Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. M. Sc. Osmil. Segurança de Sistemas de Informação - ISG Apresentação 06 – Programa de Segurança Informática – Negócios 5o Ciclo 1 Prof. M. Sc. Osmil. 2 Programa de Segurança - ISG Pauta Reflexão; Programa de segurança; Plano de segurança; Política de segurança; Norma de segurança; Procedimentos; Referências. 2 Prof. M. Sc. Osmil. 3 Programa de Segurança - ISG Reflexão [2] Na Alemanha: tudo é proibido, exceto aquilo que é permitido; Na França: tudo é permitido, exceto aquilo que é proibido; Em Cuba: tudo é proibido, inclusive aquilo que é permitido; No Brasil: tudo é permitido, inclusive aquilo que é proibido. 3 Prof. M. Sc. Osmil. 4 Programa de Segurança - ISG Reflexão [3] Ideia Oportunidade Projeto Gestão Sistema Operação & Manutenção 4 Prof. M. Sc. Osmil. 5 Programa de Segurança - ISG Programa de Segurança [1] Processo que visa elevar a segurança da organização ao nível requerido, por meio da introdução de medidas que permitam reduzir a exposição a riscos para um nível definido; 5 Prof. M. Sc. Osmil. 6 Programa de Segurança - ISG Programa de Segurança [1] Para assegurar que este programa se encontre de acordo com os objetivos do negócio é necessário identificar, antecipadamente, o nível de segurança pretendido pela alta direção; Uma vez definido o nível de segurança, é chegado o momento de estabelecer a estratégia que levará segurança à organização; 6 Prof. M. Sc. Osmil. 7 Programa de Segurança - ISG Programa de Segurança [1] Após a definição da estratégia, é necessário identificar e analisar os riscos existentes e determinar as diversas ações de prevenção e proteção que poderão diminuir esses riscos, priorizando-as segundo a estratégia escolhida. 7 Prof. M. Sc. Osmil. 8 Programa de Segurança - ISG Programa de Segurança [1] Composição Plano de Segurança; Política de Segurança; Norma de Segurança; Procedimentos. 8 Prof. M. Sc. Osmil. 9 Programa de Segurança - ISG Programa de Segurança da Informação Plano de Segurança da Informação Política de Segurança da Informação Plano de Continuidade de Negócios; Plano de Contingência de Recursos; Plano de Recuperação de Desastres; entre outros. impacta especifica estabelece contribue define 9 Prof. M. Sc. Osmil. 10 Programa de Segurança - ISG Programa de Segurança [1] Programa de Segurança Plano de Segurança Política de Segurança Norma de Segurança Procedimentos 10 Prof. M. Sc. Osmil. 11 Programa de Segurança - ISG Plano de Segurança [1] É o principal documento de segurança da informação na organização; Este documento sustenta-se em três pontos: Análise de riscos organizacional; Estratégia proposta pela alta direção; Plano de ação para a implementação das medidas. 11 Prof. M. Sc. Osmil. 12 Programa de Segurança - ISG Plano de Segurança [1] Sumário executivo: Resumo; Sumário à índice simples. Objetivos; Situação atual da segurança organizacional; Estratégia; 12 Prof. M. Sc. Osmil. 13 Programa de Segurança - ISG Plano de Segurança [1] Plano de ação; Benefícios decorrentes do plano de ação; Estrutura funcional (descrição dos papéis dos diversos membros da equipe de segurança); Orçamento e os recursos necessários; Terminologia técnica utilizada. 13 Prof. M. Sc. Osmil. 14 Programa de Segurança - ISG Política de Segurança [1] É o conjunto resumido de regras que definem, em linhas gerais, o que é considerado pela organização como aceitável ou inaceitável, contendo ainda referências às medidas a impor aos infratores; Deverá relacionar todas políticas existentes na organização que contenham regras de segurança, bem como, fazer alusão às normas de segurança; 14 Prof. M. Sc. Osmil. 