente reparou no avanço no número de empresas certificadas na Ásia. Liderados pelo Japão – conhecido pela implementação de sistemas de qualidade, - que avançou de 17 certificações no início de 2002 para mais de 260 no final do ano, fica fácil perceber a importância que a norma vem ganhando nos paises asiáticos. Espera-se que nos próximos 3 anos alguns paises exijam certificações de segurança para parceiros estrangeiros alegando questões de “segurança nacional”.

Motivações finais

Acredito que os pontos acima citados apresentem razões suficientes para que possamos sim considerar a possibilidade de buscar a certificação. Participei da primeira certificação da área financeira nas Américas e atualmente estou envolvido em diversos projetos que objetivam a certificação; nosso sentimento é que para aquelas empresas onde a tecnologia da informação representa mais do que uma área de “sustentação de processos”, significando agente no ganho de margem competitiva e diferencial estratégico, a BS 7799 será mais do que um simples modismo, será condição de sobrevivência no mercado.

Segurança da Informação: Novas Oportunidades Tecnológicas x Novas Ameaças ao Negócio

2004-04-26T09:27:00.000-04:00

Victor Hugo Menegotto, consultor da Axur Information Security.

O rápido desenvolvimento das tecnologias de rede tem levado muitos gestores a imaginar onde estaremos daqui a alguns anos. Sistemas de intercomunicação cada vez mais complexos vêm sendo exigidos, esticando a ponta da corda, do outro lado vem o hardware, também puxando com força. Uma combinação de peso, caminhando junto e evoluindo de maneira espetacular. A principal meta é fazer que esta caminhada seja absorvida de forma natural e associada aos objetivos de negócio, principalmente no quesito segurança da informação.

A segurança da informação é uma preocupação que está passando de exclusividade dos gestores de TI para as pautas dos conselhos administrativos. É realmente preocupante imaginar o crescimento do parque de servidores, estações de trabalho, novos sistemas, novas ameaças e seu impacto para o negócio. A atitude deve sempre ser pró-ativa, não podemos nos deixar levar pelo maravilhoso mundo moderno do “just do it” e esquecermos da segurança necessária para mantê-lo. Muitos belos projetos podem cair por terra por não considerarem adequadamente a segurança. Levando em conta estas considerações, pensar em uma análise de risco como primeiro passo é um “must have”.

As ameaças de segurança crescem em paralelo ao desenvolvimento da tecnologia, e em muitos casos com mais voracidade. Observando os principais portais de segurança da informação, encontramos novas ameaças todos os dias, desde vírus até brechas em sistemas operacionais. Atualmente estamos cercados por centenas de tipos de ameaças, como websites falsos de Internet Banking, câmeras de filmagem em caixas eletrônicos, clonagem de celular e outras muitas.

Já a algum tempo existe um boato pregando a existência de um vírus para celular. Parece absurdo? Não. Com o desenvolvimento desenfreado das telecomunicações, com tecnologias como GSM e CDMA, aplicações cada vez mais poderosas podem ser executadas nos aparelhos. Um exemplo são os sistemas em Java que podem ser copiados para os aparelhos com um simples clique do mouse. Não é a toa que sistemas Java vem ganhando mercado com rapidez. Os jovens desenvolvedores - com o incentivo das universidades que adotaram a linguagem em diversas disciplinas dos cursos voltados à tecnologia - vem se aprimorando cada vez mais. Isso tudo contribui para uma nova geração de ameaças, vindo junto com tecnologias que para atender as necessidades do mercado tem um ciclo de desenvolvimento muito curto.

Em breve estaremos recebendo SPAM (mensagens indesejadas) via mensagens SMS. Imaginem então, sistemas anti-spam para celulares. O que parece absurdo agora, talvez seja comum daqui dois ou três anos. É o que dizem especialistas em segurança das maiores empresas de antivírus do mercado mundial.

O Brasil é um dos países que mais possui telefones móveis por habitante, tendo ultrapassado o número de telefones fixos. São aproximadamente 45 milhões de telefones móveis contra 39 milhões fixos. A tendência é a modernização destes celulares até que todos se transformem em handhelds, ou o contrário, os handhelds se transformando em celulares. De qualquer forma, já existem alguns modelos no mercado, e em pouco tempo todos serão equipamentos de terceira geração. Como os handhelds são cada vez mais poderosos e mais similares aos computadores, os criadores de vírus vão ter que unificar seus códigos, para que os mesmos sejam portáveis, tanto para os computadores como para handhelds/celulares.

A portabilidade talvez não seja a principal preocupação para os desenvolvedores de vírus, já que é comum a utilização de HTML para o acesso a internet através de handhelds, por exemplo.

Outra preocupação do crescimento tecnológico sem freios é o acesso wireless, que vem tomando proporções fantásticas. Em quase todos os aeroportos do Brasil podemos encontrar access points, o que possibilita o acesso de qualquer pessoa com um notebook e uma placa wireless. Talvez os aeroportos se tornem ponto de encontro para hackers do mundo todo. O acesso não autorizado a estas redes é realmente preocupante. A utilização de ccriptografia e autenticação são premissas básicas para o crescimento adequado desta tecnologia.

A adaptação para este “admirável mundo novo” deve partir de diversas frentes, mas principalmente do gestor de TI. Este, deve saber administrar as mudanças de maneira adequada, possibilitando um crescimento organizado e conciso. É também papel deste gestor controlar os riscos de segurança de tecnologia. Porém, este gestor não é responsável pela segurança da informação de toda empresa. A Segurança da Informação é responsabilidade da alta administração, juntamente com o Chief Security Officer. Estes, devem criar uma cultura de segurança para a empresa, como é bem visto, a Segurança da Informação é gerenciada com uma abordagem top-down. Este conceito esta se desenvolvendo cada vez mais, e quanto mais maturidade atingir, mais seguros estaremos, sejam quais forem as novas ameaças.

Classificação de Informações: Além da Confidencialidade

2004-04-06T09:26:00.000-04:00

André Palma, consultor da Axur Information Security.

Nem todas as informações possuem o mesmo valor para uma organização. Informações estratégicas são nitidamente críticas enquanto que determinadas informações operacionais são menos significantes em termos de valor e importância. Todos concordamos que proteger as informações é prática de mercado. Entretando, proteção significa controle e controlar requer investimento. Porém este investimento deve ser focado, otimizado. Algumas empresas investem mais na proteção de ativos físicos do que na proteção de suas informações digitais: é desnecessário comentar que certas informações digitais podem ser inúmeras vezes mais valiosas que ativos físicos.

Para proteger as informações de forma racional é preciso reconhecer o valor de cada informação. Proteger todas as informações com o máximo rigor é investir de forma incorreta. Reconhecer o valor das informações permite tratá-las de forma adequada e conseqüentemente otimizar os recursos de proteção. Imagine o custo relacionado ao emprego de criptografia a todas as informações de uma empresa. É realmente necessário criptografar todas as informações importantes?

Classificar as informações é uma prática direcionada à proteção racional das informações. Classificar significa enquadrar as informações em diferentes categorias de acordo com sua importância e criticidade para a empresa, e, através da categorização das informações aplicar controles de segurança diferentes para cada nível de segurança existente. Dessa forma pode-se exigir maior rigor e proteção no tratamento de informações críticas e minimizar o custo de proteção de informações sensíveis mas não tão importantes para a empresa.

O atual sistema de classificação utilizado pela maioria das empresas é em grande parte direcionado à proteção da confidencialidade das informações. Estes esquemas de classificação possuem níveis de segurança como confidencial, restrito, institucional, privado, público, secreto e outras denominações semelhantes. Esta nomenclatura, bem como o direcionamento à proteção da confidencialidade, são conseqüências diretas da grande influência das normas governamentais norte-americanas bem como influência do exército norte-americano. Quem nunca viu um filme onde o exército lida com informações confidenciais ou classificadas como top-secret.?

Entretanto é importante lembrar que a disciplina de segurança da informação evoluiu e não está mais focada apenas na garantia de confidencialidade das informações, mas também visa preservar a integridade e a disponibilidade destes ativos. Quando uma empresa utiliza níveis como confidencial, secreto, público e outros, apenas a questão da confidencialidade é destacada e isto gera um senso comum de proteção exclusivamente deste aspecto, deixando a integridade e a disponibilidade em segundo plano. É importante observar que as informações possuem diferentes requisitos de confidencialidade de integridade e de disponibilidade. Considerando este contexto, as diversas sistemáticas não deveriam utilizar níveis de segurança cujos nomes apontam exclusivamente à manutenção da confidencialidade. É fundamental que a nomenclatura utilizada para cada nível represente a segurança através dos seus três aspectos principais. Uma alternativa seria utilizar uma sistemática de classificação que indicasse os três níveis. Por exemplo, um determinado relatório poderia apresentar a seguinte classificação: C2-I3-D1 – este código indica que a informação possui requisitos individuais para confidencialidade, integridade e disponibilidade.

