A lei promulgada em 2002 tem efeitos também em países como o Brasil que tem cerca de 70 empresas com ações negociadas em bolsas americanas e as centenas de empresas multinacionais com filiais no Brasil, assim como as empresas de auditoria devem se adaptar às novas regulamentações.
As Seções 302 e 404 da lei são as citadas com mais frequência, por serem essenciais, mas é necessário que se considere no contexto relativo à Lei por inteiro. A lei ganhou notoriedade pois obriga executivos das empresas, em particular CEOs e CFOs a ter responsabilidade direta e a atestar a veracidade e exatidão dos relatórios financeiros, além da certificação por auditoria independente.
Os executivos de TI são afetados principalmente pela Seção 404 que trata sobre os controles de processos internos e sistemas contábeis, determinando uma avaliação anual dos mesmos. Assim estes executivos e toda sua equipe devem ser engajadas no plano elaborado para a empresa para a conformidade à SOX, desenvolverem suporte e um plano de conformidade para os controles internos de TI que se integre ao plano geral da empresa.
Portanto existe a obrigatoriedade de práticas de segurança de rede e critérios rígidos no uso de aplicativos. Invasões em sistemas, ataques de todo tipo, vírus, roubo de dados, fraudes de senhas, e demais ameaças à segurança das informações e dados sensíveis da empresa, podem implicar em responsabilidade direta dos executivos e administradores, segundo a Seção 404, implicando em sanções penais.
Nos início de 2001, o instituto SANS (System Administration, Networking and Security) e o NIPC/FBI (National Infrastructure Protection Center, FBI) divulgaram um documento que resumia as dez vulnerabilidades mais críticas de segurança na Internet ("The Top Ten Most Critical Internet Security Vulnerabilities", ou simplesmente, "Top 10").
Milhares de organizações usaram esta lista para priorizar esforços de modo que fosse possível sanar a priori as vulnerabilidades consideradas mais perigosas. Uma nova lista, divulgada em 1º de Outubro de 2001, atualiza e expande a lista Top 10. Com este novo lançamento, nos aumentamos à lista para conter as vinte vulnerabilidades mais críticas ("Top 20"), dividido-a em três categorias: vulnerabilidades gerais, vulnerabilidades no Windows, e vulnerabilidades no UNIX.
A lista Top 20 do SANS/FBI é valiosa porque a maioria dos ataques bem sucedidos direcionados a sistemas de computadores através da Internet pode ser atribuída à exploração de falhas de segurança incluídas nesta lista. Por exemplo, o comprometimento do sistema no incidente ´Solar Sunrise´ ocorrido no Pentágono, bem como a fácil e rápida propagação do Code Red e NIMDA podem ser atribuídos à exploração de vulnerabilidades contidas na lista.
Estas poucas vulnerabilidades de software contabilizam a maioria dos ataques bem sucedidos, simplesmente pelo fato dos atacantes serem oportunistas, isto é, escolherem o caminho mais fácil e conveniente. Eles exploram as falhas mais comuns, usando as mais efetivas e difundidas ferramentas de ataque. Os atacantes partem do princípio que as organizações não corrigem seus sistemas e saem vasculhando sistemas vulneráveis na Internet.
No passado, os administradores de sistemas relataram que não teriam corrigido muitas destas falhas, primeiro, porque simplesmente não sabiam quais delas eram as mais perigosas, e segundo, porque estavam muito ocupados para corrigi-las. Algumas das ferramentas de scan de vulnerabilidades procuram por 3000, 5000 ou até mesmo 32000 vulnerabilidades que é o caso do Site Blindado, diminuindo assim o foco principal dos administradores de sistemas, que precisam garantir que todos os seus sistemas encontram-se protegidos dos ataques mais comuns.
A lista Top 20 foi criada justamente para aliviar estas dificuldades, combinando o conhecimento de dezenas de especialistas em segurança das agências federais mais reconhecidas na área, principais firmas de consultoria e fabricantes de software de segurança, melhores programas na área de segurança mantidos nas universidades, o CERT/CC e o instituto SANS. Uma lista de participantes pode ser encontrada no final deste documento.
O Site Blindado é atualizado cada vez que o FBI divulga uma nova listagem com as vulnerabilidades TOP 20 para procurar e sugerir soluções para cada uma delas.
Isso fez com que o FBI homologasse a ScanAlert como uma das principais fornecedores de solução de segurança na Internet.
A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002 um padrão britânico que trata da definição de requisitos para um Sistema Gestão de Segurança da Informação. O padrão foi incorporado pela The International Organization for Standardization (ISO), Instituição internacional com sede na Suíça que cuida do estabelecimento de padrões internacionais de certificação em diversas áreas. O Reino Unido é um grande provedor de regras e padrões, pela tradição de precursor atividades de padronização desde a Revolução Industrial. Podemos citar como exemplo de normas BS que foram incorporadas pela ISO: BS5750 que virou ISO 9000 (Qualidade) e BS7550 que virou ISO14000 (Meio Ambiente).
A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC (The International Eletrotechnical Comission) o ISO/IEC JTC 1, sub-comitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005.
As mudanças mais relevantes na migração para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gestão de segurança da informação), quando são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:
FBI e Sans Institute
ISO 27001
De acordo com órgãos certificadores será concedido um tempo para as empresas certificadas em BS7799-2:2002 se adequarem a nova norma ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa certificadas, se quiserem manter o seu certificado, deverão se revisar seus sistemas e passar por uma auditoria de re-certificação migrando para a norma ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a nova norma e aumente o número de certificações no mundo, devido a maior aceitação do padrão ISO com referência universal.
¹ Ciclo PDCA de melhoria - ferramenta utilizada para garantir a evolução dos sistemas de gestão nas normas ISO 9001 e ISO 14000, por exemplo, que significa: P- planejar, D - executar, C - verificar, A - agir corretivamente.
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
|---|
Copyright 2008 - Digital Intelligence |
