Implantação de SGSI no Banco Arroz&Feijão

Prévia do material em texto

SGSI 
1. Dados da Organização 
1.1 Nome da Organização: Banco Arroz&Feijão 
1.2 Negócio da Organização: instituição financeira 
1.3 Áreas a serem cobertas pelo SGSI: Diretoria de gestão do 
desenvolvimento, Diretoria de Negócios, Diretoria financeira e de 
mercado de capitais, Diretoria de administração de recursos de 
terceiros, Diretoria de controle e risco, Diretoria administrativa e de 
tecnologia da informação. Área Jurídica. 
 
2. Estabelecer o SGSI 
2.1 Escopo: 
A gestão da segurança da informação envolve também o conhecimento 
de processos organizacionais e suas classificações para que seja 
possível o mapeamento dos processos de segurança da organização. 
Este SGSI se aplicará aos seguintes departamentos: financeiro, negócios, 
gestão de desenvolvimento, administração, recursos humanos, TI. 
Seguindo o princípio da separação de tarefas, cada componente é 
apoiado por uma equipe diferente. A equipe de segurança é responsável 
pelos firewalls, IPS e antivírus. Existem várias outras equipes 
responsáveis por cada componente restante: equipe de banco de dados, 
webmasters, equipe de mainframe, desenvolvedores, equipe de controle 
de qualidade. 
 
ITEM ATIVO 
1 Base de Dados 
2 Informações financeiras 
3 Serviços 
4 Sistemas 
Tabela 1 – Inventário dos ativos da informação. 
 
Ativo Confidencialidade Integridade Disponibilidade Valor 
1 2 3 3 3 
2 2 3 3 3 
3 1 3 3 3 
4 2 3 3 3 
Tabela 2 – Classificação dos ativos da informação. 
 
2.2 Política do SGSI: 
O objetivo da política é garantir que os privilégios de administrador do 
sistema não sejam violados e sejam usados apenas para fins comerciais 
legítimos e autorizados. Os ativos de informação são críticos para o 
sucesso do negócio. Devemos, portanto, garantir a confidencialidade, 
integridade e disponibilidade dos ativos de processamento de 
informações e informações de nossos clientes e do banco, implantando 
pessoas, tecnologia e processos apropriados. Os sistemas de informação 
do Banco e as informações comerciais nele contidas são ativos de valor 
estratégico e comercial. São fundamentais para a continuidade eficiente 
dos negócios.Deve ser assegurado que os ativos de informação e os 
ativos de TI sejam protegidos contra acesso não autorizado. Informações 
não são divulgadas a pessoas não autorizadas por meio de ações 
deliberadas ou descuidadas. As informações deverão estar protegidas 
contra modificação não autorizada. As informações deverão estar 
disponíveis para usuários autorizados quando necessário. Os requisitos 
regulatórios e legislativos aplicáveis são cumpridos. Os planos de 
recuperação de desastres para ativos de TI são desenvolvidos, mantidos 
e testados na medida do possível. Treinamento de segurança de 
informações é oferecido a todos os usuários. a segurança da informação 
é relatada e investigada. As violações das políticas são tratadas com uma 
ação disciplinar. 
 
Todos os colaboradores deverão entender os riscos associados às 
condições de acordo com a atividade que cumprem. Todo colaborador 
deve cumprir as condições definidas no aceite. A postura, no que se refere 
à segurança da informação deve ser observada para que todos os outros 
colaboradores que estiverem sob sua gestão tenham-na como exemplo. 
É indispensável a todos os colaboradores o mantimento do sigilo e da 
confidencialidade em relação às informações da empresa. Antes da 
concessão de acesso às informações será exigida a assinatura do Termo 
de Confidencialidade tanto para colaboradores quando para prestadores 
de serviço que não estejam em regime de contrato definido. 
Cabe aos profissionais gestores realizar procedimentos de resposta aos 
incidentes, bem como cabe aos administradores de sistema, realizar a 
configuração de equipamentos e sistemas utilizados pelos colaboradores 
de acordo com os controles exigidos para cumprir o que se pede em 
relação aos requerimentos de segurança estabelecidos. Os 
administradores de sistema poderão realizar acesso a dados de outros 
usuários, desde que haja efetiva necessidade para execução de suas 
atividades, estando quaisquer consequências de seus atos sob sua 
responsabilidade. Dentre suas responsabilidades destacam-se: o 
mantimento de cópias de segurança de arquivos, realização de testes de 
auditoria nos ambientes, manutenção de computadores e sistemas 
computadorizados, bem como trabalhar para prover disponibilidade dos 
softwares utilizados pelos colaboradores. Em relação aos sistemas que 
propiciam acesso público a informações, devem garantir a segurança de 
acesso, garantindo rastreabilidade das atividades realizadas nos sistemas 
a fim de posterior investigação ou auditoria. Quando for realizada a 
movimentação interna dos ativos de TI, o gestor deve garantir que as 
informações de um usuário não serão removidas de modo definitivo antes 
da disponibilização do ativo para outro usuário. Este deve garantir que 
vulnerabilidades ou fragilidades não sejam introduzidas aos sistemas. 
O planejamento, fornecimento, implantação e monitoramento tanto de 
armazenagem quanto das transmissões de informação também devem 
ser observados pelo gestor, de modo que a segurança requerida pelo 
negócio seja mantida. Garantir que os logins individuais de cada 
funcionário sejam de responsabilidade do próprio funcionário, não tendo 
o gestor, acesso a essas informações. Os ativos também devem ser 
protegidos continuamente contra ataques de cunho malicioso e deve ser 
garantido que o ambiente de produção seja livre de códigos maliciosos. 
O plano segurança poderá ser encontrado na intranet da empresa bem 
como em meio físico. Este será divulgado através de reuniões e palestra. 
Os usuários deverão ser treinados por meio de cursos e 
acompanhamento dos profissionais da área de segurança. 
 
2.3 Abordagem de gestão: 
 
O comitê de segurança da informação será formado por servidores da alta 
gerência administrativa, possuindo estes, funções estratégias como 
financeira, contábil, RH, gerência de informática, administrador de redes, 
diretoria de gestão do desenvolvimento, diretoria de negócios, diretoria 
financeira e de mercado de capitais, diretoria de administração de 
recursos de terceiros, diretoria de controle e risco, diretoria administrativa 
e de tecnologia da informação. área Jurídica, administradores de bancos 
de dados. As decisões devem ser tomadas de modo conjunto a fim de se 
atingir uma solução bem definida e que cumpra com os requisitos 
necessários. Os colaboradores da gerência administrativa devem 
trabalhar para que sejam adotadas as melhores práticas referentes ao uso 
e tratamento das informações, sistemas e quaisquer componentes 
informacionais da empresa. Devem ser feitas análises de relatórios de 
controle, avaliação e reavaliação das concessões de acesso sempre que 
necessário, investigação de ocorrências e incidentes e reuniões 
periódicas de modo a prestar esclarecimentos, sanar eventuais dúvidas e 
proporcionar uma sintonia entre os diversos componentes. 
 
2.4 Avaliar os riscos: 
Todos os ativos devem ser avaliados de forma periódica e ter seus 
riscos determinados ao negócio. 
 
Uso não autorizado de direitos de administrador: 
Existe a ameaça de que um administrador de um servidor Web possa 
abusar de seus direitos de acesso para instalar o software Trojan nos 
servidores web do banco, a fim de comprometer as contas dos clientes e 
realizar transações fraudulentas para ganho pessoal.Vulnerabilidade 
Embora a prática de segregação de tarefas seja seguida na rotação do 
banco e licença mínima não são aplicadas. Além disso, os recursos de 
registro em vigor são limitados e podem ser facilmente manipulados por 
um administrador para encobrir atividades suspeitas. O potencial de 
conluio entre os funcionários da equipe técnica também existe. 
 
Probabilidade de ocorrência: Alta 
Impacto: Alto 
Medidas a serem tomadas: segurança de pessoal (incluindosegurança 
na definição e alocação de recursos, treinamento do usuário, resposta a 
incidentes e falhas de segurança),controle de mudança operacional, 
procedimentos de controle de mudanças controles contra software 
malicioso, logs do operador,política de controle de acesso,gerenciamento 
de privilégios,revisão dos direitos de acesso do usuário, identificação e 
autenticação do usuário acesso e uso do sistema de monitoramento. 
 
