Rhand Leal
novembro 4, 2015
Produtos para implementação, manutenção, treinamento, e conhecimento para Sistemas de Gestão de Segurança da Informação (SGSI) de acordo com a norma ISO 27001.
Automatize a implementação e manutenção do seu SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSI de acordo com a ISO 27001.
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um SGSI bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de conformidade e treinamento para organizações de infraestrutura crítica para a diretiva de cibersegurança de Rede e Sistemas de Informação da União Europeia.
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com a diretiva de cibersegurança NIS 2.
Programa corporativo de treinamento para empregados e gestão sênior para conformidade com o Artigo 20 da diretiva de cibersegurança NIS 2.
Produtos de conformidade e treinamento para proteção de dados pessoais de acordo com o Regulamento Geral de Proteção de Dados da União Europeia (EU GDPR).
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com o regulamento de privacidade EU GDPR.
Cursos acreditados para indivíduos e profissionais de privacidade que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão da Qualidade (SGQ) de acordo com a norma ISO 9001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ de acordo com a ISO 9001.
Cursos acreditados para indivíduos e profissionais de qualidade que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e ao SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão Ambiental (SGA) de acordo com a norma ISO 14001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGA de acordo com a ISO 14001.
Cursos acreditados para indivíduos e profissionais ambientais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 14001 e ao SGA usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação e treinamento para Sistemas de Gestão de Saúde e Segurança Ocupacional (SGSSO) de acordo com a norma ISO 45001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSSO de acordo com a ISO 45001.
Cursos acreditados para indivíduos e profissionais de saúde & segurança que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação e treinamento para Sistemas de Gestão da Qualidade (SGQ) de dispositivos médicos de acordo com a norma ISO 13485.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ para dispositivos médicos de cordo com a norma ISO 13485.
Cursos acreditados para indivíduos e profissionais de dispositivos médicos que querem treinamento e certificação da mais alta qualidade.
Produtos de compliance para o Regulamento de Dispositivos Médicos da União Europeia (EU MDR).
Todas a políticas, procedimentos e formulários para estar em conformidade com a EU MDR.
Produtos para implementação de Sistemas de Gestão de Serviços de Tecnologia da Informação (SGSTI) de acordo com a norma ISO 20000.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSTI de acordo com a ISO 20000.
Produtos para implementação de Sistemas de Gestão de Continuidade de Negócio (SGCN) de acordo com a norma ISO 22301.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGCN de acordo com a ISO 22301.
Produtos para implementação para laboratórios de teste e calibração de acordo com a norma ISO 17025.
Todas as políticas, procedimentos e formulários requeridos para implementar a ISO 17025 em um laboratório.
Produtos para implementação de Sistemas de Gestão da Qualidade automotiva (QMS) de acordo com a norma IATF 16949.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ automotivo de acordo com a IATF 16949.
Produtos para implementação de Sistemas de Gestão da Qualidade (SGQ) aeroespacial de acordo com a norma AS9100.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ aeroespacial de acordo com a AS9100.
Produtos para implementação, manutenção, treinamento, e conhecimento para consultores.
Lide com múltiplos projetos ISO 27001 automatizando tarefas repetitivas durante a implementação do SGSI.
Todas as políticas, procedimentos e formulários requeridos para implementar várias normas e regulamentos para seus clientes.
Organize um programa corporativo de cibersegurança para os empregados do seu cliente, e apoie um programa de cibersegurança bem-sucedido.
Cursos acreditados ISO 27001, 9001, 14001, 45001, e 13485 para profissionais que querem treinamento e certificação reconhecidas da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (QMS), e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Encontre novos clientes, parceiros potenciais, e colaboradores e encontre uma comunidade de profissionais com ideias semelhantes local e globalmente.
Produtos para implementação, manutenção, treinamento, e conhecimento para a indústria de TI.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de compliance, treinamento, e conhecimento para organizações essenciais e importantes.
Documentação para estar em conformidade com a NIS 2 (cibersegurança), GDPR (privacidade), ISO 27001 (cibersegurança), e ISO 22301 (continuidade de negócio).
Programa de treinamento corporativo para empregados e gestão sênior para estar em conformidade com o Artigo 20 da diretriz de segurança NIS 2.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de manufatura.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de transporte & distribuição.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para escolas, universidades e outras organizações educacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), e GDPR (privacidade).
Programa corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes e apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para empresas de telecomunicações.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para bancos, seguradoras, e outras organizações financeiras.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersecurança), ISO 22301 (continuidade de negócio), GDPR (privacidade), e NIS 2 (ciberseurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para entidades governamentais locais, regionais e nacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para hospitais e outras organizações de saúde.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor de dispositivos médicos.
Documentação para estar em conformidade com a MDR e ISO 13485 (dispositivos médicos), ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor aeroespacial.
Documentação para estar em conformidade com a AS9100 (aeroespacial), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para a indústria automotiva.
Documentação para estar em conformidade com a IATF 16949 (automotiva), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para laboratórios.
Documentação para estar em conformidade com a ISO 17025 (laboratórios de teste e calibração) e ISO 9001 (qualidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e o SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Pense sobre uma casa, ou escritório, com apenas um grande espaço onde você pode organizar todas as suas preciosas e amadas coisas da forma que você acha mais apropriada. Tentador, não é? A flexibilidade para usar o espaço e a facilidade de ver tudo de imediato parece ser um grande negócio. Agora, imagine esta casa, ou escritório, sendo arrombado. E agora, como ficam suas preciosas e amadas coisas?
