Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da segurança da informação Capítulo 6 Gestão de riscos e segurança da informação Ativo → tudo aquilo que tenha valor e que necessite de algum tipo de proteção ou cuidado. Escopo → conjunto de ativos que será coberto pelo processo de gestão de risco. Parte envolvida → indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco. Ameaça → tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: ambiental ou humana. Incidente → quando uma ameaça de concretiza. Vulnerabilidade → criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo. Análise de vulnerabilidade → processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções. Avaliação das vulnerabilidades → quando esses são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes. Risco → probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos. Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. Identificação de riscos → Entender os riscos associados com o negócio e a gestão da informação; Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações; Melhorar a eficiência no controle de riscos; Manter a reputação e imagem da organização; Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios; Minimizar as possibilidades de furto da informação e maximizar a proteção de dados. SGSI → sistema de gestão da segurança da informação. Ciclos do PDCA → ciclo de Shewhart ou ciclo de Deming, é um ciclo de desenvolvimento que tem foco na melhoria continua. Identificar e avaliar os riscos; Selecionar, implementar, e operar controles para tratar os riscos; Verificar e analisar criticamente os riscos; Manter e melhorar os controles. Análise e avaliação dos riscos Alvo, Agentes, Ameaças, Vulnerabilidade, Impactos. Metodologias: Quantitativa → quantificar em termos numéricos os componentes associados ao risco. Dificuldade de obtenção de resultados representativos e pela sua complexidade; Qualitativo → trabalha com menções mais subjetivas como alto, médio, baixo o que torna o processo mais rápido. Tratamento dos riscos: Medidas preventivas → controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade; Medidas corretivas ou reativas → reduzem o impacto de um ataque/incidente; Métodos detectivos → Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita. Aceitação do risco → Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-los; Comunicação do risco → Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não a todas as partes envolvidas que precisam ter conhecimento a respeito deles. Segundo Sêmola: Barreiras para reduzir o risco → Desencorajar; Dificultar; Discriminar; Detectar; Deter; Diagnosticar. Capítulo 7 NBR ISO/IEC 27002 (Antiga ISO 17799) ISO → é uma instituição cujo objetivo é propor e monitorar normas que representam e traduzam o consenso de diferentes países para normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva. ABNT → Associação Brasileira de Normas Técnicas, que é uma sociedade privada sem fins lucrativos. A ABNT foi fundada em 1940 para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão responsável pela normalização técnica no país. CB-21 → tem como objetivo a normalização no campo de computadores e processamento de dados. 3 Fontes principais que formam a política de segurança → Requisitos de negócio → conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação para apoias as operações da empresa; Análise de risco → identificar as ameaças e as vulnerabilidades; Requisitos legais → legislação vigente, estatutos, regulamentação e cláusulas contratuais. Política de segurança → serve como linha-mestra para todas as atividades de segurança da informação. Descreve quais são os objetivos que todas as atividades ligadas à segurança da informação devem trabalhar para atingir Divididos em... Diretrizes → são as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica de alta direção; Normas → especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes; Procedimentos → detalham no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma. Segurança da informação da organização → Internamente → comprometimento da direção, estabelecimento da organização da segurança da informação, atribuição de responsabilidade para a segurança da informação; Externamente → identificação dos riscos relacionados com partes externas, identificação de segurança antes de conceder aos clientes o acesso aos ativos da organização, identificação da segurança nos acordos com terceiros; Organizando a segurança da informação → o sucesso será definido pelo tipo e autonomia que o grupo de segurança terá em relação as outras áreas, porém sempre ligadas à missão da empresa, podendo ter sua missão restrita. Ambiente tecnológico; Ambiente normativo; Ambiente estratégico. Proprietário de um ativo pode ser designado para → Processo de negócio; Conjunto de atividades definidas; Ampliação; Conjunto de dados definido. Segurança em... Recursos humanos; Física e do ambiente; Gerenciamento das operações e comunicações; Controle de acesso. Desenvolvimento e manutenção de sistemas Para prevenir a ocorrência de erros e etc. Incorporar controles para assegurar o processo correto na: Validação dos dados de entrada; Controle do processamento interno; Validação dos dados de saída. Gestão de incidentes de segurança de informação Ter procedimentos formais de registro e todos os funcionários, fornecedores e terceiros devem estar conscientes sobre estes procedimentos. Gestão da continuidade do negócio Assegura que o negócio não pare caso ocorra alguma falha na segurança. Conformidade Não violar leis e contratos vigentes. Capítulo 9 Gestão da continuidade do negócio segundo a NBR/IEC 15999 Tipos de desastres: Distúrbios civis; Invasões; Roubo; Sabotagem; Apagões; Incêndios; Terremotos; Fenômenos meteorológicos. Divisão Código de prática 15999-1 Objetivo e escopo → foi elaborada para fornecer um sistema baseado nas boa práticas de gestão da continuidade de negócios. Serve como referência única para maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário. Termos e definições Alta direção → pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto; Continuidade de negócios → capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido
Compartilhar