Recomendação de políticas Serviços de nuvem seguros e confiáveis

Documentos relacionados
Recomendação de políticas Acesso governamental aos dados

Recomendação de políticas Prevenção de crimes cibernéticos modernos

Recomendação de políticas Sustentabilidade ambiental

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

Recomendação de políticas Fluxos de dados através das fronteiras

Recomendação de políticas Inteligência artificial

Cibersegurança - aspetos económicos - Um desafio ou uma oportunidade?

Recomendação de políticas Fraude tecnológica e exploração em linha

Contexto Tecnológico

Por Carolina de Moura 1

Institui a Política de Gestão de Riscos do Ministério do Meio Ambiente.

Sistemas de Informação (SI) Sistemas que abrangem toda a empresa II

UNIVERSIDADE PRESBITERIANA MACKENZIE COORDENADORIA DE PÓS-GRADUAÇÃO LATO SENSU

POLÍTICA DE CIBERSEGURANÇA DO BANCO CETELEM S.A. ( CETELEM )

Recomendação de políticas Desenvolvimento de habilidades de próxima geração

Nove áreas temáticas do programa

Com vocês da mina até o porto. Acompanhamos você durante todas as fases do seu projeto. Mineração e Metalurgia

Institui a Política de Gestão de Riscos - PGR do Ministério da Transparência, Fiscalização e Controladoria-Geral da União - CGU.

Recomendação de políticas Privacidade Pessoal

MDIC Atuação em Comércio Eletrônico Ações voltadas para a China


DOCUMENTO DE TRABALHO DOS SERVIÇOS DA COMISSÃO RESUMO DA AVALIAÇÃO DE IMPACTO. que acompanha o documento

PLATAFORMA GLOBAL DE DEFESA DA PROFISSÃO

RECONHECIMENTO MÚTUO PORTUGAL - ESPANHA GUIA DE REQUISITOS DOS CENTROS DE MANUTENÇÃO DE MATERIAL CIRCULANTE FERROVIÁRIO

Vitória (ES), 23 de junho de 2016

EGTI Aprovada por Resolução SISP n o 7, de 22/12/2010. Apresentação para o CTIC UNIRIO 14/02/2011

OUTROS TRABALHOS EM:

Alessandro Almeida 1 Semestre de 2013

Recomendação de políticas Alfabetização digital

UNIDADE 5 CONSIDERAÇÕES PARA A IMPLEMENTAÇÃO DAS OPÇÕES DE POLÍTICAS

Gestão da Tecnologia da Informação

Políticas para Segurança Hídrica

Centro Nacional de Supervisão Operacional e Informações Gerenciais CNSOIG

GESTÃO DE RISCOS. A gestão de riscos pode ser aplicada a toda uma organização, em suas várias. bem como a funções, atividades e projetos específicos.

Política Controles Internos

ISO Compras sustentáveis

POLÍTICA DE SEGURANÇA CIBERNÉTICA

Impacto das tecnologias informáticas na sociedade

Academia Pan-Americana de Engenharia

e Desafios das Empresas Conferência Preocupações, Desafios e Oportunidades para as Empresas Fórum Tecnológico Lisboa

Norma 2110 Governança

Estratégia de Inovação do Brasil: sugestões para ações

Planejamento Estratégico de TI do MEC

Aula 08. Agenda 21 para países em desenvolvimento

Público-Alvo (Áreas envolvidas)

QUAIS SÃO AS FASES DE IMPLEMENTAÇÃO DE UM SISTEMA DE GESTÃO INTEGRADA?

4º Seminário FEBRABAN sobre CONTROLES INTERNOS. Paulo Sérgio Neves de Souza Banco Central do Brasil Departamento de Supervisão Bancária

Crescer. INVESTRAN Transforme dados em inteligência com as soluções de Private Equity da SunGard

WEBINAR. Pós-graduação Gestão de Serviços em TI. Tema: A nova visão das necessidades em Tecnologias. Prof. Luiz Gimenez.

3) Qual é o foco da Governança de TI?

Gestão integrada de projetos

Programa de Internacionalização de Empresas Apex-Brasil. Apresentação: Juarez Leal

Anexo II - Princípios das Normas ISO aplicáveis a organizações de saúde

Aumente a eficiência operacional com um suporte inteligente para as lojas. Solução de suporte completa para os dispositivos de TI dentro da loja

Visão: Onde a empresa quer chegar daí a um tempo. Pode ser no médio ou longo prazo, em 5 ou 10 anos. Não confundir com os objetivos específicos.

