Aula13_Governança de Segurança da Informação

Prévia do material em texto

GOVERNANÇA DE 
SEGURANÇA DA INFORMAÇÃO
1
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
OBJETIVO:
Definir o ciclo de vida da informação
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Ciclo de vida da informação
Classificação da informação
Barreiras da segurança da informação
1
2
3
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Ciclo de vida da informação
1
“A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenagem, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência.“ (ABNT NBR ISO/IEC 27002:2013)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Manuseio
Armazenamento
Transporte
Descarte
Informação criada e manipulada
Informação é armazenada
Informação é transportada
Informação é descartada
1
2
3
4
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Manuseio
Informação criada e manipulada
1
“Momento em que a informação é criada e manipulada, ao folhear um maço de papéis, ao digitar informações recém-geradas em uma aplicação de Internet ou, ainda, ao utilizar a senha de acesso para autenticação, por exemplo.” (Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Armazenamento
Informação é armazenada
2
“Momento em que a informação é armazenada, seja em um banco de dados compartilhado, seja em uma anotação de papel posteriormente postada em um arquivo de ferro ou, ainda, em um CD-ROM, DVD-ROM ou pen-drive depositado na gaveta da mesa de trabalho, por exemplo.”(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Transporte
Informação é transportada
3
“Momento em que a informação é transportada, seja ao encaminhar informações por correio eletrônico (e-mail), seja ao postar em um sistema na Internet ou, ainda, ao falar ao telefone uma informação confidencial, por exemplo.”(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Descarte
Informação é descartada
4
“Momento em que a informação é descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrônico do seu computador ou, ainda, ao descartar um CD-ROM usado que apresentou falha na leitura.”(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Classificação da informação
2
“Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.”
 (ABNT NBR ISO/IEC 27001:2013)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
“A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.” (ABNT NBR ISO/IEC 27001:2013)
PÚBLICA
USO INTERNO
RESTRITA
CONFI-DENCIAL
Exemplo:
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
“Um conjunto apropriado de procedimentos para rotular e tratar a informação deve ser desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.” (ABNT NBR ISO/IEC 27001:2013)
PÚBLICA
Exemplo:
USO INTERNO
RESTRITA
CONFI-DENCIAL
#10
#20
#30
#40
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Manuseio de forma segura
“Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização.” (ABNT NBR ISO/IEC 27001:2013)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
DESENCORAJAR
DIFICULTAR
DISCRIMINAR
DETECTAR
DETER
DIAGNOSTICAR
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
DESENCORAJAR
Utilização de recursos físicos, tecnológicos e humanos para desestimular a tentativa de quebra de segurança. 
Uma câmera de vídeo, mesmo falsa
Aviso da existência de alarmes
Campanha de divulgação da política de segurança
Treinamento de funcionários
(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
DIFICULTAR
Controles para dificultar o acesso indevido. 
(Sêmola, 2014)
Senha
Roleta de acesso
Biometria
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
DISCRIMINAR
Recursos que permitem identificar e gerir os acessos, definindo perfis e autorizando permissões. 
Acesso aos módulos de um ERP
(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
DETECTAR
Recursos para alertar os gestores de segurança na detecção de situações de risco.
Uma tentativa de invasão
Contaminação por vírus
Descumprimento da política de segurança
(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
DETER
Impedir que a ameaça atinja os ativos que suportam o negócio.
Bloqueio de acessos 
físicos e lógicos
(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Barreiras da segurança da informação
3
Representa a continuidade do processo de segurança da informação. Elo de ligação com a primeira barreira, criando uma movimento cíclico e contínuo. Atividades de análise de riscos considerando os aspectos tecnológicos, físicos e humanos.
DIAGNOSTICAR
(Sêmola, 2014)
GOVERNANÇA CORPORATIVA
CULTURA EM SEGURANÇA DA INFORMAÇÃO
Desencorajar
Dificultar
Discriminar
Detectar
Deter
Diagnosticar
Ameaças
Ativos
Negócio
Crescimento do impacto
Adaptado de 
(Sêmola, 2014)