Apresentação 06 ISG

Prévia do material em texto

Prof. M. Sc. Osmil.
Segurança de Sistemas de Informação - ISG
Apresentação 06 – Programa de Segurança
Informática – Negócios
5o Ciclo
1
Prof. M. Sc. Osmil.
2
Programa de Segurança - ISG
 Pauta
Reflexão;
Programa de segurança;
Plano de segurança;
Política de segurança;
Norma de segurança;
Procedimentos;
Referências.
2
Prof. M. Sc. Osmil.
3
Programa de Segurança - ISG
 Reflexão [2]
Na Alemanha: tudo é proibido, exceto aquilo que é permitido;
Na França: tudo é permitido, exceto aquilo que é proibido;
Em Cuba: tudo é proibido, inclusive aquilo que é permitido;
No Brasil: tudo é permitido, inclusive aquilo que é proibido.
3
Prof. M. Sc. Osmil.
4
Programa de Segurança - ISG
 Reflexão [3]
Ideia
Oportunidade
Projeto
Gestão
Sistema
Operação & 
Manutenção
4
Prof. M. Sc. Osmil.
5
Programa de Segurança - ISG
 Programa de Segurança [1]
Processo que visa elevar a segurança da organização ao nível requerido, por meio da introdução de medidas que permitam reduzir a exposição a riscos para um nível definido;
5
Prof. M. Sc. Osmil.
6
Programa de Segurança - ISG
 Programa de Segurança [1]
Para assegurar que este programa se encontre de acordo com os objetivos do negócio é necessário identificar, antecipadamente, o nível de segurança pretendido pela alta direção;
Uma vez definido o nível de segurança, é chegado o momento de estabelecer a estratégia que levará segurança à organização;
6
Prof. M. Sc. Osmil.
7
Programa de Segurança - ISG
 Programa de Segurança [1]
Após a definição da estratégia, é necessário identificar e analisar os riscos existentes e determinar as diversas ações de prevenção e proteção que poderão diminuir esses riscos, priorizando-as segundo a estratégia escolhida.
7
Prof. M. Sc. Osmil.
8
Programa de Segurança - ISG
 Programa de Segurança [1]
Composição
Plano de Segurança;
Política de Segurança;
Norma de Segurança;
Procedimentos.
8
Prof. M. Sc. Osmil.
9
Programa de Segurança - ISG
 
Programa de Segurança da Informação 
Plano de 
Segurança da 
Informação
Política de 
Segurança da 
Informação
Plano de Continuidade de Negócios;
Plano de Contingência de Recursos;
Plano de Recuperação de Desastres;
entre outros.
impacta
especifica
estabelece
contribue
define
9
Prof. M. Sc. Osmil.
10
Programa de Segurança - ISG
 Programa de Segurança [1]
Programa de
Segurança
Plano de
Segurança
Política de
Segurança
Norma de
Segurança
Procedimentos
10
Prof. M. Sc. Osmil.
11
Programa de Segurança - ISG
 Plano de Segurança [1]
É o principal documento de segurança da informação na organização;
Este documento sustenta-se em três pontos:
Análise de riscos organizacional;
Estratégia proposta pela alta direção;
Plano de ação para a implementação das medidas.
11
Prof. M. Sc. Osmil.
12
Programa de Segurança - ISG
 Plano de Segurança [1]
Sumário executivo:
Resumo;
Sumário à índice simples.
Objetivos;
Situação atual da segurança organizacional;
Estratégia;
12
Prof. M. Sc. Osmil.
13
Programa de Segurança - ISG
 Plano de Segurança [1]
Plano de ação;
Benefícios decorrentes do plano de ação;
Estrutura funcional (descrição dos papéis dos diversos membros da equipe de segurança);
Orçamento e os recursos necessários;
Terminologia técnica utilizada.
13
Prof. M. Sc. Osmil.