TET-SAT. (Technology Enhanced Teaching Self Assessment Tool) - QUADRO DE CONTEÚDOS -

Saúde e serviços públicos. Comunicação, mídia e alta tecnologia. Serviços financeiros. Produtos. Recursos

Oracle Healthcare Foundation Acelerando a evolução dos cuidados médicos

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

A importância do gerenciamento de software: como a racionalização dos ativos gera benefícios reais de negócios

Analista de Negócio 3.0

PROGRAMA CIDADE AMIGA DA PESSOA IDOSA. Dra. Karla Lisboa Consultora Técnica Organização Pan-Americana da Saúde - OPAS

A INTERNET DAS COISAS RODA EM LINUX

TRANSFORMAÇÃO DIGITAL

A jornada de compliance em Life Sciences

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

Gestão do Conhecimento (GC). Teoria e

Capítulo 1: Introdução às redes comutadas

Mapeamento e Modelagem de Processos. Business Process Management - BPM

Governança. Corporativa e. Gestão de Riscos

Recomendação de políticas Inclusão de pessoas com deficiência

Diagnóstico e Gestão de TI; Modernização da Gestão de Pessoas; Desenvolvimento, Integração e Gerenciamento de Projetos de TI;

Um guia passo a passo para colocar aplicativos COBOL na nuvem. Implante em ambientes virtuais e na nuvem com o Visual COBOL

Pilares de Sustentabilidade de Aves da IPC

OBJETIVO PÚBLICO-ALVO PROGRAMA

ESTRUTURA DE FUNCIONAMENTO DO PROGRAMA DE EDUCAÇÃO CONTINUADA

Gestão da Tecnologia da Informação

Perspectivas para o setor global de saúde para 2018 A evolução dos cuidados inteligentes com a saúde Fevereiro, 2018

SISTEMAS DE INCENTIVOS PORTUGAL 2020

Estratégia da LAC 2018 a 2020

Desafios para a manutenção da qualidade e independência regulatória

ENESIS 2020 Estratégia Nacional para o Ecossistema de Informação de Saúde 2020 O que significa para os Hospitais?

Governo eletrônico e transparência

WEBINAR. Curso: Gestão por Processos (BPM) Tema: Operacionalizando as culturas de Compliance através dos processos. Profa. Renata Wada.

LÍDER EM VAREJO AUMENTA PRODUTIVIDADE E ROI COM FERRAMENTAS ATLASSIAN 2016 LÍDER EM VAREJO AUMENTA PRODUTIVIDADE E ROI COM FERRAMENTAS ATLASSIAN

CNCS. Cibersegurança, capacitação nacional. José Carlos Martins. Cybersecurity Forum - Desafios 3ª Plataforma Tecnológica Lisboa

Estratégia de Governança Digital Ações e Desafios

DECLARAÇÃO DE LUANDA IV REUNIÃO DOS PONTOS FOCAIS DE GOVERNAÇÃO ELETRÓNICA DA COMUNIDADE DOS PAÍSES DE LÍNGUA PORTUGUESA

POLÍTICA DE REGULAÇÃO DAS EMPRESAS ELETROBRAS. Política de Regulação das Empresas Eletrobras

Plano Estratégico

Gestão de Projetos. Introdução. Prof. Dr. Braz Bello Junior Aula 1

Um melhor cuidado com a saúde começa quando se está mais informado.

Escolhendo a melhor opção para sua empresa

POTENCIAL DE PPPs NO ESTADO DO RIO DE JANEIRO

Planejamento Estratégico de Tecnologia da Informação PETI

Rabobank Segurança Cibernética

GESTÃO DE RISCOS NAS LICITAÇÕES E CONTRATOS

Modelo da proposta do Plano de Implementação do Laboratório Vivo para a Descarbonização (LVpD) - 1ª fase (2017) (ANEXO TÉCNICO)

Transcrição:

Recomendação de políticas Serviços de nuvem seguros e confiáveis

A oportunidade Na medida em que a computação em nuvem dá origem a novas e poderosas capacidades, ela oferece o potencial de aumentar a produtividade, reduzir os custos e gerar novos níveis de inovação, segurança e resiliência. Mas ela também cria novos riscos permitindo novas avenidas de ataque para invasores e introduzindo novas complexidades que vão exigir uma reavaliação das práticas e políticas atuais. Nuvem O desafio Para lidar com os riscos e as ameaças da era da computação em nuvem, os governos terão de se adaptar a programas e políticas de segurança existentes e melhorar as atuais abordagens para garantir a segurança e a resiliência dos seus sistemas. Para isso, novas estruturas que incorporam a tomada ativa de decisões com base nos riscos e alavancam as parcerias público-privadas serão necessárias. Dada a natureza global das ameaças à segurança, as parcerias transfronteiriças e as abordagens jurídicas harmonizadas também serão importantes. Recomendação de políticas Os governos reconhecem que os serviços em nuvem oferecem um enorme valor e podem ajudar os setores público e privado a oferecer novos e melhores serviços aos cidadãos e clientes. Como resultado, os governos estão indo além das questões sobre a possibilidade de aplicar abordagens de computação em nuvem e infraestrutura e agora estão focados na criação de marcos regulatórios para garantir que serviços seguros e confiáveis sejam utilizados, principalmente para atividades que envolvem dados sensíveis. Para atingir esse objetivo, recomendamos o quanto segue: Estabelecimento de processos de gestão de risco. As políticas de nuvem devem priorizar a avaliação, a gestão e a mitigação de riscos

