Escolar Documentos
Profissional Documentos
Cultura Documentos
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
1
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
2
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
3
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
4
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
5
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
6
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
Foi demonstrado que o gerenciamento básico do risco da informação evita até 85%
dos ataques cibernéticos vistos hoje, permitindo que as organizações se concentrem no
gerenciamento do impacto dos outros 15%. As organizações devem tomar medidas para
rever e investir, quando necessário, para melhorar a segurança nas seguintes áreas-chave:
Regime de Gestão de Risco da Informação
Estabeleça uma estrutura de governança eficaz e determine seu apetite ao risco -
assim como faria com qualquer outro risco. Manter o envolvimento do Conselho com o
risco cibernético. Produzir políticas de suporte a riscos de informações.
Trabalho Doméstico e Móvel
Desenvolva uma política de trabalho móvel e treine a equipe a aderir a ela. Aplique
a construção da linha de base segura a todos os dispositivos. Proteja os dados em trânsito
e em repouso.
Educação e Conscientização do Usuário
Produza políticas de segurança do usuário que cubram o uso aceitável e seguro dos
sistemas da organização. Estabelecer um programa de treinamento de pessoal. Manter a
conscientização do usuário sobre os riscos cibernéticos.
Gerenciamento de Incidentes
Estabelecer uma capacidade de resposta a incidentes e recuperação de desastres.
Produzir e testar planos de gerenciamento de incidentes. Fornecer treinamento
especializado para a equipe de gerenciamento de incidentes. Relatar incidentes criminais
para a aplicação da lei.
Gerenciando privilégios de usuário
Estabeleça processos de gerenciamento de contas e limite o número de contas
privilegiadas.
Limite os privilégios do usuário e monitore a atividade do usuário. Controle o acesso
a atividades e registros de auditoria.
Controles de Mídia Removível
Produza uma política para controlar todo o acesso a mídia removível. Limite os tipos
de mídia e use. Analise toda a mídia em busca de malware antes de importar para o
sistema corporativo.
Monitoramento
Estabelecer uma estratégia de monitoramento e produzir políticas de apoio. Monitore
continuamente todos os sistemas e redes de TIC. Analise logs para atividades incomuns
que possam indicar um ataque.
Configuração segura
Aplique patches de segurança e garanta que a configuração segura de todos os
sistemas ICT seja mantida. Crie um inventário do sistema e defina uma construção de
linha de base para todos os dispositivos ICT.
Proteção contra malware
Produza políticas relevantes e estabeleça defesas antimalware que sejam aplicáveis
e relevantes para todas as áreas de negócios. Procure por malware em toda a organização.
7
Atividade M3 - NCSC-Cyber-security-risk-management-Executive
Segurança de rede
Proteja suas redes contra ataques externos e internos. Gerenciar o perímetro da rede.
Filtre o acesso não autorizado e o conteúdo malicioso. Monitore e teste os controles de
segurança.
Próximos passos
Se você não tiver certeza sobre a capacidade de sua organização de gerenciar os
riscos de suas informações, aqui estão algumas medidas práticas que podem ser tomadas
por meio de mecanismos de governança corporativa:
1. Confirme que você identificou seus principais ativos de informações e o impacto
em seus negócios se eles fossem comprometidos.
2. Confirme que você identificou claramente as principais ameaças aos seus ativos
de informações e estabeleceu um apetite pelos riscos associados.
3. Confirme que você está gerenciando apropriadamente os riscos cibernéticos para
suas informações e tenha as políticas de segurança necessárias em vigor.
As empresas podem não ter toda a experiência necessária para implementar algumas
dessas etapas e garantir que as medidas adotadas atendem às ameaças atuais. Os parceiros
de auditoria devem poder fornecer assistência em primeira instância. Para conhecimento
em gestão de riscos de informação, as organizações devem buscar orientação de membros
de órgãos profissionais apropriados ou daqueles que obtiveram qualificações
reconhecidas pela indústria.
SOBRE NCSC
O Centro Nacional de Segurança Cibernética (NCSC) é responsável por proteger o
governo de nossa nação e a infraestrutura crítica contra ameaças cibernéticas que podem
afetar nossa segurança nacional, segurança pública e prosperidade econômica.
Para mais informações, visite: www.ncsc.govt.nz
Para denunciar um incidente cibernético: www.ncsc.govt.nz/incidents ou +64 4 498
7654