Negação de Serviço: 
Existe a ameaça de um usuário bancário especializado ou de um terceiro 
externo lançar um ataque de negação de serviço (DoS) contra o ambiente 
do Banco Xe-banking. Isso teria um impacto financeiro e de marca 
negativo. O indivíduo (s) que iniciou o ataque pode estar agindo por 
malícia ou pode estar tentando extorquir dinheiro do Banco X. 
Probabilidade de ocorrência: Baixa 
Impacto: Alto 
Medidas a serem tomadas: coordenação de segurança da informação, 
cooperação entre organizações respondendo a incidentes de segurança, 
procedimentos de gerenciamento de incidentes, controle de conexão de 
rede, registro de eventos, gerenciamento de continuidade 
Ativos Ameaça Vulnerabilidade Probabilidade 
1 Queda de 
energia 
Pane de 
qualquer espécie 
no servidor 
3 
2 Roubo Vazamento de 
informações 
2 
3 Sobrecarga Perda de 
informações 
2 
4 Invasão hacker Interrupção dos 
serviços 
2 
 
Tabela 3 – Avaliação dos Riscos 
 
2.5 Declaração de aplicabilidade: 
 
Declaração de Aplicabilidade 
Versão 
Responsável 
pela 
Declaração 
 
Responsável 
pela Aprovação 
 
Última Revisão 
 
Controles Controles Já 
Implantados 
Controles em 
Implantação 
Controles não 
implantados/ 
Justificativa 
 
Tabela 4 – Declaração de aplicabilidade 
Vários controles técnicos adicionais podem ser implementados para 
fortalecer a postura de segurança da arquitetura do banco: Introdução do 
host IPS (Intrusion Prevention) nos servidores web, introdução de firewalls 
no nível do aplicativo nos servidores web, introdução do verificador de 
integridade de arquivos nos servidores da Web e nos bancos de dados. 
 
Segunda Parte 
Ferramenta: ISMS online 
O ISMS.online inclui um conjunto dinâmico e interativo de ferramentas que 
o levam além da planilha ineficaz ou aplicativos autônomos dispendiosos 
para facilitar o funcionamento simples, consistente e eficaz dos riscos. É 
realziado de forma online na web. Nem todo mundo é um especialista em 
tempo integral e as pessoas seguem em frente. Isso significa que confiar 
em uma pessoa para o sistema de gerenciamento coloca a empresa em 
risco. O uso pouco frequente de sistemas de gestão complicados para 
algumas partes interessadas significa custos mais elevados de utilização 
e, mais provavelmente, o não cumprimento dos processos. 
Esta ferramenta oferece gerenciamento dos riscos de segurança da 
informação com uma abordagem de Confidencialidade, Integridade e 
Disponibilidade alinhada com a ISO 27001: 2013, e também atendendo 
aos requisitos do GDPR da UE. Beneficie de ferramentas semelhantes 
para gerenciar a legislação aplicável e as partes interessadas. Todas as 
três ferramentas vêm com metodologias e políticas comprovadas, 
aprovadas pela ISO 27001: 2013, para adotar 'straight-out-of-the-box', 
além de conteúdo 'banks' para Adopt, Adapt ou Add to, para economias 
significativas de tempo. 
Evidencia facilmente o tratamento de cada risco quando necessário, 
vinculando-se a políticas e controles relevantes para manter o SGSI 
unido. 
 
Possibilidade de visualização do histórico e o movimento do risco ao longo 
do tempo para demonstrar que os resultados do seu tratamento estão 
funcionando. 
 
