Corretora fictícia de criptomoedas: CryptoGhost.

Identificação e Classificação de Ativos de Informação em uma Corretora de Criptomoedas

1. Ativos Tangíveis:
Hardware:
Computadores, servidores, dispositivos de armazenamento, roteadores, switches, firewalls.
Equipamentos de segurança física, como câmeras, sensores e controles de acesso.
Equipamentos de escritório, como impressoras, scanners e copiadoras.
Software:
Sistemas de negociação, carteiras digitais, software de segurança, bancos de dados, ferramentas de análise.
Sistemas de back-office, como ERP, CRM e sistemas de contabilidade.
Software de escritório, como Microsoft Office e Adobe Creative Suite.
Mídia:
CDs, DVDs, fitas magnéticas, backups em papel.
Documentação impressa, como contratos, políticas e procedimentos.
Documentação:
Contratos, políticas, procedimentos, relatórios, auditorias.
Manuais de operação, registros de treinamento, licenças e certificações.
2. Ativos Intangíveis:
Dados de Clientes:
Nomes, endereços, e-mails, números de telefone, informações bancárias, dados de KYC/AML.
Histórico de negociações, saldos de contas, ordens de compra/venda.
Informações de perfil, preferências e configurações.
Dados de Transações:
Histórico de negociações, saldos de contas, ordens de compra/venda.
Detalhes das transações, como data, hora, preço, quantidade e tipo de moeda.
Registros de depósitos e saques.
Dados de Mercado:
Preços de criptomoedas, volumes de negociação, notícias, análises.
Dados de mercado em tempo real, históricos e previsões.
Informações sobre exchanges, pares de negociação e indicadores técnicos.
Propriedade Intelectual:
Marcas, logotipos, software proprietário, algoritmos de negociação.
Patentes, copyrights e segredos comerciais.
Documentação técnica, manuais e guias de treinamento.
Reputação da Empresa:
Confiança do cliente, reconhecimento da marca, valor da marca.
Avaliações online, feedback dos clientes, prêmios e reconhecimentos.
Posicionamento no mercado e reputação da indústria.
3. Classificação por Criticidade:
Críticos:
Dados de clientes, dados de transações, chaves de criptomoedas, software de negociação, propriedade
intelectual.
Reputação da empresa, informações confidenciais e dados regulatórios.
Importantes:
Dados de mercado, documentação, sistemas de segurança, backups de dados.
Informações de funcionários, registros financeiros, contratos e licenças.
Úteis:
Mídia, backups em papel, software de escritório, informações de marketing.
Registros de treinamento, pesquisas de mercado, materiais de treinamento.
4. Considerações Importantes:
A classificação dos ativos de informação deve ser revisada e atualizada periodicamente.
O nível de criticidade de um ativo pode variar de acordo com o contexto e os objetivos da empresa.
É importante considerar os riscos e impactos potenciais em caso de perda, roubo ou corrupção de cada
ativo.
5. Recomendações:
Criar um inventário completo de todos os ativos de informação da empresa.
Implementar um sistema de classificação para categorizar os ativos de acordo com sua criticidade.
Definir medidas de proteção adequadas para cada tipo de ativo de informação.
Monitorar e revisar periodicamente a classificação dos ativos de informação.