As regras e procedimentos existentes para o tratamento das informações devem indicar os requisitos mínimos de proteção associado de acordo com o valor atribuído à confidencialidade, integridade e disponibilidade. Por exemplo, informações com índice três para confidencialidade devem ser armazenadas de forma criptografada; informações com nível três para integridade devem ser validadas antes de inseridas em bases de dados; informações com nível três de disponibilidade devem estar armazenadas em seus pontos de uso, evitando a indisponnibilidade por falhas nos links de comunicação. É importante observar que são requisitos independentes e as informações serão tratadas de acordo com a real necessidade.

Uma alternativa mais simples seria classificar as informações com um qualificador único. Este pode ser numérico, ou pode estar associado a um nome. Porém os nomes utilizados não devem transparecer a preservação exclusiva da confidencialidade. É interessante utilizar nomes como importante, crítico, vital, sensível, público. Esta nomenclatura teria a mesma função dos nomes utilizados nos sistemas convencionais, porém os usuários estariam mais atentos a garantia não apenas da confidencialidade, mas da integridade e da disponibilidade das informações ao enquadrá-las em um dos níveis existentes.

Como resultado final teremos a evolução do processo de classificação das informações de acordo com a evolução da disciplina de segurança. Garantir apenas a confidencialidade não mais suficiente para a maioria das empresas. É evidente a necessidade de mudança nos atuais esquemas de classificação utilizados. Independentemente da nomenclatura e sistemática utilizada, a idéia é não focar apenas a confidencialidade, mas garantir que o processo irá considerar também a integridade e a disponibilidade das informações.

Desenvolvendo e Mantendo uma Rede Segura

2004-02-18T09:25:00.000-05:00

Charles Schneider, consultor da Axur Information Security.

Não é novidade a crescente preocupação dos gestores de grandes organizações na busca pela segurança da informação. Alguns índices e pesquisas comprovam o porquê desta apreensão.

Em 2003, o índice geral de ataques a sites web subiu 19%. Cada empresa foi vítima de aproximadamente 38 ataques por semana no primeiro semestre de 2003, contra 32 ataques no mesmo período de 2002.

O Brasil ficou na liderança no ranking dos países alvos de ataques, sendo que 25% de todos os ataques mundiais originaram-se de sistemas localizados no Brasil - de cada 10 sites de hackers, sete são em português.

O número de usuários residenciais de Internet no Brasil beira 10 milhões de pessoas.

As perdas totais na economia mundial, causadas por ataques digitais e por vírus de computador, são estimadas entre US$ 45 bilhões em 2003 e US$ 63 bilhões em 2004. O total de ataques, considerando-se outros tipos de operações de hackers, soma uma média de 4,8 mil casos mensais.

Considerando este altíssimo índice de ataques, mais alarmante ainda é o número de tentativas onde o intruso consegue ou acessar, ou modificar, ou destruir informações sensíveis da organização visada.

Como estes criminosos conseguem alcançar o sucesso nas suas inúmeras ações na tentativa de “burlar” os sistemas corporativos?

Um dos pontos críticos é o alto grau de vulnerabilidades descobertas, pois até a metade do ano de 2003 foram registradas mais 1.400 novas vulnerabilidades, 12% a mais do que o número detectado no mesmo período do ano de 2002, sendo que 80% das vulnerabilidades descobertas poderiam ser exploradas remotamente, agravando ainda mais este cenário.

Para aproveitar estas brechas, os invasores precisam da ajuda muito especial de desatentos profissionais de TI: “a falta de um planejamento de segurança e de um desenvolvimento de rede adequado e seguro”, baseado no modelo de negócio requerido pela organização.

Para adequar a rede de sua organização a um nível mínimo aceitável, recomenda-se utilizar o framework NDSec (Network Security Design), utilizado pela Axur.

Análise dos Processos e do Modelo da Organização

A primeira etapa de início deste desafiante trabalho é uma análise geral da organização, e para auxiliar neste processo sugerimos a divisão do mesmo em três tarefas distintas: (1) Planejamento, (2) Implementação e (3) Gerenciamento.

Durante o planejamento e design, o foco será a geração de um overview de alto nível dos processos e dos objetivos da companhia. Esta fase inclui tarefas como entendimento do modelo de negócio, sua abrangência, bem como os processos da organização, que incluem o fluxo de informações, o fluxo de comunicações, os serviços, a estratégia e tomada de decisões, as necessidades do negócio, a avaliação dos serviços de rede, a avaliação da infraestrura de rede existente, o design da rede de computadores e o custo x benefício das soluções entre outros.

Na fase de implementação, devem ser realizados testes-piloto das soluções, instalações e configurações propostas na etapa de planejamento, lembrando que instalações e alterações críticas devem ser obrigatoriamente testadas e homologadas antes que sejam repassadas para o ambiente de produção.

Na etapa de Gerenciamento encontram-se as tarefas diárias e rotineiras, incluindo o monitoramento e a melhoria contínua dos processos, é o que usualmente se chama Housekeeping (Governança) para TI. Vale lembrar que a norma ISO/IEC 17799 dedica um capítulo exclusivamente à operação.

Durante o design de rede, tenha em mente que os processos de negócio direcionam os processos tecnológicos. Os critérios de design de rede são divididos em quatro aspectos: Funcionalidade, Segurança, Disponibilidade e Performance.

Ainda nesta fase, é necessário compreender o modelo de negócio da companhia. Fatores como condições econômicas, leis governamentais, fatores competitivos entre outros que podem impactar o desenvolvimento da rede da empresa.

Análise do Plano de Negócios

NNesta fase deverá ser analisada a estrutura organizacional existente, considerando o modelo de gerenciamento, relação com parceiros, terceiros, vendedores e com os clientes. Faz-se necessário avaliar também os fatores que podem influenciar as estratégias da organização como a identificação das prioridades da empresa, identificação do crescimento projetado e a estratégia de crescimento do TCO.

Você provavelmente deve estar se perguntado: - Estamos falando de projeto, gerenciamento, negócios, mas, o que tem a ver com a segurança de redes?

Todo este planejamento serve para minimizar as chances de falha no projeto. O PMI (Project Management Institute) indica que um projeto falha por inúmeras razões, dentre elas a separação entre negócio e tecnologia, falhas de comunicação, processos inflexíveis e dificuldade de mudança.

Análise do Modelo de Gerenciamento

Neste momento devemos analisar a estrutura de Gerenciamento de TI, incluindo o tipo da administração, como centralizada ou descentralizada, o modelo financeiro, o método de tomada de decisões e os requerimentos e critérios de segurança para o usuário final.

Os usuários podem ser agrupados em tipos pré-definidos como usuários externos, regulares, viajantes e de internet. Com base nestas categorias deve ser adequada a definição de estratégia de segurança da informação.

Projetos como o de desenvolvimento, implementação e manutenção de uma rede segura com certeza terá custos, que devem ser coerentes às reais necessidades de segurança. Devem ser avaliados também os recursos utilizados, se serão utilizados recursos internos ou externos.

Avaliação dos Riscos

Nesta fase devem ser identificados os riscos a que a organização está exposta, sendo que estes riscos podem ser internos ou externos. Recomenda-se a identificação do nível de tolerância aos riscos.

Segundo pesquisa do CSI/FBI – Computer Crime and Securiry Survey 2003, 90% dos crimes virtuais são relativos a “Insider Abuse of Net Access”, ou seja, usuários da rede interna acessando informação não autorizada.

Aqui também será revista e planejada a segurança física, mas não pense somente em controle de acesso, muros e cerca elétrica, mas também no mapeamento da rede, a criação de DMZ (Zona Desmilitarizada), tipos de firewall (Bastion Hosts, Screened Subnet e etc).

Existem quatro passos essenciais para o gerenciamento de riscos: (1) Identificação dos Riscos, (2) Quantificação dos Riscos, (3) Controle de Riscos e Monitoramento e (4) Gerenciamento de Riscos.

Existem inúmeras maneiras de identificar os riscos, e uma das formas mais aceitas e utilizáveis é através de entrevistas e brainstorms com os principais responsáveis e conhecedores do processo, conversa intermediada por especialistas em segurança.

Revisão Tecnológica

Na revisão tecnológica deverá ser documentado o ambiente atual da empresa, a conectividade entre as localidades geográficas, a avaliação da banda e performance de rede requerida, a metodologia de acesso aos sistemas e as responsabilidades administrativas dos colaboradores.

Convém que seja realizado um inventário de todo os ativos tecnológicos da organização, que incluam hardware e software, infra-estrutura de rede, servidores de arquivos e arquitetura de diretório.

A infra-estrutura de rede física deve ser documentada, considerando os links, as configurações de rede como resolução de nomes, endereçamento IP, número de usuários por site entre outros. O diagrama lógico deve conter os sistemas utilizados, relações de confiança e arquitetura de domínio.

Um ponto crítico que deve ser tratado e analisado faz menção a usuários móveis que conectam a rede interna de um local fora das dependências da organização.

