Baixe o app para aproveitar ainda mais
Prévia do material em texto
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO 1 GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO OBJETIVO: Definir o ciclo de vida da informação GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Ciclo de vida da informação Classificação da informação Barreiras da segurança da informação 1 2 3 GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Ciclo de vida da informação 1 “A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenagem, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência.“ (ABNT NBR ISO/IEC 27002:2013) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Manuseio Armazenamento Transporte Descarte Informação criada e manipulada Informação é armazenada Informação é transportada Informação é descartada 1 2 3 4 GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Manuseio Informação criada e manipulada 1 “Momento em que a informação é criada e manipulada, ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação de Internet ou, ainda, ao utilizar a senha de acesso para autenticação, por exemplo.” (Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Armazenamento Informação é armazenada 2 “Momento em que a informação é armazenada, seja em um banco de dados compartilhado, seja em uma anotação de papel posteriormente postada em um arquivo de ferro ou, ainda, em um CD-ROM, DVD-ROM ou pen-drive depositado na gaveta da mesa de trabalho, por exemplo.”(Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Transporte Informação é transportada 3 “Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), seja ao postar em um sistema na Internet ou, ainda, ao falar ao telefone uma informação confidencial, por exemplo.”(Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Descarte Informação é descartada 4 “Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico do seu computador ou, ainda, ao descartar um CD-ROM usado que apresentou falha na leitura.”(Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Classificação da informação 2 “Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.” (ABNT NBR ISO/IEC 27001:2013) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO “A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.” (ABNT NBR ISO/IEC 27001:2013) PÚBLICA USO INTERNO RESTRITA CONFI-DENCIAL Exemplo: GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO “Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.” (ABNT NBR ISO/IEC 27001:2013) PÚBLICA Exemplo: USO INTERNO RESTRITA CONFI-DENCIAL #10 #20 #30 #40 GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Manuseio de forma segura “Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização.” (ABNT NBR ISO/IEC 27001:2013) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 DESENCORAJAR DIFICULTAR DISCRIMINAR DETECTAR DETER DIAGNOSTICAR GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 DESENCORAJAR Utilização de recursos físicos, tecnológicos e humanos para desestimular a tentativa de quebra de segurança. Uma câmera de vídeo, mesmo falsa Aviso da existência de alarmes Campanha de divulgação da política de segurança Treinamento de funcionários (Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 DIFICULTAR Controles para dificultar o acesso indevido. (Sêmola, 2014) Senha Roleta de acesso Biometria GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 DISCRIMINAR Recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões. Acesso aos módulos de um ERP (Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 DETECTAR Recursos para alertar os gestores de segurança na detecção de situações de risco. Uma tentativa de invasão Contaminação por vírus Descumprimento da política de segurança (Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 DETER Impedir que a ameaça atinja os ativos que suportam o negócio. Bloqueio de acessos físicos e lógicos (Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Barreiras da segurança da informação 3 Representa a continuidade do processo de segurança da informação. Elo de ligação com a primeira barreira, criando uma movimento cíclico e contínuo. Atividades de análise de riscos considerando os aspectos tecnológicos, físicos e humanos. DIAGNOSTICAR (Sêmola, 2014) GOVERNANÇA CORPORATIVA CULTURA EM SEGURANÇA DA INFORMAÇÃO Desencorajar Dificultar Discriminar Detectar Deter Diagnosticar Ameaças Ativos Negócio Crescimento do impacto Adaptado de (Sêmola, 2014)
Compartilhar