2. Realização de Avaliação de Riscos e Proposta de Controles de Segurança para Ativos de

Informação:
Aprofundamento da Avaliação de Riscos:
Riscos Específicos de Corretoras de Criptomoedas:
Volatilidade do Mercado: Altas flutuações de preços podem levar a perdas financeiras para clientes e
corretoras.
Regulamentação Incerta: A falta de regulamentação clara pode aumentar o risco de fraudes e atividades
ilegais.
Custódia de Criptomoedas: Armazenar grandes quantidades de criptomoedas em carteiras digitais
representa um alvo atraente para hackers.
Lavagem de Dinheiro: O anonimato das criptomoedas pode ser usado para fins ilícitos.
Ataques de Ransomware: Hackers podem criptografar dados da corretora e exigir um resgate para liberá-
los.
Análise de Cenários de Risco:
Simular ataques cibernéticos: Testar a capacidade da corretora de se defender contra ataques de hackers,
phishing, malware, etc.
Avaliar o impacto de falhas de hardware/software: Analisar as consequências de falhas de energia,
problemas de conectividade, bugs de software, etc.
Analisar o impacto de desastres naturais: Medir os riscos de inundações, incêndios, terremotos, etc.,
para a corretora.
Exemplos de Metodologias de Avaliação de Riscos:
OCTAVE Allegro: Abordagem quantitativa para calcular o impacto e a probabilidade de riscos.
MEHARI: Método qualitativo para identificar e avaliar riscos de forma estruturada.
NIST Cybersecurity Framework: Estrutura abrangente para gerenciar riscos de segurança cibernética.
Proposta de Controles de Segurança:
Controles Preventivos:
Implementar firewalls e sistemas de detecção de intrusão (IDS): Monitorar o tráfego de rede e detectar
atividades suspeitas.
Utilizar criptografia de dados: Proteger dados confidenciais em repouso e em trânsito.
Realizar backups regulares: Garantir a recuperação de dados em caso de perda ou corrupção.
Implementar políticas de segurança: Estabelecer regras e procedimentos para proteger os ativos de
informação.
Treinar os funcionários sobre segurança da informação: Conscientizar os colaboradores sobre os riscos
e as melhores práticas de segurança.
Controles Detectivos:
Utilizar sistemas de prevenção de intrusão (IPS): Bloquear automaticamente atividades maliciosas na
rede.
Monitorar logs de segurança: Detectar anomalias e identificar atividades suspeitas.
Realizar auditorias de segurança: Avaliar periodicamente a segurança da infraestrutura e dos sistemas da
corretora.
Controles Corretivos:
Ter um plano de resposta a incidentes: Definir ações para responder a violações de segurança e
minimizar os danos.
Implementar um programa de recuperação de desastres: Garantir a continuidade das operações em
caso de desastres naturais ou falhas de hardware/software.
Recomendações Adicionais:
Obter certificações de segurança: Demonstrar o compromisso da corretora com a segurança da
informação.
Contratar uma empresa especializada em segurança cibernética: Obter suporte profissional para
avaliar e gerenciar os riscos de segurança.
Manter-se atualizado sobre as últimas ameaças e soluções: Participar de comunidades de segurança e
acompanhar as publicações do setor.

Plano de Monitoramento e Revisão da Política de Segurança da Informação para uma Corretora de

Criptomoedas
Objetivo:
Garantir que a política de segurança da informação da empresa seja eficaz e esteja em conformidade com
as melhores práticas.
Detectar e corrigir violações da política de segurança da informação.
Manter a política de segurança da informação atualizada com as novas ameaças e tecnologias.
Escopo:
Este plano se aplica a todos os ativos de informação da corretora de criptomoedas, incluindo dados de
clientes, dados de mercado, propriedade intelectual e sistemas de informação.
Responsabilidades:
CISO (Chief Information Security Officer): Responsável pela implementação e monitoramento do
plano.
Gerentes de departamento: Responsáveis por garantir que seus departamentos estejam em conformidade
com a política de segurança da informação.
Funcionários: Responsáveis por seguir a política de segurança da informação.
Atividades de Monitoramento:
Monitoramento de logs: Monitorar os logs de segurança para detectar atividades suspeitas.
Testes de penetração: Realizar testes de penetração regulares para identificar vulnerabilidades nos
sistemas de informação.
Análise de malware: Analisar malware para identificar novas ameaças.
Monitoramento de notícias e mídias sociais: Monitorar notícias e mídias sociais para identificar novas
ameaças.
Atividades de Revisão:
Revisão anual da política: Revisar a política de segurança da informação anualmente para garantir que ela
esteja atualizada.
Revisão ad hoc da política: Revisar a política de segurança da informação ad hoc em caso de novas
ameaças ou tecnologias.
Consultoria com especialistas: Consultar especialistas em segurança da informação para obter orientação
sobre a política de segurança da informação.
Frequência:
As atividades de monitoramento devem ser realizadas diariamente.
As atividades de revisão devem ser realizadas anualmente, ou ad hoc em caso de novas ameaças ou
tecnologias.
Documentação:
Todos os resultados das atividades de monitoramento e revisão devem ser documentados.
Relatórios:
Relatórios sobre as atividades de monitoramento e revisão devem ser enviados ao CISO e à alta gerência
regularmente.
Melhorias:
O plano deve ser revisto e aprimorado periodicamente.
Observações:
Este plano é apenas um guia geral. As empresas devem adaptar seus planos de monitoramento e revisão às
suas necessidades específicas.
É importante consultar um especialista em segurança da informação para obter orientação específica.

Exemplos de Ferramentas para Monitoramento e Revisão da Política de

Segurança da Informação
SIEM (Security Information and Event Management): Ferramentas SIEM coletam e correlacionam logs
de segurança de diferentes sistemas para detectar atividades suspeitas.
SOAR (Security Orchestration, Automation and Response): Ferramentas SOAR automatizam tarefas
de resposta a incidentes de segurança.
Vulnerability scanners: Ferramentas de varredura de vulnerabilidades identificam vulnerabilidades nos
sistemas de informação.
Penetration testing tools: Ferramentas de teste de penetração podem ser usadas para identificar
vulnerabilidades nos sistemas de informação.
Exemplos de Métricas para Monitoramento da Política de Segurança da Informação:
Número de incidentes de segurança
Tempo para detectar incidentes de segurança
Tempo para responder a incidentes de segurança
Número de vulnerabilidades identificadas
Número de vulnerabilidades corrigidas