Em relação a tráfego de rede e performance pode ser necessário criar uma baseline aceitável para o negócio da organização. Para isto podem ser utilizadas ferramentas especiais para medição e monitoramento do tráfego. É necessário também considerar a qualidade da rede da estrutura atual que incluem questões como tipo de rede utilizada, velocidade de switches, hubs, e roteadores, velocidade dos links de comunicação e o tráfego gerado internamente e externamente.

A metodologia de acesso a dados, sistemas e recursos é outro ponto que requer uma revisão delicada para avaliar os impactos, as vulnerabilidades e o custo x benefício relacionado ao tipo de acesso requerido.

Aqui deve ser também definidas as regras e as responsabilidades dos colaboradores, como será o gerenciamento, centralizado ou descentralizado? Alguém de uma filial será responsável pelo gerenciamento de usuário daquela localidade? O administrador de redes será o responsável por todo o gerenciamento da companhia? Devem ser documentados os tipos de ativos de tecnologia com seus respectivos responsáveis e sua classificação de segurança.

Baseline de Segurança

O NDSec (Network Security Design) identifica seis principais fatores para tornar uma rede segura:

- Identificação única e individual para cada um dos usuários;
- Aplicação controle de acesso adequado aos recursos;
- Proteção dos dados sensíveis;
- Definição de políticas de segurança;
- Desenvolvimento de aplicações seguras;
- Gerenciamento da Segurança;

Nestas etapas é necessário um conhecimento aprofundado sobre tecnologia, bem como ferramentas e produtos.

Convém um entendimento de protocolos como Kerberos, ferramentas de criptografia para dados sensíveis, IPSEC, utilização de softwares de mercado, segurança em correio eletrônico e servidores web e a delegação de controles e privilégios.

Trilhas de Auditoria

Como o título sugere, o ponto chave aqui é a auditoria dos sistemas. Convém que todos os sistemas possuam auditorias bem definidas, com foco nos eventos que realmente interessam à administração do sistema. Recomenda-se que esta auditoria inclua eventos de logon (sucesso e falha), auditoria do uso de privilégios, auditoria de acesso a objetos, auditoria de mudanças nas políticas entre outros.

Estratégias de Autenticação

Esta é mais uma etapa que exige conhecimento técnico e estudo por parte dos responsáveis pela rede das organizações.

Serão selecionados aqui os métodos de autenticação dos usuários, levando em consideração o tipo dos usuários e o modelo de negócio. Estes incluem Kerberos, clear-text, PKI, digest, smart card, Radius, SSL entre outros.

Destaca-se entre estes a utilização de PKI, também conhecida como criptografia assimétrica, uma autenticação baseada em certificados públicos e privados. Para evitar problemas futuros é importante salientar o método de integração quando da utilização de sistemas heterogêneos.

Acesso seguro na camada de rede

Devem ser verificados e implementados controles para o acesso entre redes, da rede interna para rede pública, como servidores de proxy, proxy reverso, firewalls, NAT ou entre redes privadas que incluem VPN, e que devem utilizar encapsulação, autenticação e criptografia adequada. As VPN podem ser utilizadas sobre a Intranet e Internet. Recomenda-se utilizar nas redes virtuais filtros de pacotes com PPTP ou L2TP com IPSEC para a garantia da confidencialidade das informações.

Mãos a Obra!

O crescimento exorbitante das redes de computadores e da Internet trouxe elevada demanda pela conectividade. As pessoas sentem cada vez mais a necessidade de se interconectar, impulsionadas pelo desejo de obter informações em tempo real.

Os altos índices de informações on-line, negócios pela internet e compartilhamento de dados, tornaram a informação um dos bens mais valiosos e simultaneamente mais vulneráveis nas organizações e instituições em geral.

A Segurança da Informação é um desafio quanto a sua aplicação e aprimoramento constante, ao mesmo tempo em que é uma necessidade das organizações como fator de qualidade na proteção de suas informações e conhecimentos.

Espero ter auxiliado na proteção e defesa das informações. A tarefa a realizar agora é despertar a consciência da sua organização para que seja reconhecida a importância do tema e o valor de um projeto de segurança como qualidade organizacional agregada aos serviços ou produtos disponibilizados aos clientes. E como diria Fellini, “E La Nave Vá...”, significa que devemos adequar nossas necessidades aos poucos, deixar que os novos conceitos sejam inseridos de maneira gradual e sem impactos. Espero que este artigo já seja o começo.

Segurança da Informação: Tendência e Cenários para 2004

2004-01-19T09:24:00.000-05:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Nunca foi tarefa fácil predizer o futuro. E olha que muita gente já tentou. Imagina então como deve ser difícil tentar predizer o futuro da Tecnologia da Informação, ou correlatos – como é o caso da Segurança da Informação. Na edição de dezembro de 2003, a revista CIO, publicação internacional direcionada aos CIOs, tratava de como será a TI em 10 anos. Será surpresa que a Segurança da Informação tem papel preponderante no cenário tecnológico, servindo como base aos maiores desafios do executivo de tecnologia ao longo deste decênio?

Nem vamos tão longe. Miremos nossas lunetas para 2004. O que vem pela frente, quando o assunto é Segurança da Informação, são mais que meros modismos passageiros. Para este ano surgirão diversos novos desafios, diversas novas ameaças e inúmeras oportunidades através da tecnologia. Oportunidades sugerem novos riscos, que deverão ser estudados com cuidado pelo Security Officer em sua análise de risco. Colaborando com o exercício de antever o que pode acontecer no decorrer deste ano, sintetizei alguns cenários que considero relevantes ao planejamento de qualquer profissional de Segurança da Informação ou tecnologia. São estes:

1. Surgimento de pelo menos um superworm

Acompanhando as estatísticas da indústria do antivírus, podemos verificar a diminuição gradativa no número de novos vírus. Não significa que esta ameaça esteja ultrapassada. Os desenvolvedores de vírus de computador estão sofisticando cada vez mais suas criações, no que chamamos next-generation worms. Poucos, mas com altíssima complexidade, o que diferenciará os novos worms é: (1) sua capacidade de proliferação em velocidade recorde; (2) mecanismos automáticos de propagação utilizando vulnerabilidades em serviços de Internet; (3) complexidade na sua remoção e diagnóstico. A boa interação entre um IDS atualizado em tempo real e o firewall da Internet, poderá definir o sucesso de quem busca uma defesa efetiva contra este tipo de ameaça.

2. Aumento drástico no número de crimes virtuais

O ano de 2003 ficou registrado pelo crescente número de fraudes bancárias, envolvendo recursos não tão sofisticados para interceptação de senhas aliada a inocência de usuários desavisados. Com a Internet tornando-se cada vez mais presente em nosso dia-a-dia, esperamos que um, cada vez maior, contingente de hackers, desenvolva ferramentas que possam prejudicar atividades de negócio e apropriar-se ilegalmente da identidade virtual de correntistas bancários. A lacuna existente na legislação brasileira, quando se trata de concorrência desleal, ameaça virtual e outros crimes da mesma linha, deverá garantir grande vantagem a quem ataca. A nós que estamos em posição de desvantagem legal, cabe apenas preparar uma boa defesa, tentando aliar nossa estratégica de segurança junto às possibilidades jurídicas.

3. Chief Security Officer em posição de Staff

Segurança da informação é responsabilidade estratégica, e deve ser considerada como ponto-chave em se tratando de alcançar os objetivos do negócio. Mais e mais CSOs serão convidados a reportar seus resultados diretamente ao Board. Atender requisitos legais relacionados à manutenção do sigilo e da privacidade da informação deve aproximar os responsáveis pela segurança da informação das decisões estratégicas da organização. A chancela de uma análise de risco deve se tornar condição sine qua non para qualquer tomada de decisão envolvendo informações ou sistemas de informação.

4. Consolidação da norma BS 7799 e ISO 17799 como padrão de mercado

A iminente necessidade da acreditação por uma terceira parte, garantindo a eficiência das empresas em gerir os seus riscos relacionados à informação, fez com que o mercado unisse forças em torno de um objetivo comum, a definição de um padrão internacional de segurança. Apesar do ranço de alguns paises que insistem em adotar padrões nacionais, não restam muitas dúvidas sobre qual será a norma. A norma BS 7799 tem recebido ampla aceitação em paises asiáticos; mais que dobraram o número de certificaçõess no segundo semestre de 2003 na China e no Japão. O guia que referencia às melhores práticas de segurança da informação aqui no Brasil - a ISO 17799 -, já é a segunda norma mais vendida no país, ficando atrás apenas da ISO 9000. Especialistas indicam que futuramente empresas de grande porte exigirão esta certificação de seus parceiros de negócio.

5. Aumento da preocupação em torno da rastreabilidade (trilhas de auditoria)

A maior preocupação relacionada à segurança girava em torno de não permitir que usuários sem autorização obtivessem acesso determinado conteúdo, pasta ou informação. A evolução natural desta preocupação dá-se também a capacitar sistemas a identificar, dentre os usuários autorizados, quem fez isso ou aquilo, configurando o conceito de accountability (conseguir relacionar determinada ação a determinado usuário). Neste contexto deve ocorrer uma busca por ferramentas de IAM – Identity and Access Management, sofisticados leitores de logs (registros) e a corrida pela implementação de trilhas de auditorias em sistemas proprietários que até então foram focados apenas na premissa da produtividade.