14
Programa de Segurança - ISG
 Política de Segurança [1]
É o conjunto resumido de regras que definem, em linhas gerais, o que é considerado pela organização como aceitável ou inaceitável, contendo ainda referências às medidas a impor aos infratores;
Deverá relacionar todas políticas existentes na organização que contenham regras de segurança, bem como, fazer alusão às normas de segurança;
14
Prof. M. Sc. Osmil.
15
Programa de Segurança - ISG
 Política de Segurança [1]
As regras devem ser genéricas para não necessitarem de revisão, exceto em caso de alteração no contexto do negócio, da norma de segurança ou de lei(s);
Deve ser conhecida por todos os colaboradores da organização à institucionalizada (capilarizada);
As regras incluídas devem ser numeradas e cada conteúdo deve ter uma versão.
15
Prof. M. Sc. Osmil.
16
Programa de Segurança - ISG
 Política de Segurança [1]
Documentos
Norma de Segurança;
Procedimentos.
16
Prof. M. Sc. Osmil.
17
Programa de Segurança - ISG
 Norma de Segurança [1] 
É o documento composto por todas as recomendações de segurança, concretizando em detalhe as linhas que orientam a elaboração da Política de Segurança;
As recomendações adotadas pela organização devem estar referenciadas de forma explícita;
17
Prof. M. Sc. Osmil.
18
Programa de Segurança - ISG
 Norma de Segurança [1]
A Norma de Segurança não indica aspectos relativos a marcas, modelos ou versões, algo que deverá ser deixado para o nível mais baixo da documentação de segurança à os procedimentos.
18
Prof. M. Sc. Osmil.
19
Programa de Segurança - ISG
 Procedimentos [1] 
Documento que descreve uma operação de forma detalhada, ou seja, indicando todos os seus passos;
Este tipo de documento poderá sofrer alterações frequentes e, tipicamente, não é escrito unicamente por causa da segurança;
19
Prof. M. Sc. Osmil.
20
Programa de Segurança - ISG
 Procedimentos [1]
Deve ser feito um trabalho de sensibilização junto aos especialistas da organização no sentido de que estes mitiguem a conformidade dos Procedimentos com a Norma de Segurança.
20
Prof. M. Sc. Osmil.
21
Política de Segurança - ISG
 Conceito [2]
"É um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais."
21
Prof. M. Sc. Osmil.
22
Política de Segurança - ISG
 Conceito [2]
"A política de segurança de informações deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais [...]. É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine as principais ameaças, riscos e impactos envolvidos."
22
Prof. M. Sc. Osmil.
23
Política de Segurança - ISG
 Propósitos [2]
Descreve o que está sendo protegido e o porquê;
Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qual custo;
Permite estabelecer um acordo explícito com várias partes da organização em relação ao valor da segurança;
23
Prof. M. Sc. Osmil.
24
Política de Segurança - ISG
 Propósitos [2]
Fornece à área de segurança da informação um motivo válido para dizer "não" quando necessário;
Proporciona à área de segurança da informação a autoridade necessária para sustentar o "não";
Impede que o departamento de segurança tenha um desempenho fútil.
24
Prof. M. Sc. Osmil.
25
Política de Segurança - ISG
 Armadilhas de criação [2]
Emissão difícil;
Interferência da política interna organizacional;
Prioridade;
Propriedade intelectual.
25
Prof. M. Sc. Osmil.
26
Política de Segurança - ISG
 Sugestões de criação [2]
"Uma boa política hoje é melhor do que uma excelente política no próximo ano";
"Uma política fraca, mas bem institucionalizada, é melhor do que uma política forte que ninguém leu";
"Uma política simples e facilmente compreendida é melhor do que uma política confusa e complicada que ninguém se dá o trabalho de ler";
26
Prof. M. Sc. Osmil.
27
Política de Segurança - ISG
 Sugestões de criação [2]
"Uma política cujos detalhes estão ligeiramente errados é muito melhor do que uma política sem quaisquer detalhes";
"Uma política dinâmica, que é atualizada constantemente, é melhor do que uma política que se torna obsoleta com o passar do tempo".