Esta situação é muito similar a muitas implementações de rede feitas em todo o mundo. Ao buscar por um gerenciamento fácil e descomplicado, ou por falta de conhecimento, muitas organizações acabam com centenas, ou milhares, de equipamentos conectados em uma única rede gigante. Além de problemas de desempenho, este tipo de situação pode trazer devastação em caso de um ataque ou erro não intencional.
A gestão da segurança de rede, uma das principais categorias da ISO 27001, declara como seu objetivo “assegurar a proteção da informação em redes e dos recursos de processamento da informação que as apoiam”. Para atingir o objetivo declarado, um dos controles propostos é o A.13.1.3 – Segregação de redes, e neste artigo revisaremos suas recomendações detalhadas na ISO 27002.
Segregação de rede é o ato de dividir uma rede em partes menores chamadas sub redes ou segmentos de rede. É um outro bom exemplo da aplicação da estratégia “Dividir e Conquistar” vista no artigo Gestão de projetos ISO 27001: Implementando controles de segurança complexos usando Estrutura Analítica de Projeto (EAP).
Revendo o exemplo da casa / escritório, você pode pensar na segregação como cômodos tais como sala de estar, sala de jantar, sala de reunião, arquivo, etc. A coisa mais importante aqui e pensar sobre espaços reservados para propósitos específicos.
Quando você segrega uma rede, você pode atingir os seguintes benefícios:
Melhoria de desempenho: com menos equipamentos por sub rede, há menos tráfego de sinalização, e mais largura de banda pode ser usada para comunicação de dados.
Melhoria da segurança: com menos tráfego de sinalização passando por todos os segmentos de rede, é mais difícil para um atacante mapear a estrutura da rede, falhas em um segmento são menos prováveis de se propagar, e um melhor controle de acesso pode ser estabelecido considerando o acesso de visitantes ou acesso a informações / ativos sensíveis.
Por outro lado, o esforço de segregação requer:
Conhecimento especializado: redes podem abrigar centenas de dispositivos, com organizações definindo políticas complexas com dúzias de regras, assim a equipe de rede deve ser adequadamente educada e treinada para assegurar que a segmentação de rede mantenha o negócio funcionando de forma segura e em conformidade.
Esforço administrativo: mudanças na infraestrutura, como novas aplicações de negócio e novas tecnologias, podem multiplicar o tempo requerido para fazer mudanças adequadas e assegurar a integridade dos segmentos de rede.
Investimentos em equipamento / software: a segregação talvez requeira mais equipamentos, novos equipamentos com funcionalidades avançadas, ou software específico para lidar com múltiplos segmentos, e estes requisitos deveriam ser considerados durante o planejamento do orçamento.
O controle A.13.1.3 – Segregação de networks, declara que grupos de serviços de informação, usuários e sistemas de informação deveriam ser segregados em redes. A ISO 27002, que prove orientações para a implementação dos controles da ISO 27001, faz as seguintes recomendações:
Para atender a estas recomendações, você pode considere o seguinte:
Segmentação baseada em critérios: Regras pré-definidas para estabelecer perímetros e criar novos segmentos pode reduzir futuros esforços administrativos. Exemplos de critérios são nível de confiança (ex.: segmento para o público externo, segmento para a equipe, segmento para bases de dados, segmento para fornecedores, etc.), unidade organizacional (ex.: RH, Vendas, Serviço ao Cliente, etc.), e combinações (ex.: acesso ao público externo para Vendas e Serviços ao Cliente).
Uso de segmentação física e lógica: Dependendo do nível de risco indicado na avaliação de riscos, pode ser necessário usar infraestruturas fisicamente separadas para proteger informações e ativos da organização (ex.: dados ultra secretos fluindo através de fibras óticas dedicadas a equipe de gestão), ou você pode usar soluções baseadas em segmentação lógica como Redes Provadas Virtuais (Virtual Private Network – VPN).
Regras de acesso para o fluxo de tráfego: O tráfego entre segmentos, incluindo aqueles de partes externas autorizadas, deveria ser controlado de acordo com as necessidades de transmissão/recepção de informações. Pontos de acesso, como firewalls e roteadores, deveriam ser configurados com base na classificação da informação e avaliação de riscos. Um caso específico de controle de acesso se aplica a redes sem fio, uma vez que elas possuem uma fraca definição de perímetro. A recomendação é tratar a comunicação sem fio como uma conexão externa até que o tráfego possa alcançar um ponto de acesso cabeado adequado antes de garantir acesso a segmentos da rede interna.
Redes únicas para negócios iniciando ou pequenos pode parecer um bom negócio, e em muitos casos, elas são. Elas são fáceis de gerenciar e economizam dinheiro necessário para manter o negócio funcionando. Contudo, você deve pensar como um gestor estratégico, e se diferenciar de gestores medianos, pensando a frente, e estar preparado para evoluir sua rede quando ela começar a representar um obstáculo ao negócio.
Você não precisa implementar segregação de redes no início do seu novo negócio, mas se você acredita que seu negócio será um sucesso, você deve estar preparado.
Para saber mais sobre as recomendações sobre o que você precisa considerar ao implementar ou revisar os controles de segurança, consulte este ISO 27001 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.
Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.
Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.
Você pode cancelar sua inscrção a qualquer momento. Para mais informações por favor veja nosso aviso de privacidade.