Fundamentos em Segurança da Informação - Prof. Otávio Frota

Prévia do material em texto

Fundamentos em 
Segurança da 
Informação
Otávio Fernandes Frota 
Fortaleza-2011
ISOs 27000
Qualificação do InstrutorQualificação do Instrutor
Otávio FrotaOtávio Frota
� Mestre em Administração (UECE-2005), Especialista em Gestão para Executivos (UFC-2000),
Especialista em Informática (UNIFOR-1989) e em Redes de Computadores (UNIFOR-1994) e
Graduado em Engenharia Civil (UNIFOR-1986).
� Gerente de Informática da Companhia de Água e Esgoto do Ceará – CAGECE
� Certificações em Project Management Professional (PMP) e Information Technology Infrastructure
Library (ITIL) e Control Objectives for Information and related Technology (COBIT), IT Service
Management according to ISO/IEC 20000, Six Sigma Green BeltManagement according to ISO/IEC 20000, Six Sigma Green Belt
� Coordenador do Curso de Especialização em Governança de TI na Estácio/FIC
� Coordenador do Curso de Especialização em Gestão BancáriaI na Estácio/FIC
� Trabalhou durante cinco anos como Analista de Sistemas em atividade bancária
� Professor de cursos de Pós Graduação em Universidades/Faculdades (FGV, UNIFOR, UECE,
CHRISTUS, FANOR, FIC, FATENE)
� Treinamento in company (Marcosa, Tribunal Regional do Trabalho – Maceió, J Macedo,
Procuradoria Geral do Estado, Softium Informática, Coelce, Auriga, Tribunal de Justiça do Ceará,
DER - Departamento de Edificações e Rodovias, Escola de Gestão Pública do Ceará)
Gerenciamento de Gerenciamento de 
Segurança da Segurança da InformaçãoInformação
O objetivo do processo de gerenciamento de Segurança da 
Informação é alinhar segurança de TI com segurança de 
negócio e garantir que a segurança da informação é 
eficientemente gerenciada em todas as atividades do eficientemente gerenciada em todas as atividades do 
gerenciamento de serviços.
Foco em todos as questões de segurança e deve garantir que a 
política de informação seja formulada, mantida e implantada e 
cubra o uso e o mau uso de todos os sitemas e serviços de TI.
Segurança
Implantação de controles justificáveis para garantir a continuidade dos 
serviços em TI. Lida com confidencialidade, integridade e 
disponibilidade de dados associados.
DefiniçõesDefinições
DisponibilidadeConfidencialidade
Significa garantir que 
apenas as pessoas 
que devem ter 
conhecimento da 
informação poderão 
acessá-la.
Integridade
Proteger as 
informações contra 
alterações em seu 
estado original.
Disponibilidade
Um informação 
disponível é aquela 
que pode ser 
acessada por quem 
necessitam e no 
momento em que 
precisam.
Contextualização Contextualização do SGSI do SGSI 
na na Governança de TIGovernança de TI
Família ISO 27000Família ISO 27000
Requisitos de um SGSI 
(norma certificadora)
ISO 27001
Melhores práticas para 
um SGSI
ISO 27002
Guia de implementação 
para um SGSI
ISO 27003
ISO 27004 ISO 27005 ISO 27006
Métricas e medidas 
para um SGSI
ISO 27004
Gestão de riscos de um 
SGSI (ISO 13335)
ISO 27005
Requisitos de 
acreditação de um 
SGSI
ISO 27006
Gestão de auditorias de 
um SGSI
ISO 27007
Orientações para 
auditores de um SGSI
ISO 27008
....
ISO 270...
PDCA PDCA –– Estágios do Ciclo de Estágios do Ciclo de 
Melhoria de Processos Melhoria de Processos 
1- Planejar
4- Agir
2- Realizar
3- Verificar
Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da 
Informação (SGSIInformação (SGSI))
Modelo PDCA aplicado aos Modelo PDCA aplicado aos 
processos processos do SGSIdo SGSI
Plan (planejar) (estabelecer o SGSI) 
Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para 
a gestão de riscos e a melhoria da segurança da informação para produzir resultados 
de acordo com as políticas e objetivos globais de uma organização.
Do (fazer) (implementar e operar o SGSI)
Implementar e operar a política, controles, processos e procedimentos do SGSI.
Check (checar) (monitorar e analisar criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, 
objetivos e experiência prática do SGSI e apresentar os resultados para a análise 
crítica pela direção.
.Act (agir) (manter e melhorar o SGSI) 
Executar as ações corretivas e preventivas, com base nos resultados da auditoria 
interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para 
alcançar a melhoria contínua do SGSI.
