Baixe o app para aproveitar ainda mais
Prévia do material em texto
SGSI 1. Dados da Organização 1.1 Nome da Organização: Banco Arroz&Feijão 1.2 Negócio da Organização: instituição financeira 1.3 Áreas a serem cobertas pelo SGSI: Diretoria de gestão do desenvolvimento, Diretoria de Negócios, Diretoria financeira e de mercado de capitais, Diretoria de administração de recursos de terceiros, Diretoria de controle e risco, Diretoria administrativa e de tecnologia da informação. Área Jurídica. 2. Estabelecer o SGSI 2.1 Escopo: A gestão da segurança da informação envolve também o conhecimento de processos organizacionais e suas classificações para que seja possível o mapeamento dos processos de segurança da organização. Este SGSI se aplicará aos seguintes departamentos: financeiro, negócios, gestão de desenvolvimento, administração, recursos humanos, TI. Seguindo o princípio da separação de tarefas, cada componente é apoiado por uma equipe diferente. A equipe de segurança é responsável pelos firewalls, IPS e antivírus. Existem várias outras equipes responsáveis por cada componente restante: equipe de banco de dados, webmasters, equipe de mainframe, desenvolvedores, equipe de controle de qualidade. ITEM ATIVO 1 Base de Dados 2 Informações financeiras 3 Serviços 4 Sistemas Tabela 1 – Inventário dos ativos da informação. Ativo Confidencialidade Integridade Disponibilidade Valor 1 2 3 3 3 2 2 3 3 3 3 1 3 3 3 4 2 3 3 3 Tabela 2 – Classificação dos ativos da informação. 2.2 Política do SGSI: O objetivo da política é garantir que os privilégios de administrador do sistema não sejam violados e sejam usados apenas para fins comerciais legítimos e autorizados. Os ativos de informação são críticos para o sucesso do negócio. Devemos, portanto, garantir a confidencialidade, integridade e disponibilidade dos ativos de processamento de informações e informações de nossos clientes e do banco, implantando pessoas, tecnologia e processos apropriados. Os sistemas de informação do Banco e as informações comerciais nele contidas são ativos de valor estratégico e comercial. São fundamentais para a continuidade eficiente dos negócios.Deve ser assegurado que os ativos de informação e os ativos de TI sejam protegidos contra acesso não autorizado. Informações não são divulgadas a pessoas não autorizadas por meio de ações deliberadas ou descuidadas. As informações deverão estar protegidas contra modificação não autorizada. As informações deverão estar disponíveis para usuários autorizados quando necessário. Os requisitos regulatórios e legislativos aplicáveis são cumpridos. Os planos de recuperação de desastres para ativos de TI são desenvolvidos, mantidos e testados na medida do possível. Treinamento de segurança de informações é oferecido a todos os usuários. a segurança da informação é relatada e investigada. As violações das políticas são tratadas com uma ação disciplinar. Todos os colaboradores deverão entender os riscos associados às condições de acordo com a atividade que cumprem. Todo colaborador deve cumprir as condições definidas no aceite. A postura, no que se refere à segurança da informação deve ser observada para que todos os outros colaboradores que estiverem sob sua gestão tenham-na como exemplo. É indispensável a todos os colaboradores o mantimento do sigilo e da confidencialidade em relação às informações da empresa. Antes da concessão de acesso às informações será exigida a assinatura do Termo de Confidencialidade tanto para colaboradores quando para prestadores de serviço que não estejam em regime de contrato definido. Cabe aos profissionais gestores realizar procedimentos de resposta aos incidentes, bem como cabe aos administradores de sistema, realizar a configuração de equipamentos e sistemas utilizados pelos colaboradores de acordo com os controles exigidos para cumprir o que se pede em relação aos requerimentos de segurança estabelecidos. Os administradores de sistema poderão realizar acesso a dados de outros usuários, desde que haja efetiva necessidade para execução de suas atividades, estando quaisquer consequências de seus atos sob sua responsabilidade. Dentre suas responsabilidades destacam-se: o mantimento de cópias de segurança de arquivos, realização de testes de auditoria nos ambientes, manutenção de computadores e sistemas computadorizados, bem como trabalhar para prover disponibilidade dos softwares utilizados pelos colaboradores. Em relação aos sistemas que propiciam acesso público a informações, devem garantir a segurança de acesso, garantindo rastreabilidade das atividades realizadas nos sistemas a fim de posterior investigação ou auditoria. Quando for realizada a movimentação interna dos ativos de TI, o gestor deve garantir que as informações de um usuário não serão removidas de modo definitivo antes da disponibilização do ativo para outro usuário. Este deve garantir que vulnerabilidades ou fragilidades não sejam introduzidas aos sistemas. O planejamento, fornecimento, implantação e monitoramento tanto de armazenagem quanto das transmissões de informação também devem ser observados pelo gestor, de modo que a segurança requerida pelo negócio seja mantida. Garantir que os logins individuais de cada funcionário sejam de responsabilidade do próprio funcionário, não tendo o gestor, acesso a essas informações. Os ativos também devem ser protegidos continuamente contra ataques de cunho malicioso e deve ser garantido que o ambiente de produção seja livre de códigos maliciosos. O plano segurança poderá ser encontrado na intranet da empresa bem como em meio físico. Este será divulgado através de reuniões e palestra. Os usuários deverão ser treinados por meio de cursos e acompanhamento dos profissionais da área de segurança. 2.3 Abordagem de gestão: O comitê de segurança da informação será formado por servidores da alta gerência administrativa, possuindo estes, funções estratégias como financeira, contábil, RH, gerência de informática, administrador de redes, diretoria de gestão do desenvolvimento, diretoria de negócios, diretoria financeira e de mercado de capitais, diretoria de administração de recursos de terceiros, diretoria de controle e risco, diretoria administrativa e de tecnologia da informação. área Jurídica, administradores de bancos de dados. As decisões devem ser tomadas de modo conjunto a fim de se atingir uma solução bem definida e que cumpra com os requisitos necessários. Os colaboradores da gerência administrativa devem trabalhar para que sejam adotadas as melhores práticas referentes ao uso e tratamento das informações, sistemas e quaisquer componentes informacionais da empresa. Devem ser feitas análises de relatórios de controle, avaliação e reavaliação das concessões de acesso sempre que necessário, investigação de ocorrências e incidentes e reuniões periódicas de modo a prestar esclarecimentos, sanar eventuais dúvidas e proporcionar uma sintonia entre os diversos componentes. 2.4 Avaliar os riscos: Todos os ativos devem ser avaliados de forma periódica e ter seus riscos determinados ao negócio. Uso não autorizado de direitos de administrador: Existe a ameaça de que um administrador de um servidor Web possa abusar de seus direitos de acesso para instalar o software Trojan nos servidores web do banco, a fim de comprometer as contas dos clientes e realizar transações fraudulentas para ganho pessoal.Vulnerabilidade Embora a prática de segregação de tarefas seja seguida na rotação do banco e licença mínima não são aplicadas. Além disso, os recursos de registro em vigor são limitados e podem ser facilmente manipulados por um administrador para encobrir atividades suspeitas. O potencial de conluio entre os funcionários da equipe técnica também existe. Probabilidade de ocorrência: Alta Impacto: Alto Medidas a serem tomadas: segurança de pessoal (incluindosegurança na definição e alocação de recursos, treinamento do usuário, resposta a incidentes e falhas de segurança),controle de mudança operacional, procedimentos de controle de mudanças controles contra software malicioso, logs do operador,política de controle de acesso,gerenciamento de privilégios,revisão dos direitos de acesso do usuário, identificação e autenticação do usuário acesso e uso do sistema de monitoramento. Negação