6. Surgimento de Novos Entrantes no mercado de Segurança da Informação

O que também pode ser uma ameaça, se considerarmos que durante 2003 surgiram dezenas de empresas atuando na área de segurança da informação, mas muito poucas conseguiram sobreviver. Seguindo uma corrente natural, empresas de tecnologia estão oferecendo produtos e serviços para suprir o mercado de segurança da informação, principalmente no que diz respeito a hardware e software. O Security Officer deve ficar alerta aos pequenos entrantes que visualizam o mercado de segurança apenas como uma oportunidade momentanea.

Na hora de escolher o seu parceiro de segurança, seja para implementação de tecnologia ou para consultoria em segurança, sugere-se tomar todas as referências possíveis, é muito comum pequenas empresas não suportarem a demanda de grandes projetos, e por não possuírem ativos reais como garantia, acabarem engordando a estatística das empresas que fecham em seu primeiro ano.

Estas são apenas algumas das previsões para o ano que recem está começando. Não são predições de difícil assimilação, até porque seguem o movimento da tendência observada no mercado internacional, e por tabela, nacional. Por mais desafiador que seja o cenário – e é muito difícil contar histórias bonitas quando o assunto é segurança -, o vencedor da batalha será o CIO ou CSO que estiver alinhado às oportunidades de negócio, e conseguir armar um exército talentoso capaz de antecipar riscos e utilizar controles de segurança como diferencial estratégico.

Análise Forense: Processo de Investigação Digital

2003-12-09T09:23:00.000-05:00

Victor Hugo Menegotto, consultor da Axur Information Security.

Incidentes de segurança fazem parte da rotina de diversas organizações, abrangendo desde roubo de informações até brincadeiras de mau gosto de funcionários. Na maioria dos casos, os incidentes ocorrem através de meios internos, de conhecimento dos colaboradores, sejam estes funcionários, prestadores de serviço ou terceiros. Os incidentes que ocorrem por intrusão externa, executada por hacker ou similar, não são menos comuns, porém curiosamente nem sempre há o interesse da organização para que seja executada uma perícia técnica do caso. Os casos nos quais uma perícia técnica é requisitada, tem quase sempre, a participação de interfaces internas da organização.

Um processo de investigação forense – conhecido “forensics” -, tem por objetivo fornecer a organização a possibilidade de tomar ações legais cabíveis, mas sem o objetivo de indiciar: seu foco deve estar em confirmar eventos, compreender como o incidente ocorreu e prevenir a recorrência do mesmo. A busca e organização das informações e evidências relacionadas ao incidente, permite que o mesmo possa ser avaliado não só pela equipe técnica, mas também pela Alta Administração da organização.

Antes do início da perícia técnica, é prudente que seja realizada uma verificação da gravidade do incidente, de forma que possam ser tomadas ações imediatas para impedir que o hacker, funcionário, concorrente ou quem quer que esteja gerando o ataque continue atuando.

Existe uma regra básica na perícia técnica: mantenha sempre a integridade do equipamento analisado. Para isso é necessário que seja formada a corrente de custódia. Este é o termo utilizado para caracterizar o processo de coleta, análise, armazenamento, apresentação do ativo ao tribunal e retorno do ativo periciado ao seu dono (pode ser um computador, disquete e etc). São tantos os fatores que podem intervir na manutenção de uma boa corrente de custódia que recomenda-se a utilização de algumas normas internacionais, como por exemplo a HB 171:2003 (Norma Australiana com Procedimentos de Gestão de Evidências de Tecnologia da Informação).

Lembre-se, muito da credibilidade da sua evidência vem da capacidade que você tem em provar para o tribunal que sua análise foi isenta e que não houve qualquer alteração no ativo periciado. Uma boa evidência deve ser confiável, suficiente e relevante.

Em muitos casos, durante um processo de análise forense, o departamento de tecnologia desempenha forte papel operacional no auxílio à perícia, fornecendo a base fundamental do processo, como registros de sistemas, fornecimento de equipamento e estrutura tecnológica. Não só a área de TI, mas todos os setores envolvidos no incidente são fundamentais. Como também, a participação da Alta Administração, que ajuda a garantir a colaboração da organização como um todo.

Apesar de uma perícia técnica sempre buscar evidências que sejam conclusivas ao processo, nem sempre isso é possível, a maior parte das evidências encontradas em processos de Forensics são registros de sistemas, os quais são juridicamente considerados do tipo hearsay evidence, ou seja, registros gerados por terceiros, que podem ser modificados. Estas evidências são comumente utilizadas em conjunto com outras evidências, criando a possibilidade de uma validação jurídica. De qualquer forma, existe a necessidade da geração de registros, que mesmo não representando prova cabal da ação de determinado agente, pode ser considerado como evidência corroborativa ou circunstancial. Para que os registros possuam a integridade necessária, é extremamente importante que sejam feitas cópias de segurança dos mesmos, e em alguns casos que estes registros sejam assinados matematicamente, com HASH MD5 por exemplo.

A falta de conhecimento de como agir no momento de um incidente pode comprometer todo o processo investigatório. Nas normas de segurança da organização, deve estar definido, para todos os usuários, a quem recorrer no momento de um incidente: geralmente o Security Officer, que deve possuir um script de como agir para cada caso, insstruindo também o agente que identificou o evento suspeito. Este, por sua vez, tem a responsabilidade de manter a corrente de custódia do ativo onde ocorreu o incidente, armazenando-o de forma adequada e lacrando-o quando necessário.

A implantação de um SGSI - Sistema de Gerencia de Segurança da Informação com base no padrão BS 7799-2 é fundamental para que as organizações tenham a possibilidade de administrar seus ativos de uma forma coerente e organizada, criando registros que facilitam enormemente eventuais processos de análise forense.

Observamos que na grande maioria das empresas, após a verificação de um incidente, ocorre quase que imediatamente a percepção da importância em se proteger os ativos de informação. O primeiro e mais prudente passo seria a realização de uma análise de risco considerando a organização como um todo, esse é sem dúvida o primeiro passo de quem leva segurança à sério. Não espere o azar, mantenha-se seguro.

Plano Diretor para 2004: Agenda de Segurança da Informação

2003-10-29T09:21:00.000-05:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Estamos nos aproximando do final do ano, época em que fechamos nosso planejamento para o próximo ano. É um momento de reflexão, momento em que devemos sopesar ações passadas considerando a sua eficiência, e as ações futuras levando em conta seu relacionamento com os aspectos estratégicos para o negócio. Não considero que a responsabilidade pela definição do Plano Diretor de Segurança da Informação – PDSI, seja exclusiva da área de tecnologia, deveria ser uma ação conjunta à Alta Administração, mas no Brasil na maioria dos casos é assim que funciona. Como estou preocupado mais com a prática que com a teoria, este artigo versará nestes moldes. Para garantir um artigo sintonizado com as últimas tendências utilizei como referência o guia do SGSI da BS 7799-2 e também a experiência de alguns dos maiores gestores de TI do país, com quem tenho algum tipo de relacionamento.

Nosso primeiro passo será listar todos os projetos relacionados à segurança que foram realizados no ano corrente. Não se pode planejar o futuro sem entender o passado, pois seria incoerente tratar de novos desafios sem antes dar o fechamento aquilo que foi realizado ou está em fase de finalização. Com base a nosso planejamento passado devemos aferir nossa capacidade de predição orçamentária considerando também a previsão de tempo, recursos e expectativas. Vou lhes contar uma regra de ouro da segurança, que parece óbvia mas nem sempre é seguida: só o que é monitorado pode ser medido, só o que é medido pode ser gerenciado. Se não houve histórico para determinarmos a performance de determinada ação, dificilmente saberemos se estamos indo para o lado certo.

Todo o investimento em um controle de segurança deve ser justificado com a minimização de um risco. Conceitualmente “controle de segurança” é tudo aquilo que se aplica na redução de determinado risco, controles são firewall, IDS, biometria, redundância de link e etc. Quanto gastar no controle? A análise de risco é quem vai dizer. Se comprei um firewall e não consigo mensurar através de informações gerenciais qual o impacto da sua ausência no negócio da minha organização, entã, não posso afirmar que eu preciso de um firewall. Lembro que esta análise deve ser preferencialmente financeira, em alguns casos – pela dificuldade que ainda temos em tangebilizar o valor do ativo informação – está a contento uma análise qualitativa apresentando o impacto da quebra da confidencialidade, integridade e disponibilidade.

Agora vamos ao que realmente nos interessa: quais são as melhores práticas para a confecção de um plano diretor anual para uma empresa de médio e grande porte. Preparei uma lista de projetos que não consideram contratação de hardware ou software, porque assim eu entraria em particulares que variam dentro de um grande espectro. Refiro-me aquilo que é imprescindível e que independente da natureza do negócio, deve ser realizado, variando apenas o escopo abrangido por cada um dos tópicos.

