Aula_10
8 pág.

Aula_10


DisciplinaSeminários Integrados em Gestão da Tecnologia da Informação130 materiais872 seguidores
Pré-visualização2 páginas
ProfProf Luiz Roberto
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEMINÁRIOS INTEGRADOS EM GESTÃO DA 
TECNOLOGIA DA INFORMAÇÃO
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
Conteúdo programático
\u2022 Modelagem dos Processos de Negócio.
\u2022 Normas de Segurança NBR ISO/IEC 27001, 27002 e 15999;
\u2022 Auditoria de Sistemas: fases, técnicas e tipos
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEGURANÇA DA INFORMAÇÃO
Aplicar elementos de proteção que 
agem sobre um ou mais ativos da 
empresa, preservando informações, 
focado em no tripé: Confidencialidade, 
Integridade e Disponibilidade (CID).
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEGURANÇA DA INFORMAÇÃO
É necessário uma estrutura que garanta 
a atualização, adequação e avaliação do 
processo, justificando assim um Sistema 
de Gestão de Segurança da Informação 
(SGSI). 
Deve contemplar revisões periódicas e 
melhoria contínua.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
SEGURANÇA DA INFORMAÇÃO
A International Organization for 
Standardization (ISO) organiza as 
normas afins em famílias que mantêm 
uma estrutura similar em qualquer tema 
a ser tratado. Uma dessas famílias, da 
segurança da informação, é a ISO 27000.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ISO/IEC 27001:2006 \u2013 Requisitos
O objetivo é especificar os requisitos 
para estabelecer, implementar, operar, 
monitorar, analisar criticamente, 
manter e melhorar um SGSI 
documentado dentro do contexto dos 
riscos de negócio da organização.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ABORDAGEM DO PROCESSO
Confidencialidade
IntegridadeDisponibilidade
\u2022 Política e objetivos para a
segurança da informação;
\u2022 Gerenciar os riscos visando o 
negócio;
\u2022 Monitorar o desempenho 
do SGSI; 
\u2022 Melhoria contínua.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ISO/IEC 27001 \u2013 PDCA
P
D
C
A
Planejar
SGSI
Operação
do SGSI
Melhoria
Monitorar 
e analisar
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
AUDITORIAS INTERNAS DO SGSI
Conduzir periodicamente e verificar:
\u2022 Atendem aos requisitos da ISO 27001 e 
à legislação ou regulamentações;
\u2022 Atendem aos requisitos de segurança;
\u2022 Estão mantidos e implementados 
eficazmente; 
\u2022 São executados conforme esperado.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ABNT NBR ISO/IEC 27002:2005 \u2013 CÓDIGO DE 
PRÁTICA PARA A GESTÃO DA SEGURANÇA 
DA INFORMAÇÃO 
Tem como objetivo estabelecer 
diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a 
gestão de segurança da informação em 
uma organização.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ISO/IEC 27002:2005
- Política e Organização da Segurança da Informação; 
- Gestão de Ativos; 
- Segurança em Recursos Humanos, Segurança Física e do 
Ambiente; 
- Gestão das Operações e Comunicações; 
- Aquisição, Desenvolvimento e Manutenção de SI; 
- Gestão de Incidentes e Controle de Acesso; 
- Gestão da Continuidade do Negócio; 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
FATORES CRÍTICOS DE SUCESSO
\u2022 Política de Segurança da Informação alinhada ao negócio e
à cultura da empresa;
\u2022 Comprometimento e do apoio de todos os níveis gerenciais;
\u2022 Análise e avaliação de riscos;
\u2022 A divulgação da segurança da informação para todos;
\u2022 A existência de recursos financeiros;
\u2022 Gestão de incidentes eficiente;
\u2022 Avaliar o desempenho da gestão da segurança.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PRINCIPAIS FONTE DE 
REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
Requisitos
Legais
Requisitos
de Negócio
Análise de 
Riscos
Políticas de 
Segurança
Controles
R
e
c
o
m
e
n
d
a
ç
õ
e
s
 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
POLÍTICA DE SEGURANÇA DE TI
Estratégia geral da organização
Planos de desenvolvimento de sistemas
Plano de continuidade de serviços
Planejamento de capacidade
Outros projetos
contribui para a 
estabelece
define
especifica gera impactos sobre
Política de 
segurança de 
informações 
Plano 
estratégico da 
TI 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ESTRATÉGIA DE SEGURANÇA DA 
INFORMAÇÃO
P
a
d
r
o
n
i
z
a
ç
ã
o
A
c
o
m
p
a
n
h
a
m
e
n
t
o
ESTRATÉGICO
TÁTICO
OPERACIONAL
Dire-
trizes
Procedimentos 
T
e
c
n
o
l
o
g
i
a
P
e
s
s
o
a
s
P
r
o
c
e
s
s
o
s
Normas
Comitê de Segurança da 
Informação
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
ABNT NBR 15999-1:2007 - GESTÃO DE 
CONTINUIDADE
Referência única para situações que envolva a continuidade 
de negócio.
Usada por organizações de grande, médio e pequeno portes: 
indústria, comércio, setor público.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PLANO DE CONTINUIDADE DE NEGÓCIO 
(PCN)
Agir, de forma proativa, realizando um 
planejamento que assegure a 
sobrevivência da empresa nos períodos
de contingência, identificando as 
atividades críticas e as possíveis
ameaças que impeçam a continuação do 
negócio.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
OBJETIVOS ESPECÍFICOS DO PCN
\u2022 Manter a integridade de dados
\u2022 Proteger as informações vitais
\u2022 Manter operacionais os serviços
\u2022 Prover serviços temporários até
que os normais sejam restaurados.
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
PLANO DE GERENCIAMENTO DE INCIDENTES
O PCN é muitas vezes colocado
em segundo plano pela alta
gerência por ser considerado
muito caro e por não
apresentar resultados visíveis
e lucrativos. 
SEMINÁRIOS INTEGRADOS EM TI
Aula 10: Normas de SeguranAula 10: Normas de Segurançça e Auditoria de Sistemasa e Auditoria de Sistemas
O PCN não visa lucro, mas evita
maiores prejuízos. Seus resultados só
são notados quando algo de errado
acontece. Muitas vezes a gerência
não tem consciência dos riscos a que
a organização está sujeita e 
menospreza os impactos que um 
incidente pode causar.
SEMINÁRIOS INTEGRADOS EM