15 Programa de Segurança - ISG Política de Segurança [1] As regras devem ser genéricas para não necessitarem de revisão, exceto em caso de alteração no contexto do negócio, da norma de segurança ou de lei(s); Deve ser conhecida por todos os colaboradores da organização à institucionalizada (capilarizada); As regras incluídas devem ser numeradas e cada conteúdo deve ter uma versão. 15 Prof. M. Sc. Osmil. 16 Programa de Segurança - ISG Política de Segurança [1] Documentos Norma de Segurança; Procedimentos. 16 Prof. M. Sc. Osmil. 17 Programa de Segurança - ISG Norma de Segurança [1] É o documento composto por todas as recomendações de segurança, concretizando em detalhe as linhas que orientam a elaboração da Política de Segurança; As recomendações adotadas pela organização devem estar referenciadas de forma explícita; 17 Prof. M. Sc. Osmil. 18 Programa de Segurança - ISG Norma de Segurança [1] A Norma de Segurança não indica aspectos relativos a marcas, modelos ou versões, algo que deverá ser deixado para o nível mais baixo da documentação de segurança à os procedimentos. 18 Prof. M. Sc. Osmil. 19 Programa de Segurança - ISG Procedimentos [1] Documento que descreve uma operação de forma detalhada, ou seja, indicando todos os seus passos; Este tipo de documento poderá sofrer alterações frequentes e, tipicamente, não é escrito unicamente por causa da segurança; 19 Prof. M. Sc. Osmil. 20 Programa de Segurança - ISG Procedimentos [1] Deve ser feito um trabalho de sensibilização junto aos especialistas da organização no sentido de que estes mitiguem a conformidade dos Procedimentos com a Norma de Segurança. 20 Prof. M. Sc. Osmil. 21 Política de Segurança - ISG Conceito [2] "É um mecanismo preventivo de proteção dos dados e processos importantes de uma organização que define um padrão de segurança a ser seguido pelo corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a segurança dos sistemas atuais." 21 Prof. M. Sc. Osmil. 22 Política de Segurança - ISG Conceito [2] "A política de segurança de informações deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais [...]. É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine as principais ameaças, riscos e impactos envolvidos." 22 Prof. M. Sc. Osmil. 23 Política de Segurança - ISG Propósitos [2] Descreve o que está sendo protegido e o porquê; Define prioridades sobre o que precisa ser protegido em primeiro lugar e com qual custo; Permite estabelecer um acordo explícito com várias partes da organização em relação ao valor da segurança; 23 Prof. M. Sc. Osmil. 24 Política de Segurança - ISG Propósitos [2] Fornece à área de segurança da informação um motivo válido para dizer "não" quando necessário; Proporciona à área de segurança da informação a autoridade necessária para sustentar o "não"; Impede que o departamento de segurança tenha um desempenho fútil. 24 Prof. M. Sc. Osmil. 25 Política de Segurança - ISG Armadilhas de criação [2] Emissão difícil; Interferência da política interna organizacional; Prioridade; Propriedade intelectual. 25 Prof. M. Sc. Osmil. 26 Política de Segurança - ISG Sugestões de criação [2] "Uma boa política hoje é melhor do que uma excelente política no próximo ano"; "Uma política fraca, mas bem institucionalizada, é melhor do que uma política forte que ninguém leu"; "Uma política simples e facilmente compreendida é melhor do que uma política confusa e complicada que ninguém se dá o trabalho de ler"; 26 Prof. M. Sc. Osmil. 27 Política de Segurança - ISG Sugestões de criação [2] "Uma política cujos detalhes estão ligeiramente errados é muito melhor do que uma política sem quaisquer detalhes"; "Uma política dinâmica, que é atualizada constantemente, é melhor do que uma política que se torna obsoleta com o passar do tempo". 