Nuvem na prestação de serviços em nuvem para o governo. Os governos devem implementar processos de gestão de riscos em seus ambientes de TI que lhes permitam melhorar o perfil de risco, seja localmente ou na nuvem. Eles também devem se esforçar para distinguir os riscos que são comuns para governos ou departamentos (como controles de acesso lógico) dos riscos únicos (tais como aqueles associados ao acesso a informações pessoais de saúde). Distinguir riscos comuns de únicos ajudará a determinar a forma de gerir certos riscos e quando aplicar as regras internacionais. Estruturação de um programa de segurança na nuvem desenhado para atingir objetivos balanceados. O estabelecimento de um programa de garantia de nuvem permite aos governos adotar soluções em nuvem seguras para a entrega e a extensão dos serviços. Tais programas devem ser estruturados para equilibrar as metas de segurança com as metas de desempenho e inovação. A estrutura deve ter em conta o papel que as partes interessadas relevantes devem desenvolver, incluindo governos (tanto como regulador e consumidor), prestadores de serviços e terceiros. Ela também deve estabelecer processos para a realização de uma análise inicial das práticas de segurança em comparação com as linhas de base necessárias e para a realização de avaliações contínuas sobre um conjunto menor de práticas e controles. Estabelecer medidas de segurança de linha de base alinhadas com ou baseadas nas melhores práticas comprovadas. Como os governos abordam o desenvolvimento e a implementação de linhas de base de segurança terá efeitos profundos sobre a segurança e o desenvolvimento econômico. Abordagens inconsistentes e fragmentadas irão redirecionar os recursos limitados de segurança para compliance. Em vez disso, os governos devem utilizar e adaptar as melhores práticas existentes, como o Marco da Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST) para a promoção da segurança e a criação de oportunidades econômicas.

Requisitos de escopo baseados no modelo de entrega de serviços de nuvem. Os modelos de prestação de serviços de nuvem variam significativamente em termos de arquitetura, função e uso. Portanto, é importante que a segurança seja gerida em proporção aos riscos que surgem em diferentes ambientes. Por exemplo, como a segurança de aplicações de software depende muito dos controles de segurança da infraestrutura subjacente na qual eles são construídos, os requisitos de segurança devem ter como alvo o sistema de infraestrutura diretamente em vez de focar exclusivamente na aplicação. Nuvem Preservar e apoiar o intercâmbio voluntária de informação. Muitos governos estão focados no aumento das ameaças virtuais aos seus ambientes de tecnologia e serviços de infraestrutura críticos que funcionam em seus países. Alguns desenvolveram sistemas de notificação obrigatória de incidentes que requerem que a indústria informe os reguladores em caso de incidentes graves. Os governos devem preservar e apoiar as comunidades de intercâmbio de informações existentes que operam com base na confiança mútua. Como a troca de informações é mais eficaz quando é bidirecional, os governos também devem compartilhar informações desenvolvidas através da análise estratégica da divulgação de informações sobre o incidente para ajudar as empresas do setor privado a enfrentar novas ameaças. Implementar um sistema de classificação de dados para a nuvem. A classificação de dados é o processo de divisão de dados em categorias distintas com base em níveis de sensibilidade e perfis de risco e na articulação dos controles de segurança necessários para que cada nível possa gerenciar os riscos de forma adequada. Um sistema de classificação de dados específicos de nuvem ajudará as empresas e agências governamentais a identificar os seus materiais mais e menos sensíveis e avaliar os custos e benefícios de armazenar diferentes níveis de materiais sensíveis na nuvem. Na medida do possível, os governos podem adaptar esquemas de classificação de dados existentes aos dados armazenados na nuvem.

Nuvem Tirando proveito das regras globais. Considerando que os governos em todo o mundo têm muitos riscos em comum e que a computação em nuvem utiliza agregação e escala para reduzir os custos e melhorar o desempenho, ao usarem as regras globais como base de suas certificações de segurança na nuvem, os governos podem melhorar a eficiência, reduzir os custos e melhorar a concorrência no mercado. As linhas de base devem ser suficientemente abrangentes para minimizar a necessidade das organizações de adicionar seus próprios controles, mas não tão amplas que abranjam controles únicos que não são amplamente utilizados. Desenvolvimento de um modelo de cumprimento com regras de segurança comum para TIC. Posto que todos os setores da economia dependem da tecnologia digital, existe um alto grau de analogia nos riscos e controles em todos os setores, mas há também alguns riscos que são únicos para cada um. Para os riscos comuns, os governos devem desenvolver um modelo de segurança que defina metas e normas mínimas de segurança para os setores regulados, mas que também permita que aqueles setores estabeleçam um subconjunto menor de requisitos adicionais apropriados para seus ambientes operacionais únicos.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback