Seguros já excluem cobertura por ataques cibernéticos

Atentas às modificações no cenário em que realizam suas operações, as seguradoras já passaram a citar como causas de exclusão de cobertura em determinados seguros os ataques cibernéticos.

Brasil e Rússia assinam acordo de ajuda mútua para o Setor Cibernético

Além de capacitação de pessoal e exercícios conjuntos, Brasil e Rússia, duas das maiores origens de SPAM, phishing e demais ataques do mundo, poderiam ter incluído termos para a apuração de crimes cibernéticos. Até agora nada... http://tinyurl.com/4u7duhn


Para ilustrar, seguem as últimas estatísticas de incidentes reportados ao Cert.br por origem (Country Code): http://tinyurl.com/4e4xpxd

ISO 27005 no levantamento de ativos para análise/gerenciamento de riscos

Um dos primeiros desafios que surgem quando se deseja realizar uma análise de riscos ou implementar um processo de gerenciamento de riscos em uma organização é o levantamento dos ativos a proteger.

Lembrando, ATIVO é tudo aquilo que tem valor para a organização (ABNT ISO/IEC 27001:2006), algo que possui VULNERABILIDADES sujeitas a AMEAÇAS.

Vulnerabilidade é uma fraqueza de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças. (ABNT ISO/IEC 27005:2008) 

Ameaça é a causa potencial de um incidente que pode resultar em dano para o sistema ou organização. (ABNT ISO/IEC 27005:2008)

Para subsidiar a Política de Segurança da Informação e Comunicações (POSIC) em minha organização, foi necessária a realização de uma análise de riscos.  Realizamos o levantamento de ativos através de entrevistas com os gestores e precisamos encontrar formas de  estimulá-los a descrever os pontos-chave dos processos de negócio em que estavam envolvidos. O Anexo B das normas ABNT ISO/IEC 27005:2008 traz, com a ajuda de exemplos, uma forma de categorizar os ativos e tornar mais intuitiva a tarefa de identificação. Fica a dica!