Identificação e Classificação de Ativos de Informação em uma Corretora de Criptomoedas
1. Ativos Tangíveis: Hardware: Computadores, servidores, dispositivos de armazenamento, roteadores, switches, firewalls. Equipamentos de segurança física, como câmeras, sensores e controles de acesso. Equipamentos de escritório, como impressoras, scanners e copiadoras. Software: Sistemas de negociação, carteiras digitais, software de segurança, bancos de dados, ferramentas de análise. Sistemas de back-office, como ERP, CRM e sistemas de contabilidade. Software de escritório, como Microsoft Office e Adobe Creative Suite. Mídia: CDs, DVDs, fitas magnéticas, backups em papel. Documentação impressa, como contratos, políticas e procedimentos. Documentação: Contratos, políticas, procedimentos, relatórios, auditorias. Manuais de operação, registros de treinamento, licenças e certificações. 2. Ativos Intangíveis: Dados de Clientes: Nomes, endereços, e-mails, números de telefone, informações bancárias, dados de KYC/AML. Histórico de negociações, saldos de contas, ordens de compra/venda. Informações de perfil, preferências e configurações. Dados de Transações: Histórico de negociações, saldos de contas, ordens de compra/venda. Detalhes das transações, como data, hora, preço, quantidade e tipo de moeda. Registros de depósitos e saques. Dados de Mercado: Preços de criptomoedas, volumes de negociação, notícias, análises. Dados de mercado em tempo real, históricos e previsões. Informações sobre exchanges, pares de negociação e indicadores técnicos. Propriedade Intelectual: Marcas, logotipos, software proprietário, algoritmos de negociação. Patentes, copyrights e segredos comerciais. Documentação técnica, manuais e guias de treinamento. Reputação da Empresa: Confiança do cliente, reconhecimento da marca, valor da marca. Avaliações online, feedback dos clientes, prêmios e reconhecimentos. Posicionamento no mercado e reputação da indústria. 3. Classificação por Criticidade: Críticos: Dados de clientes, dados de transações, chaves de criptomoedas, software de negociação, propriedade intelectual. Reputação da empresa, informações confidenciais e dados regulatórios. Importantes: Dados de mercado, documentação, sistemas de segurança, backups de dados. Informações de funcionários, registros financeiros, contratos e licenças. Úteis: Mídia, backups em papel, software de escritório, informações de marketing. Registros de treinamento, pesquisas de mercado, materiais de treinamento. 4. Considerações Importantes: A classificação dos ativos de informação deve ser revisada e atualizada periodicamente. O nível de criticidade de um ativo pode variar de acordo com o contexto e os objetivos da empresa. É importante considerar os riscos e impactos potenciais em caso de perda, roubo ou corrupção de cada ativo. 5. Recomendações: Criar um inventário completo de todos os ativos de informação da empresa. Implementar um sistema de classificação para categorizar os ativos de acordo com sua criticidade. Definir medidas de proteção adequadas para cada tipo de ativo de informação. Monitorar e revisar periodicamente a classificação dos ativos de informação.
2. Realização de Avaliação de Riscos e Proposta de Controles de Segurança para Ativos de
Informação: Aprofundamento da Avaliação de Riscos: Riscos Específicos de Corretoras de Criptomoedas: Volatilidade do Mercado: Altas flutuações de preços podem levar a perdas financeiras para clientes e corretoras. Regulamentação Incerta: A falta de regulamentação clara pode aumentar o risco de fraudes e atividades ilegais. Custódia de Criptomoedas: Armazenar grandes quantidades de criptomoedas em carteiras digitais representa um alvo atraente para hackers. Lavagem de Dinheiro: O anonimato das criptomoedas pode ser usado para fins ilícitos. Ataques de Ransomware: Hackers podem criptografar dados da corretora e exigir um resgate para liberá- los. Análise de Cenários de Risco: Simular ataques cibernéticos: Testar a capacidade da corretora de se defender contra ataques de hackers, phishing, malware, etc. Avaliar o impacto de falhas de hardware/software: Analisar as consequências de falhas de energia, problemas de conectividade, bugs de software, etc. Analisar o impacto de desastres naturais: Medir os riscos de inundações, incêndios, terremotos, etc., para a corretora. Exemplos de Metodologias de Avaliação de Riscos: OCTAVE Allegro: Abordagem quantitativa para calcular o impacto e a probabilidade de riscos. MEHARI: Método qualitativo para identificar e avaliar riscos de forma estruturada. NIST Cybersecurity Framework: Estrutura abrangente para gerenciar riscos de segurança cibernética. Proposta de Controles de Segurança: Controles Preventivos: Implementar firewalls e sistemas de detecção de intrusão (IDS): Monitorar o tráfego de rede e detectar atividades suspeitas. Utilizar criptografia de dados: Proteger dados confidenciais em repouso e em trânsito. Realizar backups regulares: Garantir a recuperação de dados em caso de perda ou corrupção. Implementar políticas de segurança: Estabelecer regras e procedimentos para proteger os ativos de informação. Treinar os funcionários sobre segurança da informação: Conscientizar os colaboradores sobre os riscos e as melhores práticas de segurança. Controles Detectivos: Utilizar sistemas de prevenção de intrusão (IPS): Bloquear automaticamente atividades maliciosas na rede. Monitorar logs de segurança: Detectar anomalias e identificar atividades suspeitas. Realizar auditorias de segurança: Avaliar periodicamente a segurança da infraestrutura e dos sistemas da corretora. Controles Corretivos: Ter um plano de resposta a incidentes: Definir ações para responder a violações de segurança e minimizar os danos. Implementar um programa de recuperação de desastres: Garantir a continuidade das operações em caso de desastres naturais ou falhas de hardware/software. Recomendações Adicionais: Obter certificações de segurança: Demonstrar o compromisso da corretora com a segurança da informação. Contratar uma empresa especializada em segurança cibernética: Obter suporte profissional para avaliar e gerenciar os riscos de segurança. Manter-se atualizado sobre as últimas ameaças e soluções: Participar de comunidades de segurança e acompanhar as publicações do setor.
