Fórum de discussão
Consulte abaixo todas as dúvidas e comentários relacionados a este curso. Se você tem alguma dúvida, utilize o botão CRIAR NOVO TÓPICO. Verifique antes se a sua dúvida já não foi enviada por outro aluno.
Enviado em 10/03/2014 07:19
Poderia explicar melhor esse controle?
Poderia dar um exemplo prático e como atendê-lo?
Enviado em 13/03/2014 11:24
12.6.1 Controle de vulnerabilidades técnicas
Controle
Convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de
informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas
apropriadas para lidar com os riscos associados.
Diretrizes para implementação
Um inventário completo e atualizado dos ativos de informação (ver 7.1) é um pré-requisito para uma gestão
efetiva de vulnerabilidade técnica. Informação específica para o apoio à gestão de vulnerabilidade técnica
inclui o fornecedor de software, o número de versão, o status atual de uso e distribuição (por exemplo, que
softwares estão instalados e em quais sistemas) e a(s) pessoa(s) na organização responsável(is) pelos
softwares.
Convém que a ação apropriada seja tomada, no devido tempo, como resposta às potenciais vulnerabilidades
técnicas identificadas. Convém que as seguintes diretrizes sejam seguidas para o estabelecimento de um
processo de gestão efetivo de vulnerabilidades técnicas:
a) a organização defina e estabeleça as funções e responsabilidades associadas na gestão de
vulnerabilidades técnicas, incluindo o monitoramento de vulnerabilidades, a análise/avaliação de riscos
de vulnerabilidades, patches, acompanhamento dos ativos e qualquer coordenação de
responsabilidades requerida;
b) os recursos de informação a serem usados para a identificar vulnerabilidades técnicas relevantes e
para manter a conscientização sobre eles sejam identificados para softwares e outras tecnologias
(com base na lista de inventário dos ativos, ver 7.1.1); convém que esses recursos de informação
sejam mantidos atualizados com base nas mudanças no inventário de ativos, ou quando outros
recursos novos ou úteis forem encontrados;
c) seja definido um prazo para a reação a notificações de potenciais vulnerabilidades técnicas relevantes;
d) uma vez que uma vulnerabilidade técnica potencial tenha sido identificada, convém que a organização
avalie os riscos associados e as ações a serem tomadas; tais ações podem requerer o uso de patches
nos sistemas vulneráveis e/ou a aplicação de outros controles;
e) dependendo da urgência exigida para tratar uma vulnerabilidade técnica, convém que a ação tomada
esteja de acordo com os controles relacionados com a gestão de mudanças (ver 12.5.1) ou que sejam
seguidos os procedimentos de resposta a incidentes de segurança da informação (ver 13.2);
f) se um patch for disponibilizado, convém que sejam avaliados os riscos associados à sua instalação
(convém que os riscos associados à vulnerabilidade sejam comparados com os riscos de instalação do
patch);
g) patches sejam testados e avaliados antes de serem instaladas para assegurar a efetividade e que não
tragam efeitos que não possam ser tolerados; quando não existir a disponibilidade de um patch,
convém considerar o uso de outros controles, tais como:
1) a desativação de serviços ou potencialidades relacionadas à vulnerabilidade;
2) a adaptação ou agregação de controles de acesso, por exemplo firewalls nas fronteiras da rede
(ver 11.4.5);
3) o aumento do monitoramento para detectar ou prevenir ataques reais;
4) o aumento da conscientização sobre a vulnerabilidade;
h) seja mantido um registro de auditoria de todos os procedimentos realizados;
i) com a finalidade de assegurar a eficácia e a eficiência, convém que seja monitorado e avaliado
regularmente o processo de gestão de vulnerabilidades técnicas;
j) convém abordar em primeiro lugar os sistemas com altos riscos.
Informações adicionais
O correto funcionamento do processo de gestão de vulnerabilidades técnicas é crítico para muitas
organizações e, portanto, convém que seja monitorado regularmente. Um inventário de ativos preciso é
essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas.
Enviado em 21/03/2014 11:23
Você poderia me dizer onde conseguiu todos esses detalhes?
Para que continuemos desenvolvendo novos cursos com preços acessíveis, contamos com a sua colaboração. O conteúdo dos nossos cursos não pode ser redistribuído de qualquer forma ou por qualquer meio. Somente o aluno devidamente inscrito nos cursos poderá fazer uso dos nossos materiais. Se você identificar que alguém está usando indevidamente o conteúdo dos nossos cursos, ou distribuindo-o ilegalmente, por favor avise-nos imediatamente através do e-mail contato@tiexames.com.br. Veja as condições de uso dos nossos conteúdos.
Leia a licença de uso