Janeiro – Primeira Reunião com Fórum de Segurança: esta reunião, que deve contar com a parcitipação da Alta Administração da organização, proverá direcionamento ao processo de segurança da informação, garantindo apoio a política de segurança existente e apontando quais são os níveis de risco aceitáveis para a organização.

Janeiro/Fevereiro - Análise de Riscos e Vulnerabilidades: é imprescindível que seja realizada uma análise de riscos e vulnerabilidades. Se já foi realizada uma análise no ano anterior, então é o momento de revisá-la. Esta análise deve retornar como produto um relatório que será utilizado pelo gestor durante todo o ano. O relatório de análise de risco é dinâmico e deve receber como anexo as demais análises realizadas pontualmente sobre processos que foram agregados ao negócio da organização durante o ano.

Fevereiro/Março – Plano de Continuidade do Negócio: antes do fechamento do primeiro semestre é importante que seja realizada uma Análise de Impacto - BIA, preferencialmente associada aos indicadores de criticidade dos processos listados na Análise de Riscco. Geralmente a reavaliação dos planos de continuidade geram diversas ações que fogem ao comando da área de tecnologia, responsável pela continuidade dos sistemas e muitas vezes de toda a área de telecomunicações. Ações administrativas, geralmente envolvem modificações estruturais em sites e também a contratação de terceiros. Modularize seu plano de maneira a conseguir sustentar a continuidade operacional, recuperação em caso de desastres e procedimentos para retorno a normalidade.

Março/Abril – Revisão e Confecção dos Procedimentos Operacionais e Normas de Segurança: para que haja aderência do processo de segurança à norma BS 7799- 2, faz-se necessária a documentação de todos os procedimentos operacionais e normas de segurança que garantirão a efetividade dos controles implementados. Este trabalho deve ser realizado por uma equipe especializada, uma vez que nem sempre a maneira como está sendo realizado o rodízio das fitas de backup ou o rótulo das informações, por exemplo, é o mais correto. A participação de uma equipe especializada facilita a padronização das regras seguindo os critérios das melhores práticas em segurança.

Abril – Primeiro Teste de Intrusão Externo: é indicado que sejam realizados pelo menos dois testes de intrusão em empresas que possuem endereço IP válido na internet. Após a implementação dos primeiros controles sugeridos na Análise de Risco que deve ter sido realizada no início do ano, já é momento de auditar através de tentativas simuladas de ataque a partir da Internet. Se a empresa já possui um plano de continuidade, é interessante considerar ataques de denial-of-service (esgotamento de recursos) e ensaiar a equipe de resposta a incidentes. Não se assuste quando eu escrevo “equipe de resposta a incidente”, independente do tamanho da organização deve haver alguém responsável por responder de maneira efetiva quando identificado um ataque: não importa que seja uma “equipe” de um só homem, de dez pessoas ou que seja um serviço terceirizado – como um CIRT, por exemplo.

Maio/Junho - Auditoria Tecnológica: para que haja um endosso mensal, garantindo que a empresa mantem o nível de segurança alcançado através da implementação dos controles sugeridos na Análise de Risco e delineados na Estratégia de Continuidade. Todos os controles tecnológicos devem gerar registros e estes registros devem ser verificados. A auditoria tem o caráter de envidenciar oportunidades de melhoria dentro da organização. A norma BS 7799-2 sugere que esta auditoria seja realizada por uma equipe independente e especializada, participando também o auditor interno.

Julho/Agosto - Treinamento de Funcionários: imprescindível é o treinamento dos funcionários da organização. É interessante que sejam realizados seminários tratando de temas como: Engenharia Social, Importância do Backup, Cuidados com a Senha, Classificação da Informação e etc. Em casos peculiares, considerando a participação da Alta Administração, devem ser agendados treinamentos tratando da proteção de notebook, utilização de criptografia e assinatura digital ou qualquer outro assunto que possa auxiliar à redução de risco, conforme índice indicado pela própria Alta Administração como aceitável na matriz dos riscos.

Agosto - Atualização / Treinamento do Security Officer: é tempo de atualização frente ao vasto contingente de conhecimentos que se renovam. O Security Officer ou quem for que ocupe a função de gerenciar a segurança da informação – seja este um analista, gerente, diretor ou até mesmo alguém que acumule esta função -, deve realizar pelo menos um treinamento anual para reciclagem. Este treinamento tem por objetivo o intercâmbio de boas idéias com os colegas de outras organizações e também a reflexão das melhores práticas de segurança, considerando o conhecimento e a experiência dos instrutores. Deve ser analisada também a possibilidade de um treinamento de Security Officer para uma equipe inteira, em treinamento in company. Esta prática vem sendo cada vez mais frequênte e tem trazido ótimos resultados.

Setembro – Evento Interno de Segurança da informação: para que haja o comprometimento da organização como um todo, em diversos momentos é necessário realizar trabalhos de reforço à Política de Segurança. Muitas empresas optam adotar um dia do ano como Security Day – Dia da Segurança da Informação, e aproveitam esta data para o lançamento da sua campanha de segurança, com camisetas, mousepads, pronunciamento do presidente e etc. O assunto segurança não é dos mais amigáveis. Apresentar novos controles ou conceitos que parecem tão cerceadores em um coquetel ou utilizando o recurso de um mascote, pode ser uma boa idéia.

Outubro – Segunda Reunião com Fórum de Segurança / Análise Crítica da Política de Segurança: para esta reunião é interessante que seja organizado uma espécie de Security Scorecard com indicadores de controle para cada risco tratado. Para que haja o giro do PDCA do sistema de gestão de segurança da informação, faz-se necessária uma revisão crítica da Alta Administração para endossar a continuidade da Política de Segurança da Informação.

Novembro/Dezembro - Entrevista de Aderência à Política de Segurança: a entrevista de aderência à política tem como objetivo medir a cultura de segurança da informação dos funcionários. É uma espécie de termômetro que fornece indicadores para que seja providenciado um acerto de rota. Caso seja evidenciado, por exemplo, que o departamento de engenharia está conhecendo pouco da política de backup, então entra em ação a equipe de endomarketing, sugerindo cartazes ou treinamentos específicos para elevar o conhecimento destes funcionários a um nível considerado adequado. Existem diversos softwares que realizam avaliação dos funcionários, deve-se considerar a compra ou contratação deste tipo de serviço.

Dezembro – Segundo Teste de Intrusão: é recomendado que sejam realizados no mínimo dois testes de intrusão por ano. Em algumas organizações recomenda-se testes trimestrais. Quem decide? Os interesses da organização em vista da Análise de Risco.

Além dos pontos listados acima é necessário que sejam realizadas atividades mensais, que garantam a manutenção da segurança. Uma boa prática é a realização de chekups mensais na forma de auditoria para garantir que o nível de segurança está sendo mantido. Deixe reservado um fundo que possa cobrir eventuais consultorias em uma média de 30 a 50 horas mensais, considerando a possibilidade de ocorrerem eventos pontuais que necessitem a ajuda de consultores experientes, como uma análise forense ou uma análise de vulnerabilidades em uma nova tecnologia.

A tecnologia da informação nos faz subir cada vez mais na escalada onde cada centímetro de vantagem nos dá maior participação em mercado, satistação do cliente e diferenciação. Nesta escalada não podemos subir, subir, subir sem pensar em segurança. Entenda os 127 controles apresentados na ISO 17799 como aquele pino que os alpinistas prendem à parede a cada metro de subida, garantindo que se houve algum tipo de queda, esta será controlada e estará dentro do limite de risco aceito. Espero que este perfil de direcionamento para as atividades de segurança possa ajudá-lo a organizar as prioridades para o próximo ano. Este artigo não tem a intenção de ser um modelo a ser seguido, mas de ser utilizado como benchmark na hora em que você for confeccionar seu plano para 2004.

Desmistificando a Continuidade do Negócio: Uma análise do cenário brasileiro

2003-10-02T09:19:00.000-04:00

Charles Schneider, consultor da Axur Information Security.

Muito se comenta sobre continuidade do negócio e para o entendimento concreto deste conceito faz-se importante à compreensão dos principais pontos que o fundamentam, tais como: grau de exposição, análise de impacto e análise de risco.

No Brasil, o PCN (Plano de Continuidade do Negócio) ainda é um conceito novo, ao contrário do que é praticado em países com maior poder econômico e tecnológico onde ele já é utilizado por inúmeras organizações. De acordo com a OMC (Organização Mundial do Comércio), uma organização permanecendo indisponível aos seus clientes ou usuários por 4 dias está designada a encerrar suas atividades.

O que acontece, principalmente a nível nacional, é que a continuidade de uma empresa ainda é vista de maneira distorcida. À vista da alta gerência, os profissionais de continuidade estão preocupados com catástrofes e desastres ao invés de estarem procurando alternativas para aumentar a produtividade e rentabilidade. Ainda permeia nas organizações nacionais a visão conservadora das gerências, onde as palavras mágicas e atrativas são: ROI (Return on Investiment) e redução do TCO (Total Cust on Ownership).

Nosso país está começando a despertar interesse neste assunto, tanto que em pesquisas de segurança recentemente publicadas, foi revelado que menos da metade das empresas entrevistadas possuem estratégias de continuidade. É muito importante a conscientização das empresas quanto à adoção de Planos de Continuidade, pois estas devem estar cientes que acontecimentos inesperados podem causar danos irreversíveis.

Pense que, problemas como uma falha num disco rígido, uma parada inesperada em um aplicativo ou um problema em sua rede pode arruinar seus negócios em questão de minutos. Mas, qual o conceito de Planos de Continuidade?

O Plano de Continuidade visa prevenir a ocorrência de desastres, minimizar o impacto de um desastre e viabilizar a ativação de processos alternativos quando da indisponibilidade dos processos vitais.

Como passo inicial no desenvolvimento do processo de continuidade deve ser elaborado a famosa BIA, cuja definição e objetivo é desconhecida por muitos. No BIA (Business Impact Analisys), como também é conhecida a análise de impacto) serão identificados os impactos de um possível desastre sobre as operações de uma organização. Além da identificação da criticidade dos processos, esta avaliação fornecerá informações que permitirão definir o escopo do plano e a tolerância quanto à paralisação dos processos vitais.

Uma vez identificada a criticidade dos processos, será necessário avaliar o grau de exposição destes ativos críticos. A avaliação do grau de exposição é uma função que envolve algumas variáveis como perdas possíveis, ameaças, vulnerabilidades e controles. Os ativos que ao serem impactados implicarem numa perda significativa deverão ser alvo de estudo pormenorizado na avaliação do Grau de Exposição.

Sabendo o quão exposta sua organização está, inicia-se a elaboração das estratégias de continuidade visando os objetivos dos planos. Devemos considerar: o custo da implantação, a manutenção dos procedimentos, a eficácia dos procedimentos, a cultura organizacional e a estratégia de resposta organizacional. Exemplos definidos na estratégia como tipos de site (Hot-site, Warm-site, Cold-site), acordo de reciprocidade, bureau de serviços externos, auto-suficiência e realocação da operação são aspectos fundamentais que devem ser considerados.

Após esse árduo processo de levantamento de dados, requisitos, cálculos, análise de dados, chegamos à fase de definição dos Planos de Continuidade, onde os objetivos vão desde a prevenção de ocorrências de desastres à manutenção dos processos vitais em operação.

Como definido anteriormente, recomenda-se que sejam criados os planos para serem executados antes (prevenção), durante (emergencial) e após (manutenção) o desastre.

Finalmente, chegamos a implementação dos Planos de Continuidade. A implementação compreende das ações que visam tornar um plano efetivamentee testado e atualizado. Essa definição visa o treinamento do pessoal, a implantação dos procedimentos, treinamentos e simulações. Também a manutenção e aperfeiçoamento permanente do plano como um todo, sua documentação e infraestrutura.

Bem, após estas definições, podemos visualizar facilmente alguns dos benefícios da continuidade do negócio, como a identificação dos processos de negócio e a recuperação dos processos de maneira ordenada e dentro de um espaço de tempo, reduzindo os prejuízos, em caso da ocorrência de um desastre.

O Poder da Análise de Riscos: A análise que pode alavancar grandes investimentos na área de TI

2003-09-10T09:17:00.000-04:00

Victor Hugo Menegotto, consultor da Axur Information Security.

É eminente a necessidade da segurança da informação nas organizações, mas tal necessidade nem sempre é observada da forma adequada pela Alta Administração. A segurança é clara no ponto de vista tecnológico onde a área de TI tem uma visão ampla do que significa segurança - gestores de TI geralmente possuem noção de quais são as necessidades da organização neste contexto.

A questão é como mostrar à alta administração a verdadeira necessidade de investimentos em segurança da informação e quais benefícios este investimento pode trazer. A resposta é simples e objetiva: Análise de Riscos e Vulnerabilidades. Uma análise neste sentido é particularmente útil nos casos onde a área de TI não recebe investimentos de segurança da informação de forma adequada.

Através de relatórios concisos, organizados e objetivos, os gestores de TI têm a possibilidade de apresentar as necessidades de segurança da informação para a alta administração de forma clara. Estas apresentações devem conter não apenas riscos relacionados a aspectos tecnológicos, mas também riscos relacionados a aspectos físicos e administrativos – aspectos estes nem sempre considerados.

Uma Análise de Riscos e Vulnerabilidades possibilita a detecção de falhas e o mais importante, a possibilidade da aplicação de controles objetivos nos pontos mais críticos e com real necessidade de investimento. Assim há possibilidade de verificar perdas e conseqüências da falta de controles adequados.

O processo de implementação de grande parte dos controles de segurança encontrados no mercado é precário, geralmente estes não possuem seu investimento justificado e não transmitem segurança aos gestores das corporações. São em grande parte controles aplicados de maneira desconexa, de forma isolada. Quase sempre em momentos críticos e apenas em ativos tecnológicos.

Mas onde ficam as pessoas, que são notoriamente o elo mais fraco e necessitam claramente de controles específicos? É preciso avaliar o conhecimento dos colaboradores, em relação a segurança da informação, e planejar o nível de cultura “awareness” desejado.

O desejo da alta administração é ter confiança na área de TI, em muitos casos desacreditada e pouco valorizada. Essa confiança deve ser transmitida naturalmente, com controles adequados e bem estruturados. Com isso, a alta administração pode valorizar o trabalho de profissionais que aplicam a segurança da informação nas suas áreas.

O início desta jornada começa com uma Análise de Riscos e Vulnerabilidades, com baixo custo - um “big step” na caminhada em busca da implantação de controles. Uma Análise de Riscos e Vulnerabilidades deve atingir a organização como um todo, além de ser uma etapa fundamental para certificação na BS7799-2. Podem ser consideradas outras ações, como a criação e definição de comitês de segurança por exemplo.

A grande cartada de uma boa gerência de TI é prevenção de falhas, aplicando controles adequados sob necessidades justificadas e garantido a confiança por parte da alta administração. A apresentação de informações concretas, corretas e estruturadas amadurecem na organização os conceitos de segurança da informação e despertam interesses em investimentos na área de TI.

Gestão da Segurança da Informação: Investimentos Eficientes em Segurança da Informação

2003-08-21T09:16:00.000-04:00

André Palma, consultor da Axur Information Security.

Quando o assunto é investimento em segurança da informação, nota-se o quanto às organizações estão despreparadas para lidar com o assunto. Muitos falam em gerenciamento de risco e essa é realmente a chave da questão. A norma BS 7799- 2, relacionada a Gestão de Segurança da Informação apresenta um excelente framework para avaliação dos riscos e priorização das ações corretivas.

O ponto de maior impacto na hora da decisão é a mensuração correta dos investimentos em segurança. Muitas empresas implementam soluções de segurança sem, no entanto identificar claramente qual a função que a solução selecionada deve desempenhar na organização. O mercado por muito tempo pensou que investir em um firewall significava investir em segurança da informação, entretanto o que se percebe nas atuais estruturas de tecnologia é que o firewall é o mais simples dos controles de segurança. Existem outras iniciativas essenciais que geralmente são ignoradas, como por exemplo security awareness, o termo anglicano para cultura de segurança.

É evidente que investir em cultura de segurança representa uma iniciativa tão ou mais importante do que a implementação de um sistema de verificação de conteúdo acessado via Internet. Entretanto algumas organizações tomam ações sem considerar o real benefício em termos da inserção dos controles escolhidos na cadeia produtiva. A falta de conhecimento sobre a quantificação desse benefício tem gerado não ações e sim reações: atitudes motivadas por incidentes, não planejadas para a prevenção de sua ocorrência inicial. Outra razão da aplicação de controles sem o critério adequado pode ser entendido através da seguinte pergunta: o que meu concorrente implementou nos últimos meses? É isto que eu vou fazer! Esse é um mau exemplo para benchmark, pode-se utilizar padrões para melhores práticas em controles, mas não para análise de risco.

A forma adequada de lidar com estas questões pode ser resumida em uma palavra: objetivo. Todos os recursos ou ações envolvendo segurança da informação devem possuir um objetivo claro, e este objetivo deve ser mensurável. Deve-se ser capaz de verificar se a ação tomada é eficiente a atende os objetivos pretendidos. É fundamental questionar-se sobre as ações realizadas neste sentido e como estas ações estão alinhadas com as estratégias da organização. E por falar nisso, qual a estratégia da organização e como a segurança da informação se relaciona com esta estratégia?

Para ser prático, investimentos em segurança da informação devem ser planejados frente à necessidades reais e não projetadas. Análise de Risco é indispensável em qualquer processo de segurança. Como garantir a minimização dos riscos, principal objetivo dos controles de segurança, sem o conhecimento detalhado destes riscos? É inviável e qualquer outra forma de investimento em segurança pode ser comparada à intuição ou “sexto sentido”.

Uma análise de riscos formal apresenta de maneira organizada e sistemática os riscos aos quais a organização está exposta. A minimização destes riscos deve ser o objetivo da aplicação de controles de segurança como firewall ou softwares de inspeção de conteúdo. Nesse contexto considero muito difícil uma empresa considerar um software de inspeção de conteúdo mais importante que investimentos em cultura de segurança e isso fica claro quando comparamos o impacto de incidentes envolvendo o acesso à Internet e uso excessivo de bando contra os impactos envolvendo o uso indevido de informações da empresa por funcionários, ou seja, por pessoas que sabem onde procurar informação de real valor.

Existe ainda uma questão tão importante quanto à justificativa pela implementação de soluções: como verificar se as ações tomadas são eficientes e estão levando a segurança da organização para onde se espera. Quantificar a eficiência de um controle de segurança significa verificar se há retorno sobre o investimento, se os benefícios obtidos com determinada solução ou ação são realmente aqueles esperados. E volta-se novamente ao termo "objetivos" pois se não se coonhece exatamente quais os objetivos das ações tomadas, como verificar se estas ações são eficientes?

Um investimento baseado em uma análise de risco simplifica inclusive a tarefa de avaliar a eficiência de ações tomadas. Se para cada ação tomada é determinado um objetivo e este objetivo é baseado na minimização do risco, quantificadores simples como número de incidentes associados ao risco podem comprovar o sucesso das ações. O planejamento de ações deve prever métricas para avaliação periódica, considerando a real eficiência do controle avaliado na minimização do risco e busca dos benefícios esperados.

Sem métricas não se pode afirmar que determinada ação é eficiente, nem que é ineficiente. Na verdade sem planejamento de objetivos e avalição de métricas não se pode dizer muito sobre determinada ação ou implementação de controles de segurança. Talvez estes controles estejam atendendo seus objetivos, mas isso é apenas especulação e a probabilidade do investimento não estar bem direcionado é muito maior que a confiança que se pode ter na capacidade intuitiva do gestor e na avaliação informal.

É importante observar que não estamos colocando em discussão a eficiência e necessidade das soluções de segurança encontradas no mercado. O que se deve considerar sempre é o porque da aplicação destas soluções e como está sendo verificado se a solução está alinhada com os objetivos propostos e aceitos pela administração da organização. Quais são as métricas que confirmam sua eficiência e principalmente, será que estou atacando realmente os riscos mais críticos ao meu negócio?

Rastreabilidade: Controlando o Fluxo das Informações

2003-07-31T09:15:00.000-04:00

André Palma, consultor da Axur Information Security.

A maioria dos profissionais de segurança da informação conceitua a segurança através de três aspectos básicos: confidencialidade integridade e disponibilidade. Isto ocorre devido à grande influência de frameworks e metodologias internacionalmente consolidadas. Entretanto existe um conceito primário associado a segurança da informação que não está sendo adequadamente focado no cenário nacional – a rastreabilidade.

O conceito de rastreabilidade está diretamente relacionado ao controle sobre o fluxo da informação. É necessário identificar de forma ágil e simples como determinada informação se relaciona com o negócio. As perguntas parecem óbvias, mas nem sempre são respondidas. Qual a origem desta informação e para onde esta informação vai? Quais os links existentes entre as informações.?

A discussão sobre esse tema entre os profissionais de segurança da informação não é mera casualidade. O que tem acontecido é que a prática de proteção das informações tem sido sensivelmente prejudicada pela dificuldade de identificação das informações e seus relacionamentos. Garantir a segurança das informações sem identificar claramente seu fluxo é uma tarefa praticamente impossível. A solução pode parecer simples – identificar este fluxo. Porém as informações nem sempre seguem fluxos bem definidos, nem sempre são facilmente rastreáveis.

O mapeamento de processos de negócio muitas vezes se confunde com o mapeamento do próprio fluxo da informação, isto ocorre devido a um fator simples: a informação tem se caracterizado como o principal ativo da maioria dos negócios. Seguir o fluxo dos processos quase sempre significa seguir o fluxo das informações.

Considere a seguinte situação: identifica-se em um banco de dados um conjunto de informações incorretas. Existem no mínimo três formas de inserção de dados neste banco – cadastro pessoal, cadastro telefônico e cadastro realizado por certa empresa terceirizada. Como identificar qual das formas de inserção não estão atendendo à política de integridade? Talvez o problema ocorra apenas com cadastros telefônicos. Como aplicar os controles de segurança da forma correta, evitando sobrecarregar os processos de cadastro que não representam ameaça?

Uma análise de risco detalhada pode identificar estas fraquezas no sistema. Entretanto fica claro que sem o controle total sobre o fluxo das informações e sua forma de interação com os processos de negócio, até mesmo a tarefa de realizar uma análise de risco poderá ser demasiadamente complexa.

O paradigma de que garantir a segurança da informação reside exclusivamente na garantia da confidencialidade, da integridade e da disponibilidade está para ser quebrado. Não defendo que a visão original está incorreta, entretanto apresento um conceito que vem sendo amplamente discutido entre os profissionais de segurança do mundo todo, principalmente na Europa. Outros conceitos também bastante discutidos são a necessidade de garantia da autenticidade e a legalidade das informações. É importante não se prender exclusivamente à confidencialidade, integridade e disponibilidade.

A questão que deve ser considerada é: Como garantir a confidencialidade, a integridade e a disponibilidade das informações sem conhecer detalhadamente a forma com que essa informação se relaciona com os processos de negócio? Qual é o grau de confiança das análises de risco levando em consideração às complexas relações e caminhos que a informação assume dentro de uma organização ou entre organizações? Não seria necessário inicialmente disseminar uma cultura de controle total e rastreabilidade sobre a informação para depois garantir a adequada aplicação de segurança em suas diversas etapas de relacionamento?

O que está sendo verificado é que antes de salvaguardar a confidencialidade, integridade e a disponibilidade é necessário que haja um trabalho inicial sobre o controle do fluxo da informação. É preciso analisar com detalhes o relacionamento das informações com os processos de negócio da empresa. Este novo conceito de rastreabiilidade representa um requisito tão fundamental quanto os já bastante discutidos alicerces que configuram a tríade da segurança da informação.

Em resumo, sem conhecer os caminhos e formas da informação torna-se complexo garantir a sua confidencialidade, integridade e disponibilidade. Divulgar nas diversas áreas da organização o que significa rastreabilidade e exigir sua aplicação irá permitir o aumento da segurança, uma vez que é sensivelmente mais simples proteger o que se controla. É fortemente aconselhável divulgar através da organização o conceito de rastreabilidade e exigir que as diversas áreas da empresa interajam propiciando links adequados que irão facilitar os processos de segurança.

BS7799 2002: Primeira Certificação da Área Financeira das Américas

2003-07-15T09:14:00.000-04:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Esta sendo anunciada nesta semana a certificação do Banco Matone na norma BS 7799 - primeira certificação de segurança da informação para uma instituição financeira nas Américas. O Banco Matone é um dos maiores e mais tradicionais bancos privados gaúchos, líder na área de concessão de crédito para pessoa física.

Este é sem dúvida um fato relevante na história da segurança da informação no Brasil. O auditor Mr. Birggren – uma das maiores autoridades mundiais na norma, comentou “Esta certificação é muito importante e deve impactar positivamente em todo o mercado financeiro. É um ótimo começo para o Brasil”. Esta é também a primeira certificação de uma empresa brasileira na norma BS 7799 versão 2002. O grande diferencial da versão 2002 é a inclusão de regras rígidas para o desenvolvimento da análise de risco e a necessidade de medir a eficiência do sistema de gestão para promover melhoria continua.

Uma característica importante deste projeto é que o escopo do sistema de gestão de segurança da informação implementado no Banco Matone é um dos maiores do mundo, e inclui as operações do Matone no Rio Grande do Sul, Santa Catarina, Paraná, São Paulo, Rio de Janeiro, Brasília e Belo Horizonte.

Para a implementação do sistema de gestão conforme o padrão BS 7799, foi contratada a consultoria Axur Information Security, empresa brasileira especializada em segurança da informação, que desenvolveu o projeto ao longo de um ano. Para a empresa Axur esta é uma dupla vitória, a Axur é também a primeira consultoria a certificar um cliente no Brasil.

Para Fábio Ramos, gerente do projeto de certificação, a aderência da metodologia Axur aos requisitos da BS 7799 tornou o processo de certificação uma conseqüência natural do trabalho, e completa “Contamos sempre com o apoio da Alta Administração do Banco Matone: a segurança da informação já é uma camada natural nos processos do Matone”.

O processo envolveu alguns dos maiores especialistas em segurança do Brasil: Gustavo Scotti, André Palma, Paulo Barbosa, Cássio Ramos e Charles Schneider. O alto conhecimento em segurança da informação da equipe do projeto foi ponto de destaque, “Nosso método de análise de risco foi caracterizado como o ‘estado da arte’ pela auditoria”, comenta André Palma.

As instituições financeiras brasileiras são quem mais investe em segurança da informação, conforme indica relatório do Gartner Group. Em resumo, este acontecimento deve marcar para sempre a história da segurança da informação no Brasil e abrir espaço para que mais empresas busquem também esta certificação.