de Serviço: Existe a ameaça de um usuário bancário especializado ou de um terceiro externo lançar um ataque de negação de serviço (DoS) contra o ambiente do Banco Xe-banking. Isso teria um impacto financeiro e de marca negativo. O indivíduo (s) que iniciou o ataque pode estar agindo por malícia ou pode estar tentando extorquir dinheiro do Banco X. Probabilidade de ocorrência: Baixa Impacto: Alto Medidas a serem tomadas: coordenação de segurança da informação, cooperação entre organizações respondendo a incidentes de segurança, procedimentos de gerenciamento de incidentes, controle de conexão de rede, registro de eventos, gerenciamento de continuidade Ativos Ameaça Vulnerabilidade Probabilidade 1 Queda de energia Pane de qualquer espécie no servidor 3 2 Roubo Vazamento de informações 2 3 Sobrecarga Perda de informações 2 4 Invasão hacker Interrupção dos serviços 2 Tabela 3 – Avaliação dos Riscos 2.5 Declaração de aplicabilidade: Declaração de Aplicabilidade Versão Responsável pela Declaração Responsável pela Aprovação Última Revisão Controles Controles Já Implantados Controles em Implantação Controles não implantados/ Justificativa Tabela 4 – Declaração de aplicabilidade Vários controles técnicos adicionais podem ser implementados para fortalecer a postura de segurança da arquitetura do banco: Introdução do host IPS (Intrusion Prevention) nos servidores web, introdução de firewalls no nível do aplicativo nos servidores web, introdução do verificador de integridade de arquivos nos servidores da Web e nos bancos de dados. Segunda Parte Ferramenta: ISMS online O ISMS.online inclui um conjunto dinâmico e interativo de ferramentas que o levam além da planilha ineficaz ou aplicativos autônomos dispendiosos para facilitar o funcionamento simples, consistente e eficaz dos riscos. É realziado de forma online na web. Nem todo mundo é um especialista em tempo integral e as pessoas seguem em frente. Isso significa que confiar em uma pessoa para o sistema de gerenciamento coloca a empresa em risco. O uso pouco frequente de sistemas de gestão complicados para algumas partes interessadas significa custos mais elevados de utilização e, mais provavelmente, o não cumprimento dos processos. Esta ferramenta oferece gerenciamento dos riscos de segurança da informação com uma abordagem de Confidencialidade, Integridade e Disponibilidade alinhada com a ISO 27001: 2013, e também atendendo aos requisitos do GDPR da UE. Beneficie de ferramentas semelhantes para gerenciar a legislação aplicável e as partes interessadas. Todas as três ferramentas vêm com metodologias e políticas comprovadas, aprovadas pela ISO 27001: 2013, para adotar 'straight-out-of-the-box', além de conteúdo 'banks' para Adopt, Adapt ou Add to, para economias significativas de tempo. Evidencia facilmente o tratamento de cada risco quando necessário, vinculando-se a políticas e controles relevantes para manter o SGSI unido. Possibilidade de visualização do histórico e o movimento do risco ao longo do tempo para demonstrar que os resultados do seu tratamento estão funcionando. Economiza tempo e trabalho trabalhando em um só lugar com o ISMS.online. Isso significa, evitar a ineficiência, o custo e o risco de comprar várias ferramentas ou de tentar criar sua própria solução quando o ISMS.online oferece a um preço acessível. Sigue a metodologia credenciada pela ISO 27001: 2013 para gerenciar riscos, simplesmente adotando a política que escrevemos para acompanhar a ferramenta. Há o recurso de vinculação para vincular riscos aos ativos também, dando uma visão completa de como o seu ISMS se une. Simplifica a análise e avaliação de cada um por seu impacto na confidencialidade, integridade e disponibilidade. Perfeito para demonstrar aconformidade como GDPR também. Design proprietário de risco para prestação de contas e trabalhe em equipe emumlocalseguronanuvem. Veja as atualizações rapidamente e defina as datas de revisão com lembretes para chegar à sua caixa de entrada, o que significa que você nunca se esquece de um risco importante. No ISMS.online, os dados sobre Risco, Legislação Aplicável e Partes