Estabelecer o SGSIEstabelecer o SGSI
Requisitos
a) Definir o escopo e os limites do SGSI
b) Definir uma política do SGSI
c) Definir a abordagem de análise/avaliação de riscos da organização
d) Identificar os riscos.d) Identificar os riscos.
e) Analisar e avaliar os riscos.
f) Identificar e avaliar as opções para o tratamento de riscos.
g) Selecionar objetivos de controle e controles para o tratamento de riscos.
h) Obter aprovação da direção dos riscos residuais propostos.
i) Obter autorização da direção para implementar e operar o SGSI.
j) Preparar uma Declaração de Aplicabilidade
Elaborar e manter uma 
Política de 
Segurança da Informação
Processos de Gerenciamento de Processos de Gerenciamento de 
Segurança de TISegurança de TI
Avaliar e categorizar
ativos de TI, riscos e 
vulnerabilidades
Regularmente avaliar e revisar
Monitorar e 
gerenciar 
incidentes e
brechas de 
segurança 
Comunicar e 
implementar
políticas da 
informação
Regularmente avaliar e revisar
riscos de seguranças e ameaças
segurança 
Implementar mitigação de riscos
Políticas de
Segurança da
Informação
Informações e 
relatórios de
segurança
Controles de
segurança
Riscos de
segurança e
respostas
Sistema de 
Informações de 
Gerenciamento de 
Segurança
Reportar, revisar 
e reduzir brechas
de segurança e 
grandes incidentes
Método CRAMMMétodo CRAMM
CCTA Risk and Management MethodCCTA Risk and Management Method
Valor: Importância do ativo para a organização
Ameaça: Evento que tem potencial para comprometer os objetivos da organização, com 
danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas
Vulnerabilidade: Ausência de mecanismo de proteção ou falhas em um mecanismo de 
proteção existente
Contra medidasContra medidas
Gerenciamento
Monitoramento
Backup
Restore
Patchs
Hardening
Servidores
Análise de
Vulberabilidade
Atualização
periódica
SPAM
Malwares
Phishing
Acesso indevido
Acesso não autorizado
RiscosRiscos
Invasão
Anti Malware
Anti SPAM
Gerenciamento 
de identidade
Certificação digital
Proxy
Restore Vulberabilidade
Homologação
Treinamento
Conscientização
Políticas de uso
Diretrizes
Normas 
Classificação de
informações
Aplicação segura
Controle de acessos
Vazamanto de informação
Elevação de privilégios
Roubo de identidade
Indisponibilidade
IDS, IPS
Firewall
Criptografia
Roubo de informações
Políticas de Segurança da InformaçãoPolíticas de Segurança da Informação
Conscientização e 
treinamento 
Classificação da 
informação
Gestão de ativos
Correio Eletrônico 
Internet
Auditoria e 
perícia forense
Controle de acesso Segurança física
Software
Continuidade do 
negócio
Análise de RiscosAnálise de Riscos
Riscos de Datacenter (Riscos de Datacenter (controle / ameaçascontrole / ameaças))
Controle Ameaças
Os funcionários devem ser identificados por 
crachás de identificação
Fraude ou sabotagem; indisponibilidade 
de serviços; furto ou roubo; acesso físico 
não autorizado
A entrada no Dacenter deve ser protegida por uma 
autorização de acesso
Fraude ou sabotagem; indisponibilidade 
de serviços; furto ou roubo; acesso físico 
não autorizado; dano a instalações
O cabeamento de dados deve ser implementado 
de formaa atender normas de cabeamento 
Interferência eletromagnética; queda de 
performance; falhas em meios de de forma a atender normas de cabeamento 
estruturado
performance; falhas em meios de 
comunicação
Geradores de energia e no-breaks devem ser 
instalados para garantir a continuidade de energia 
elétrica nos equipamentos vitais e críticos
Falta de energia; indisponibilidade de 
serviços ou informações. danos a 
instalações
Saídas de emergência suficientes devem ser 
dispostas de modo que a evacuação do ambiente 
seja possível
Erros; omissões ou uso indevido; danos 
a pessoas
Os usuários devem zelar pela qualidade e sigilo 
das suas senhas
Ação de código malicioso; acesso lógico 
não autorizado; fraude ou sabotagem; 
indisponibilidade dos serviços ou 
informações
Extintores portáteis de tipos compatíveis com as 
classes de fogo a ser combatido devem ser 
instalados no ambiente
Indisponibilidade dos serviços ou 
informações; dano a instalações; 
incêndio; dano a pessoas
A.5 Política de segurança
A.6 Organizando a segurança da informação
A.7 Gestão de ativos
ABNT ABNT NBR ISO/IEC NBR ISO/IEC 17799:200517799:2005
Seções 5 a 15 fornece recomendações um guia de implementação das
melhores práticas para apoiar os controles especificados em A.5 a A.15.
.
A.8 Segurança em recursos humanos
A.9 Segurança física e do ambiente
A.10 Gerenciamento das operações e comunicações
A.11 Controle de acessos
A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação
A.13 Gestão de incidentes de segurança da informação
A.14 Gestão da continuidade do negócio
A.15 Conformidade
Objetivos de controle e controlesObjetivos de controle e controles
Obrigado !Obrigado !Obrigado !Obrigado !
otaviofernandesfrota@gmail.com.brotaviofernandesfrota@gmail.com.br