27 Prof. M. Sc. Osmil. 28 Política de Segurança - ISG Responsabilidades [2] Administrador de segurança Alto nível de conduta ética; Assegurar que todas as ações sejam consistentes com o código de conduta ética. 28 Prof. M. Sc. Osmil. 29 Política de Segurança - ISG Responsabilidades [2] Administradorde sistemas Todas as informações sobre os usuários serão tratadas, inicialmente, como confidenciais; Não será permitido acesso não autorizado a informações confidenciais; Assegurar que todas as ações sejam consistentes com o código ético de conduta. 29 Prof. M. Sc. Osmil. 30 Política de Segurança - ISG Responsabilidades [2] Contratado Acesso a ativos informáticos autorizados na forma especificamente autorizada; Solicitará autorização prévia, por escrito, para qualquer ação que possa ser interpretada como uma questão de segurança. 30 Prof. M. Sc. Osmil. 31 Política de Segurança - ISG Responsabilidades [2] Convidado Nenhum acesso a ativos informáticos, a menos que haja notificação prévia, por escrito, à área de segurança da informação. 31 Prof. M. Sc. Osmil. 32 Política de Segurança - ISG Responsabilidades [2] Geral Conhecimento da política de segurança da informação; Todas as ações devem estar de acordo com a política de segurança da informação; Informar à área de segurança da informação qualquer violação conhecida de sua política; 32 Prof. M. Sc. Osmil. 33 Política de Segurança - ISG Responsabilidades [2] Geral Informar à área de segurança da informação qualquer suspeita de problemas em sua política. 33 Prof. M. Sc. Osmil. 34 Política de Segurança - ISG Utilização adequada [2] Administrador de segurança Acesso responsável a informações sensíveis ou pessoais dos clientes e usuários; Todo acesso especial só é justificado por operações comerciais ou de segurança; Uso de ferramentas de segurança apenas para objetivos operacionais legítimos. 34 Prof. M. Sc. Osmil. 35 Política de Segurança - ISG Utilização adequada [2] Administrador de sistemas Acesso responsável a informações sensíveis ou pessoais dos clientes e usuários; Todo acesso especial só é justificado por operações comerciais. 35 Prof. M. Sc. Osmil. 36 Política de Segurança - ISG Utilização adequada [2] Contratado Nenhum acesso pessoal a qualquer tempo; Uso mínimo da rede e apenas por motivos específicos relativos a determinado contrato. Convidado Nenhum uso da rede a qualquer tempo. 36 Prof. M. Sc. Osmil. 37 Política de Segurança - ISG Utilização adequada [2] Geral Uso pessoal mínimo durante o horário comercial normal; Nenhuma utilização da rede para atividades comerciais externas pessoais; Acesso a recursos de internet consistentes com a política de segurança da informação. 37 Prof. M. Sc. Osmil. 38 Política de Segurança - ISG Penalidades e consequências [2] Crítica Recomendação de demissão; Recomendação de abertura de ação legal. Séria Recomendação de demissão; Recomendação de desconto salarial. 38 Prof. M. Sc. Osmil. 39 Política de Segurança - ISG Penalidades e consequências [2] Leve Recomendação de desconto salarial; Repreensão formal por escrito; Suspensão não remunerada. 39 Prof. M. Sc. Osmil. 40 Referências - ISG [1] SILVA, Pedro Tavares; CARVALHO, Hugo; TORRES, Catarina Botelho. Segurança dos Sistemas de Informação - Gestão Estratégica da Segurança Empresarial. 1. ed. Lisboa, Portugal: Centro Atlântico, 2003. [2] LAUREANO, Marcos Aurelio Pchek. Gestão de Segurança da Informação. Apostila. Paraná: PUCPR, 2005. [3] DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books Editora, 2000. 40 Prof. M. Sc. Osmil. Segurança de Sistemas de Informação - ISG Apresentação 06 – Programa de Segurança Informática - Negócios 5o Ciclo 41
Compartilhar