Interessadas são todos altamente visíveis, em formatos atraentes e fáceis de se ler. As informações também podem ser exportadas se desejado, embora também seja trabalhar on-line de forma dinâmica. É em um ambiente on-line seguro, sempre disponível para apoiar tomadas de decisão e investimentos rápidos e eficazes. O elemento das Partes Interessadas do ISMS.online é um requisito do item 4.2 da norma ISO 27001: 2013. Com uma ferramenta de gerenciamento de partes interessadas, além de incluir a metodologia de política a ser adotada. São fornecidos também exemplos de um banco de documentos para redigir e avaliar conformenecessário. O ISMS.online permite plotar níveis de "poder" e "interesse" para as Partes Interessadas, para que você possa decidir rapidamente onde é melhor investir seus recursos e o que pode ser apenas ruído. Permite definir datas de lembrete para garantir que você revise suas partes interessadas quanto a quaisquer alterações que possam afetar seu SGSI. Agora, descubra como vincular os riscos aos controles necessários para gerenciamento economizará semanas de trabalho para atualizar sua Declaração de Aplicabilidade usando o ISMS.online. A lista de verificação a seguir descreve as etapas que precisam ser tomadas para auditar o ambiente do banco em relação à segurança de pessoal. O objetivo principal desta seção é reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalações .A introdução de controles relacionados à segurança do pessoal é de importância crítica. Segurança na definição de tarefas e recursos para reduzir os riscos de erro humano, roubo fraude ou uso indevido de instalações - Fazer a ligação com Recursos Humanos (RH) e equipe de segurança para garantir: documentos de política de segurança existem, modelos de Política de uso aceitável, existência de contratos de trabalho padrão que responsabilidades de segurança de referência, falar também com os membros do pessoal para verificar se eles estão cientes da segurança, requisitos nos seus contratos de trabalho. Incluir segurança nas responsabilidades do trabalho para garantir que todos os funcionários sejam considerados responsáveis para segurança - Fazer a ligação com Recursos Humanos (RH) e Equipe de segurança para garantir: existência modelos de descrição de posição para equipes como Webmasters e desenvolvedores, confirmação se a segurança é referenciada como responsabilidade dentro desses modelos. Triagem e política de pessoal para garantir a integridade de todos os funcionários e para provar a autenticidade do seu trabalho e história acadêmica : Confirmação com o RO sobre o processo seguido para tela potenciais candidatos a emprego. Garantia de que: Pelo menos 2 referências de caracteres são obtidas (pessoal e profissional), prova de qualificações acadêmicas é obtida. Acordos de confidencialidade para garantir que os funcionários não circulem ou vazamento de informações confidenciais ou negócio sensível: Fazer a ligação com o RH para garantir que as cláusulas de confidencialidade estão incorporadas nos contratos padrão de funcionários. Termos econdições de empregados para garantir que todos os empregados tem reponsabilidade sobre a segurança. Treinamento de usuários para garantir que os usuários estejam cientes das ameaças e preocupações de segurança da informação. Reportar malfuncionamentos de software a tempo: entrar em contato com a equipe de segurança e o Helpdesk, determinar se uma caixa de correio central ou intranet na web formulário para entrar em contato com a equipe de segurança existe. Referências Bibliográficas MONTAGNER, CARLOS ALBERTO.Gestão de Projetos. Curitiba: IESDE BRASIL S/A . 2016 OLIVEIRA, TATIANA SOUTO MAIOR DE. Gestão e Governança em TI. Curitiba: IESDE BRASIL S/A . 2017 ROUSE, Margaret. Information secutiry management system (ISMS). 2011. Disponível em: < https://whatis.techtarget.com/definition/information-security- management-system-ISMS>. Acesso em: 26 mai. 2019. Portal GSTI. As Normas da Família ISO 27000. 2015. Disponível em: < https://www.portalgsti.com.br/2013/12/as-normas-da-familia-iso-27000.html>. Acesso em: 29 mai. 2019
Compartilhar