Economiza tempo e trabalho trabalhando em um só lugar com o 
ISMS.online. Isso significa, evitar a ineficiência, o custo e o risco de 
comprar várias ferramentas ou de tentar criar sua própria solução quando 
o ISMS.online oferece a um preço acessível. 
Sigue a metodologia credenciada pela ISO 27001: 2013 para gerenciar 
riscos, simplesmente adotando a política que escrevemos para 
acompanhar a ferramenta. Há o recurso de vinculação para vincular riscos 
aos ativos também, dando uma visão completa de como o seu ISMS se 
une. 
Simplifica a análise e avaliação de cada um por seu impacto na 
confidencialidade, integridade e disponibilidade. Perfeito para demonstrar 
aconformidade como GDPR também. Design proprietário de risco para 
prestação de contas e trabalhe em equipe emumlocalseguronanuvem. 
Veja as atualizações rapidamente e defina as datas de revisão com 
lembretes para chegar à sua caixa de entrada, o que significa que você 
nunca se esquece de um risco importante. 
No ISMS.online, os dados sobre Risco, Legislação Aplicável e Partes 
Interessadas são todos altamente visíveis, em formatos atraentes e fáceis 
de se ler. As informações também podem ser exportadas se desejado, 
embora também seja trabalhar on-line de forma dinâmica. É em um 
ambiente on-line seguro, sempre disponível para apoiar tomadas de 
decisão e investimentos rápidos e eficazes. 
O elemento das Partes Interessadas do ISMS.online é um requisito do 
item 4.2 da norma ISO 27001: 2013. Com uma ferramenta de 
gerenciamento de partes interessadas, além de incluir a metodologia de 
política a ser adotada. São fornecidos também exemplos de um banco de 
documentos para redigir e avaliar conformenecessário. O ISMS.online 
permite plotar níveis de "poder" e "interesse" para as Partes Interessadas, 
para que você possa decidir rapidamente onde é melhor investir seus 
recursos e o que pode ser apenas ruído. Permite definir datas de lembrete 
para garantir que você revise suas partes interessadas quanto a 
quaisquer alterações que possam afetar seu SGSI. 
Agora, descubra como vincular os riscos aos controles necessários para 
gerenciamento economizará semanas de trabalho para atualizar sua 
Declaração de Aplicabilidade usando o ISMS.online. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
A lista de verificação a seguir descreve as etapas que precisam ser tomadas 
para auditar o ambiente do banco em relação à segurança de pessoal. O objetivo 
principal desta seção é reduzir os riscos de erro humano, roubo, fraude ou uso 
indevido de instalações .A introdução de controles relacionados à segurança do 
pessoal é de importância crítica. 
Segurança na definição de tarefas e recursos para reduzir os riscos de erro 
humano, roubo fraude ou uso indevido de instalações - Fazer a ligação com 
Recursos Humanos (RH) e equipe de segurança para garantir: documentos de 
política de segurança existem, modelos de Política de uso aceitável, existência 
de contratos de trabalho padrão que responsabilidades de segurança de 
referência, falar também com os membros do pessoal para verificar se eles estão 
cientes da segurança, requisitos nos seus contratos de trabalho. 
Incluir segurança nas responsabilidades do trabalho para garantir que todos os 
funcionários sejam considerados responsáveis para segurança - Fazer a ligação 
com Recursos Humanos (RH) e Equipe de segurança para garantir: existência 
modelos de descrição de posição para equipes 
como Webmasters e desenvolvedores, confirmação se a segurança é 
referenciada como responsabilidade dentro desses modelos. Triagem e política 
de pessoal para garantir a integridade de todos os funcionários e para provar a 
autenticidade do seu trabalho e história acadêmica : Confirmação com o RO 
sobre o processo seguido para tela potenciais candidatos a emprego. Garantia 
de que: Pelo menos 2 referências de caracteres são obtidas (pessoal e 
profissional), prova de qualificações acadêmicas é obtida. Acordos de 
confidencialidade para garantir que os funcionários não circulem ou vazamento 
de informações confidenciais ou negócio sensível: Fazer a ligação com o RH 
para garantir que as cláusulas de confidencialidade estão incorporadas nos 
contratos padrão de funcionários. Termos econdições de empregados para 
garantir que todos os empregados tem reponsabilidade sobre a segurança. 
Treinamento de usuários para garantir que os usuários estejam cientes das 
ameaças e preocupações de segurança da informação. Reportar 
malfuncionamentos de software a tempo: entrar em contato com a equipe de 
segurança e o Helpdesk, determinar se uma caixa de correio central ou intranet 
na web formulário para entrar em contato com a equipe de segurança existe. 
 
Referências Bibliográficas 
 
MONTAGNER, CARLOS ALBERTO.Gestão de Projetos. Curitiba: IESDE 
BRASIL S/A . 2016 
OLIVEIRA, TATIANA SOUTO MAIOR DE. Gestão e Governança em TI. 
Curitiba: IESDE BRASIL S/A . 2017 
ROUSE, Margaret. Information secutiry management system (ISMS). 2011. 
Disponível em: < https://whatis.techtarget.com/definition/information-security-
management-system-ISMS>. Acesso em: 26 mai. 2019. 
Portal GSTI. As Normas da Família ISO 27000. 2015. Disponível em: < 
https://www.portalgsti.com.br/2013/12/as-normas-da-familia-iso-27000.html>. 
Acesso em: 29 mai. 2019