PCN/DRP: Desmistificando a Continuidade do Negócio

2003-06-29T09:13:00.000-04:00

Gustavo Scotti, consultor estratégico da Axur Information Security.

Quando pensamos em um plano de continuidade de negócio ou em um plano para recuperação de desastres, a primeira idéia que surge em nossa mente é a alta disponibilidade: equipamentos redundantes, sites replicados ou a mais avançada tecnologia para minimizar a parada do negócio. A infra-estrutura de tecnologia da informação surgiu para permitir maior escalabilidade a processos que já eram feitos de forma manual. Sob o lumiar da visão e compreensão dos processos corporativos, este artigo pretende posicioná-lo frente ao desafio da disponibilidade x interesses do negócio, permitindo também a composição de uma gestão da continuidade do negócio em conformidade com a BS7799.

PCN

Partimos da premissa: o plano de continuidade não serve para diagnosticar problemas – o problema já deve ter sido identificado. Para que possamos visualizar a composição do negócio, vamos precisar mapear os processos da empresa, definindo seu macro-fluxo. Não podemos esquecer, é claro, da realização de uma análise de risco, que é de onde vamos retirar os eventos que podem incidir na parada de um processo. É bastante importante e igualmente significativo que nesta etapa seja identificada a importância de cada processo, utilizando para isso de uma abordagem qualitativa ou quantitativa.

Agora o nosso objetivo é detalhar cada um dos processos que sustentam o negócio e definir quais são os componentes que suportam cada processo. Mapeados todos os componentes, iremos perceber que alguns destes componentes estarão sempre presentes em todos os processos. Estes componentes são chamados de pilares da contingência, e devem ter um tratamento especial. Alguns exemplos de pila res são: pessoas, energia elétrica, requisitos legais e estrutura física. O rompimento de alguma dessas estruturas causam um impacto muito grande, quase sempre levando a um desastre.

Para cada componente elencado devemos ter, detalhadamente: condições de ativação (nossos eventos da análise de risco), responsáveis pela ação do plano (titular e substituto), ações de emergência, recuperação e restauração, tempo para execução do plano e histórico de testes. Imagine que você tenha um processo que necessite da fotocópia de determinado contrato. O que fazer, por exemplo, se este equipamento falhar? Quais são as ações emergenciais, recuperativas, e restaurativas? Em quanto tempo consigo restabelecer o componente para que o processo não pare? Você agora já deve estar pensando em ter uma máquina de fotocópia redundante. O gestor pode definir que o próprio cliente traga a cópia do seu contrato, ou que vá até um centro de cópias enquanto a máquina é levada ao conserto.

Para todo plano de continuidade, existe um custo para a ativação do plano emergencial. No nosso exemplo anterior, o gestor achou uma alternativa com custo zero, e o tempo de recuperação do componente tendendo ao imediato. Lembre-se que era necessário do mapeamento da importância de cada processo. O tempo de recuperação para cada processo irá estimar uma possível perda no momento que este processo falhar. Agora o impacto da parada sobre este processo de negócio já está mapeado.

PRD

Os pilares de contingência, alicerces do negócio, são críticos e representam uma espécie de esqueleto organizacional. Em eventos cujo impacto afeta a disponiblidade do negócio, geralmente podemos mensurar as perdas pelo tempo de parada. Entender e desenvolver um plano de recuperação de desastre é levar a sério o futuro em vista das diversas ameaças que nos cercam.

Vamos analisar um exemplo de interrupção do negócio por indisponibilidade da estrutura física principal. Imagine que você chegue para trabalhar, e o prédio onde estava seu escritório já não exista mais (neste exemplo descartamos a um desastre com perdas humanas). Quem faz o quê? Como? Quando? Quais são as prioridades?

O melhor método para definir um plano de recuperação de desastre é iniciar pelo teste de mesa. Debater com os responsáveis por cada processo significa entender como cada área atuaria em um momento de crise. Roompida a barreira do evento, inicia a análise racional das ações, relacionadas a recursos necessários para restaurar em um tempo mínimo os componentes vitais para que a operação da organização possa ser restaurada em níveis satisfatórios para a manutenção do negócio.

Um plano de PRD deve ser calculado para que a perda financeira seja equivalente ao investimento do plano. Entretanto, outros aspectos devem ser considerados, para que o negócio não perca a credibilidade e os clientes, como o fator “abalo a imagem” e “perda da credibilidade”.

O PCN e o PRD não devem ser concebidos de forma ideal, tendendo ao tempo de recuperação zero. Eles devem contemplar as soluções redundantes já existentes na empresa, e seguir um plano de gestão que garanta a sua constante renovação, sempre com ênfase ao negócio da empresa. Isto garante investimentos precisos nas áreas identificadas como críticas ao negócio da organização.

ROSI: Retorno sobre Investimentos em Segurança da Informação

2003-05-30T09:12:00.000-04:00

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security.

Aclamado sobre a sigla ROSI – “Return on Security Investments”, a aversão ao risco de investimentos onerosos vem fazendo com que o Security Officer fique cada vez mais hábil no papel de justificar a implementação dos controles de segurança da informação.
A palavra de ordem na ciranda da proteção é “coerência”; dar espaço a tecnologia ou conceito que atenda adequadamente o controle do risco sem esquecer da nossa velha conhecida relação “custo/benefício”.

As diversas tecnologias de firewall, antivírus, IDS, controle de acesso físico e suas diversas configurações e características tornam árdua a tarefa de sacudí-los em um mesmo cesto e tirar o ticket com a solução que atenda de maneira eficiente pelo menor preço. Não menos complicado é justificar à Alta Administração a necessidade de se investir em uma tecnologia de segurança, porque afinal de contas “Nunca houve vazamento de informações ou paradas significantes no processo de negócio, por que deveríamos investir tanto?”. Só notamos a importância do capacete quando caímos da moto. E nós – profissionais de segurança -, ficamos a procura da fórmula-mágica, capaz de justificar o que parece tão evidente.

Bem, quando falamos em retorno sobre investimento, e o objetivo desta medição é segurança da informação, cabe lembrar que segundo estatísticas do Computer Security Institute e do FBI, no ano de 2002, 90% das empresas indagadas identificaram vulnerabilidades nos seus sistemas de tecnologia da informação. Com o avanço da tecnologia, o ciclo de desenvolvimento fica cada vez mais curto, aumentando a janela de vulnerabilidade dos sistemas. Esta tendência tende a se agravar nos próximos anos.

Uma vez que a gestão do risco está migrando de ser uma responsabilidade da área de tecnologia, passando a ser compartilhada de toda a organização – assumindo caráter estratégico -, faz-se necessária a instituição de métricas claras para que o diretor financeiro possa identificar de maneira tangível qual o verdadeiro retorno sobre o investimento.

Na verdade, a grande confusão gira em torno ao uso de uma regra de identificação do ROI (return on investment) através do valor o investimento menos o custo do incidente que tomaria espaço caso não existisse o controle contratado. A métrica indicada para mensurar o retorno econômico do investimento é a TIR (taxa interna de retorno). Isso pode facilitar bastante a compreensão do processo de investimento em determinado controle ou tecnologia.

A pergunta básica que leva a mensuração do valor médio para investimento na administração do risco é: qual o impacto decorrente à ocorrência de determinado risco? Para isso faz-se necessária uma análise de risco, que deve ser o ponto de partida para a definição da regra de investimento. Quando da escolha de um controle, muito cuidado na coleta de informações financeiras. Recomenda-se sempre observar, entre outros:

- Valor total das licenças;
- Valor da manutenção pelo período pós o vencimento da manutenção de garantia;
- Necessidade de treinamento de usuários ou administradores;
- Necessidade de contratação de consultoria;
- Necessidade de produtos extras para o funcionamento do controle;
- Restrições legais do uso ou restrições por país;
- Valor para renovação do contrato;
- Custo do chamado em horários fora do expediente.
Estas são informações que devemos passar ao analista financeiro para que possamos estar certos do custo real da solução.

A medida em que as organizações forem investindo em um sistema de gestão do risco, a tendência é que seja necessário cada vez menos investimento para manter o risco administrado. Conforme indicado na BS 7799 parte 2, o modelo PDCA (plan, do, check, act) permite a organização investir em controles que reduzam os riscos a níveis aceitáveis pela Alta Administração, significa assumir uma parte do risco – o risco residual, e controlar a outra parte.

É muito importante também que o Security Officer, em conjunto com o CFO (chief financial officer) ou diretor financeiro, ddeterminem qual o período de payback do projeto em vista do custo de capital da sua organização configurando o VPL (valor presente líquido). Isso pode variar muito de uma empresa para outra, e pode colaborar bastante no momento de determinar métricas para medição de resultados esperados e agendamento de fases subseqüentes em projetos de implementação. Permitirá à empresa um planejamento de curto, médio e longo prazo, acompanhando as tendências de evolução no seu cenário. Talvez através desta medição seja possível dizer com firmeza se a segurança é realmente parte de valor na cadeia produtiva do negócio da empresa.