Plano de Monitoramento e Revisão da Política de Segurança da Informação para uma Corretora de
Criptomoedas Objetivo: Garantir que a política de segurança da informação da empresa seja eficaz e esteja em conformidade com as melhores práticas. Detectar e corrigir violações da política de segurança da informação. Manter a política de segurança da informação atualizada com as novas ameaças e tecnologias. Escopo: Este plano se aplica a todos os ativos de informação da corretora de criptomoedas, incluindo dados de clientes, dados de mercado, propriedade intelectual e sistemas de informação. Responsabilidades: CISO (Chief Information Security Officer): Responsável pela implementação e monitoramento do plano. Gerentes de departamento: Responsáveis por garantir que seus departamentos estejam em conformidade com a política de segurança da informação. Funcionários: Responsáveis por seguir a política de segurança da informação. Atividades de Monitoramento: Monitoramento de logs: Monitorar os logs de segurança para detectar atividades suspeitas. Testes de penetração: Realizar testes de penetração regulares para identificar vulnerabilidades nos sistemas de informação. Análise de malware: Analisar malware para identificar novas ameaças. Monitoramento de notícias e mídias sociais: Monitorar notícias e mídias sociais para identificar novas ameaças. Atividades de Revisão: Revisão anual da política: Revisar a política de segurança da informação anualmente para garantir que ela esteja atualizada. Revisão ad hoc da política: Revisar a política de segurança da informação ad hoc em caso de novas ameaças ou tecnologias. Consultoria com especialistas: Consultar especialistas em segurança da informação para obter orientação sobre a política de segurança da informação. Frequência: As atividades de monitoramento devem ser realizadas diariamente. As atividades de revisão devem ser realizadas anualmente, ou ad hoc em caso de novas ameaças ou tecnologias. Documentação: Todos os resultados das atividades de monitoramento e revisão devem ser documentados. Relatórios: Relatórios sobre as atividades de monitoramento e revisão devem ser enviados ao CISO e à alta gerência regularmente. Melhorias: O plano deve ser revisto e aprimorado periodicamente. Observações: Este plano é apenas um guia geral. As empresas devem adaptar seus planos de monitoramento e revisão às suas necessidades específicas. É importante consultar um especialista em segurança da informação para obter orientação específica.
Exemplos de Ferramentas para Monitoramento e Revisão da Política de
Segurança da Informação SIEM (Security Information and Event Management): Ferramentas SIEM coletam e correlacionam logs de segurança de diferentes sistemas para detectar atividades suspeitas. SOAR (Security Orchestration, Automation and Response): Ferramentas SOAR automatizam tarefas de resposta a incidentes de segurança. Vulnerability scanners: Ferramentas de varredura de vulnerabilidades identificam vulnerabilidades nos sistemas de informação. Penetration testing tools: Ferramentas de teste de penetração podem ser usadas para identificar vulnerabilidades nos sistemas de informação. Exemplos de Métricas para Monitoramento da Política de Segurança da Informação: Número de incidentes de segurança Tempo para detectar incidentes de segurança Tempo para responder a incidentes de segurança Número de vulnerabilidades identificadas Número de vulnerabilidades corrigidas
Material Do Curso Preparatório para As Certificações Big Data Foundation Data Science Essentials Data Governance Foundation Cloud Security Foundation e InfoSec Foundation