Gestão da segurança da informação - Resumo

Prévia do material em texto

Gestão da segurança da informação
Capítulo 6
Gestão de riscos e segurança da informação
Ativo → tudo aquilo que tenha valor e que necessite de algum tipo de proteção ou cuidado.
Escopo → conjunto de ativos que será coberto pelo processo de gestão de risco.
Parte envolvida → indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco.
Ameaça → tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Podem ser: ambiental ou humana.
Incidente → quando uma ameaça de concretiza.
Vulnerabilidade → criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo.
Análise de vulnerabilidade → processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções.
Avaliação das vulnerabilidades → quando esses são combinados com uma lista de possíveis ameaças, gerando dados que indiquem a real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes.
Risco → probabilidade de uma ameaça explorar uma (ou várias) vulnerabilidades causando prejuízos.
Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa.
Identificação de riscos → 
Entender os riscos associados com o negócio e a gestão da informação;
Melhorar a efetividade das decisões para controlar riscos nos processos internos e externos e suas interações;
Melhorar a eficiência no controle de riscos;
Manter a reputação e imagem da organização;
Melhorar a eficácia do cumprimento com os requisitos legais e regulatórios;
Minimizar as possibilidades de furto da informação e maximizar a proteção de dados.
SGSI → sistema de gestão da segurança da informação.
Ciclos do PDCA → ciclo de Shewhart ou ciclo de Deming, é um ciclo de desenvolvimento que tem foco na melhoria continua.
Identificar e avaliar os riscos;
Selecionar, implementar, e operar controles para tratar os riscos;
Verificar e analisar criticamente os riscos;
Manter e melhorar os controles.
Análise e avaliação dos riscos
Alvo, Agentes, Ameaças, Vulnerabilidade, Impactos.
Metodologias: 
Quantitativa → quantificar em termos numéricos os componentes associados ao risco. Dificuldade de obtenção de resultados representativos e pela sua complexidade;
Qualitativo → trabalha com menções mais subjetivas como alto, médio, baixo o que torna o processo mais rápido.
Tratamento dos riscos:
Medidas preventivas → controles que reduzem a probabilidade de uma ameaça se concretizar ou diminuem o grau de vulnerabilidade;
Medidas corretivas ou reativas → reduzem o impacto de um ataque/incidente;
Métodos detectivos → Expõem ataques/incidentes e disparam medidas reativas, tentando evitar a concretização do dano, reduzi-lo ou impedir que se repita.
Aceitação do risco → Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Aceitar um risco é uma das maneiras de tratá-los;
Comunicação do risco → Divulgação de informações sobre os riscos que foram identificados, tenham eles sido tratados ou não a todas as partes envolvidas que precisam ter conhecimento a respeito deles.
Segundo Sêmola:
Barreiras para reduzir o risco →
Desencorajar;
Dificultar;
Discriminar;
Detectar;
Deter;
Diagnosticar.
Capítulo 7
NBR ISO/IEC 27002 (Antiga ISO 17799)
ISO → é uma instituição cujo objetivo é propor e monitorar normas que representam e traduzam o consenso de diferentes países para normalização de procedimentos, medidas e materiais em todos os domínios da atividade produtiva.
ABNT → Associação Brasileira de Normas Técnicas, que é uma sociedade privada sem fins lucrativos. A ABNT foi fundada em 1940 para fornecer a base necessária ao desenvolvimento tecnológico brasileiro e é o órgão responsável pela normalização técnica no país.
CB-21 → tem como objetivo a normalização no campo de computadores e processamento de dados.
3 Fontes principais que formam a política de segurança → 
Requisitos de negócio → conjunto de princípios, objetivos e os requisitos de negócio para o processamento da informação para apoias as operações da empresa;
Análise de risco → identificar as ameaças e as vulnerabilidades;
Requisitos legais → legislação vigente, estatutos, regulamentação e cláusulas contratuais.
Política de segurança → serve como linha-mestra para todas as atividades de segurança da informação. Descreve quais são os objetivos que todas as atividades ligadas à segurança da informação devem trabalhar para atingir
Divididos em...
Diretrizes → são as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica de alta direção;
Normas → especificam no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes;
Procedimentos → detalham no plano operacional, as configurações de um determinado produto ou funcionalidade que devem ser feitas para implementar os controles e tecnologias estabelecidas pela norma.
Segurança da informação da organização → 
Internamente → comprometimento da direção, estabelecimento da organização da segurança da informação, atribuição de responsabilidade para a segurança da informação;
Externamente → identificação dos riscos relacionados com partes externas, identificação de segurança antes de conceder aos clientes o acesso aos ativos da organização, identificação da segurança nos acordos com terceiros;
Organizando a segurança da informação → o sucesso será definido pelo tipo e autonomia que o grupo de segurança terá em relação as outras áreas, porém sempre ligadas à missão da empresa, podendo ter sua missão restrita.
Ambiente tecnológico;
Ambiente normativo;
Ambiente estratégico.
Proprietário de um ativo pode ser designado para →
Processo de negócio;
Conjunto de atividades definidas;
Ampliação;
Conjunto de dados definido.
Segurança em...
Recursos humanos;
Física e do ambiente;
Gerenciamento das operações e comunicações;
Controle de acesso.
Desenvolvimento e manutenção de sistemas
Para prevenir a ocorrência de erros e etc. Incorporar controles para assegurar o processo correto na:
Validação dos dados de entrada;
Controle do processamento interno;
Validação dos dados de saída.
Gestão de incidentes de segurança de informação
Ter procedimentos formais de registro e todos os funcionários, fornecedores e terceiros devem estar conscientes sobre estes procedimentos.
Gestão da continuidade do negócio
Assegura que o negócio não pare caso ocorra alguma falha na segurança.
Conformidade
Não violar leis e contratos vigentes.
Capítulo 9
Gestão da continuidade do negócio segundo a NBR/IEC 15999
Tipos de desastres:
Distúrbios civis;
Invasões;
Roubo;
Sabotagem;
Apagões;
Incêndios;
Terremotos;
Fenômenos meteorológicos.
Divisão 
Código de prática 15999-1
Objetivo e escopo → foi elaborada para fornecer um sistema baseado nas boa práticas de gestão da continuidade de negócios. Serve como referência única para maior parte das situações que envolve a continuidade de negócio, podendo ser usada por organizações de grande, médio e pequeno portes, nos setores industriais, comerciais, públicos e de caráter voluntário.
Termos e definições
Alta direção → pessoa ou grupo de pessoas que dirige e controla uma organização em seu nível mais alto;
Continuidade de negócios → capacidade estratégica e tática da organização de se planejar e responder a incidentes e interrupções de negócios, para conseguir continuar suas operações em um nível aceitável previamente definido