Baixe o app para aproveitar ainda mais
Prévia do material em texto
Fundamentos em Segurança da Informação Otávio Fernandes Frota Fortaleza-2011 ISOs 27000 Qualificação do InstrutorQualificação do Instrutor Otávio FrotaOtávio Frota � Mestre em Administração (UECE-2005), Especialista em Gestão para Executivos (UFC-2000), Especialista em Informática (UNIFOR-1989) e em Redes de Computadores (UNIFOR-1994) e Graduado em Engenharia Civil (UNIFOR-1986). � Gerente de Informática da Companhia de Água e Esgoto do Ceará – CAGECE � Certificações em Project Management Professional (PMP) e Information Technology Infrastructure Library (ITIL) e Control Objectives for Information and related Technology (COBIT), IT Service Management according to ISO/IEC 20000, Six Sigma Green BeltManagement according to ISO/IEC 20000, Six Sigma Green Belt � Coordenador do Curso de Especialização em Governança de TI na Estácio/FIC � Coordenador do Curso de Especialização em Gestão BancáriaI na Estácio/FIC � Trabalhou durante cinco anos como Analista de Sistemas em atividade bancária � Professor de cursos de Pós Graduação em Universidades/Faculdades (FGV, UNIFOR, UECE, CHRISTUS, FANOR, FIC, FATENE) � Treinamento in company (Marcosa, Tribunal Regional do Trabalho – Maceió, J Macedo, Procuradoria Geral do Estado, Softium Informática, Coelce, Auriga, Tribunal de Justiça do Ceará, DER - Departamento de Edificações e Rodovias, Escola de Gestão Pública do Ceará) Gerenciamento de Gerenciamento de Segurança da Segurança da InformaçãoInformação O objetivo do processo de gerenciamento de Segurança da Informação é alinhar segurança de TI com segurança de negócio e garantir que a segurança da informação é eficientemente gerenciada em todas as atividades do eficientemente gerenciada em todas as atividades do gerenciamento de serviços. Foco em todos as questões de segurança e deve garantir que a política de informação seja formulada, mantida e implantada e cubra o uso e o mau uso de todos os sitemas e serviços de TI. Segurança Implantação de controles justificáveis para garantir a continuidade dos serviços em TI. Lida com confidencialidade, integridade e disponibilidade de dados associados. DefiniçõesDefinições DisponibilidadeConfidencialidade Significa garantir que apenas as pessoas que devem ter conhecimento da informação poderão acessá-la. Integridade Proteger as informações contra alterações em seu estado original. Disponibilidade Um informação disponível é aquela que pode ser acessada por quem necessitam e no momento em que precisam. Contextualização Contextualização do SGSI do SGSI na na Governança de TIGovernança de TI Família ISO 27000Família ISO 27000 Requisitos de um SGSI (norma certificadora) ISO 27001 Melhores práticas para um SGSI ISO 27002 Guia de implementação para um SGSI ISO 27003 ISO 27004 ISO 27005 ISO 27006 Métricas e medidas para um SGSI ISO 27004 Gestão de riscos de um SGSI (ISO 13335) ISO 27005 Requisitos de acreditação de um SGSI ISO 27006 Gestão de auditorias de um SGSI ISO 27007 Orientações para auditores de um SGSI ISO 27008 .... ISO 270... PDCA PDCA –– Estágios do Ciclo de Estágios do Ciclo de Melhoria de Processos Melhoria de Processos 1- Planejar 4- Agir 2- Realizar 3- Verificar Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da Informação (SGSIInformação (SGSI)) Modelo PDCA aplicado aos Modelo PDCA aplicado aos processos processos do SGSIdo SGSI Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Do (fazer) (implementar e operar o SGSI) Implementar e operar a política, controles, processos e procedimentos do SGSI. Check (checar) (monitorar e analisar criticamente o SGSI) Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção. .Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. Estabelecer o SGSIEstabelecer o SGSI Requisitos a) Definir o escopo e os limites do SGSI b) Definir uma política do SGSI c) Definir a abordagem de análise/avaliação de riscos da organização d) Identificar os riscos.d) Identificar os riscos. e) Analisar e avaliar os riscos. f) Identificar e avaliar as opções para o tratamento de riscos. g) Selecionar objetivos de controle e controles para o tratamento de riscos. h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. j) Preparar uma Declaração de Aplicabilidade Elaborar e manter uma Política de Segurança da Informação Processos de Gerenciamento de Processos de Gerenciamento de Segurança de TISegurança de TI Avaliar e categorizar ativos de TI, riscos e vulnerabilidades Regularmente avaliar e revisar Monitorar e gerenciar incidentes e brechas de segurança Comunicar e implementar políticas da informação Regularmente avaliar e revisar riscos de seguranças e ameaças segurança Implementar mitigação de riscos Políticas de Segurança da Informação Informações e relatórios de segurança Controles de segurança Riscos de segurança e respostas Sistema de Informações de Gerenciamento de Segurança Reportar, revisar e reduzir brechas de segurança e grandes incidentes Método CRAMMMétodo CRAMM CCTA Risk and Management MethodCCTA Risk and Management Method Valor: Importância do ativo para a organização Ameaça: Evento que tem potencial para comprometer os objetivos da organização, com danos diretos aos ativos ou prejuízos decorrentes de situações inesperadas Vulnerabilidade: Ausência de mecanismo de proteção ou falhas em um mecanismo de proteção existente Contra medidasContra medidas Gerenciamento Monitoramento Backup Restore Patchs Hardening Servidores Análise de Vulberabilidade Atualização periódica SPAM Malwares Phishing Acesso indevido Acesso não autorizado RiscosRiscos Invasão Anti Malware Anti SPAM Gerenciamento de identidade Certificação digital Proxy Restore Vulberabilidade Homologação Treinamento Conscientização Políticas de uso Diretrizes Normas Classificação de informações Aplicação segura Controle de acessos Vazamanto de informação Elevação de privilégios Roubo de identidade Indisponibilidade IDS, IPS Firewall Criptografia Roubo de informações Políticas de Segurança da InformaçãoPolíticas de Segurança da Informação Conscientização e treinamento Classificação da informação Gestão de ativos Correio Eletrônico Internet Auditoria e perícia forense Controle de acesso Segurança física Software Continuidade do negócio Análise de RiscosAnálise de Riscos Riscos de Datacenter (Riscos de Datacenter (controle / ameaçascontrole / ameaças)) Controle Ameaças Os funcionários devem ser identificados por crachás de identificação Fraude ou sabotagem; indisponibilidade de serviços; furto ou roubo; acesso físico não autorizado A entrada no Dacenter deve ser protegida por uma autorização de acesso Fraude ou sabotagem; indisponibilidade de serviços; furto ou roubo; acesso físico não autorizado; dano a instalações O cabeamento de dados deve ser implementado de formaa atender normas de cabeamento Interferência eletromagnética; queda de performance; falhas em meios de de forma a atender normas de cabeamento estruturado performance; falhas em meios de comunicação Geradores de energia e no-breaks devem ser instalados para garantir a continuidade de energia elétrica nos equipamentos vitais e críticos Falta de energia; indisponibilidade de serviços ou informações. danos a instalações Saídas de emergência suficientes devem ser dispostas de modo que a evacuação do ambiente seja possível Erros; omissões ou uso indevido; danos a pessoas Os usuários devem zelar pela qualidade e sigilo das suas senhas Ação de código malicioso; acesso lógico não autorizado; fraude ou sabotagem; indisponibilidade dos serviços ou informações Extintores portáteis de tipos compatíveis com as classes de fogo a ser combatido devem ser instalados no ambiente Indisponibilidade dos serviços ou informações; dano a instalações; incêndio; dano a pessoas A.5 Política de segurança A.6 Organizando a segurança da informação A.7 Gestão de ativos ABNT ABNT NBR ISO/IEC NBR ISO/IEC 17799:200517799:2005 Seções 5 a 15 fornece recomendações um guia de implementação das melhores práticas para apoiar os controles especificados em A.5 a A.15. . A.8 Segurança em recursos humanos A.9 Segurança física e do ambiente A.10 Gerenciamento das operações e comunicações A.11 Controle de acessos A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação A.13 Gestão de incidentes de segurança da informação A.14 Gestão da continuidade do negócio A.15 Conformidade Objetivos de controle e controlesObjetivos de controle e controles Obrigado !Obrigado !Obrigado !Obrigado ! otaviofernandesfrota@gmail.com.brotaviofernandesfrota@gmail.com.br
Compartilhar