27
Prof. M. Sc. Osmil.
28
Política de Segurança - ISG
 Responsabilidades [2]
Administrador de segurança
Alto nível de conduta ética;
Assegurar que todas as ações sejam consistentes com o código de conduta ética.
28
Prof. M. Sc. Osmil.
29
Política de Segurança - ISG
 Responsabilidades [2]
Administradorde sistemas
Todas as informações sobre os usuários serão tratadas, inicialmente, como confidenciais;
Não será permitido acesso não autorizado a informações confidenciais;
Assegurar que todas as ações sejam consistentes com o código ético de conduta.
29
Prof. M. Sc. Osmil.
30
Política de Segurança - ISG
 Responsabilidades [2]
Contratado
Acesso a ativos informáticos autorizados na forma especificamente autorizada;
Solicitará autorização prévia, por escrito, para qualquer ação que possa ser interpretada como uma questão de segurança.
30
Prof. M. Sc. Osmil.
31
Política de Segurança - ISG
 Responsabilidades [2]
Convidado
Nenhum acesso a ativos informáticos, a menos que haja notificação prévia, por escrito, à área de segurança da informação.
31
Prof. M. Sc. Osmil.
32
Política de Segurança - ISG
 Responsabilidades [2]
Geral
Conhecimento da política de segurança da informação;
Todas as ações devem estar de acordo com a política de segurança da informação;
Informar à área de segurança da informação qualquer violação conhecida de sua política;
32
Prof. M. Sc. Osmil.
33
Política de Segurança - ISG
 Responsabilidades [2]
Geral
Informar à área de segurança da informação qualquer suspeita de problemas em sua política.
33
Prof. M. Sc. Osmil.
34
Política de Segurança - ISG
 Utilização adequada [2]
Administrador de segurança
Acesso responsável a informações sensíveis ou pessoais dos clientes e usuários;
Todo acesso especial só é justificado por operações comerciais ou de segurança;
Uso de ferramentas de segurança apenas para objetivos operacionais legítimos.
34
Prof. M. Sc. Osmil.
35
Política de Segurança - ISG
 Utilização adequada [2]
Administrador de sistemas
Acesso responsável a informações sensíveis ou pessoais dos clientes e usuários;
Todo acesso especial só é justificado por operações comerciais.
35
Prof. M. Sc. Osmil.
36
Política de Segurança - ISG
 Utilização adequada [2]
Contratado
Nenhum acesso pessoal a qualquer tempo;
Uso mínimo da rede e apenas por motivos específicos relativos a determinado contrato.
Convidado
Nenhum uso da rede a qualquer tempo.
36
Prof. M. Sc. Osmil.
37
Política de Segurança - ISG
 Utilização adequada [2]
Geral
Uso pessoal mínimo durante o horário comercial normal;
Nenhuma utilização da rede para atividades comerciais externas pessoais;
Acesso a recursos de internet consistentes com a política de segurança da informação.
37
Prof. M. Sc. Osmil.
38
Política de Segurança - ISG
 Penalidades e consequências [2]
Crítica
Recomendação de demissão;
Recomendação de abertura de ação legal.
Séria
Recomendação de demissão;
Recomendação de desconto salarial.
38
Prof. M. Sc. Osmil.
39
Política de Segurança - ISG
 Penalidades e consequências [2]
Leve
Recomendação de desconto salarial;
Repreensão formal por escrito;
Suspensão não remunerada.
39
Prof. M. Sc. Osmil.
40
Referências - ISG
 [1] SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos Sistemas de Informação - Gestão Estratégica da Segurança Empresarial. 1. ed. Lisboa, Portugal: Centro Atlântico, 2003.
 [2] LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. Apostila. Paraná: PUCPR, 2005.
 [3] DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books Editora, 2000.
40
Prof. M. Sc. Osmil.
Segurança de Sistemas de Informação - ISG
Apresentação 06 – Programa de Segurança
Informática - Negócios
5o Ciclo
41