Segurança em Cloud Computing

Prévia do material em texto

Segurança em Cloud Computing
OBJETIVOS
1. Estabelecer a importância da implementação da Gestão da Segurança da Informação e os requisitos para sua implementação;
2. Identificar as motivações e os fundamentos para a realização de uma análise de risco;
3. Identificar as diferenças entre norma e regulamentação;
4. Conhecer as motivações para a utilização de planos de contingências;
5. Conhecer a necessidade de segurança no protocolo TCP/IP e nas aplicações WEB;
6. Identificar a importância da utilização de controle de acesso;
7. Identificar os diferentes tipos de ameaças e vulnerabilidades;
8. Compreender a importância da implementação de um GRC.
Aula 1: Gestão da segurança da informação
Nesta aula, compreenderemos a importância da implementação da Gestão da Segurança da Informação, os requisitos para a construção de uma política de segurança e as motivações para a realização de uma análise de risco.
APRESENTAÇÃO
Melhores práticas em Segurança da Informação devem ser incorporadas pelas organizações modernas para assegurar o monitoramento contínuo dos dados e a integridade das informações corporativas.
Um Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de processos e procedimentos, baseado em normas e na legislação, que uma organização implementa para prover segurança no uso de seus ativos tecnológicos. Tal sistema deve ser conhecido e seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização, tais como: funcionários, prestadores de serviço, parceiros e terceirizados.
A implementação de um SGSI deve possuir obrigatoriamente o aval da direção e das demais áreas da organização para conferir sua legitimidade. Uma parte fundamental da implementação de um SGSI envolve a análise de riscos na infraestrutura de TI. Esta análise permite identificar os pontos vulneráveis e as falhas nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias.
A norma ISO 27001 foi a primeira a abordar segurança da informação com uma visão sistêmica de gestão e não somente como recomendações de instalação de controles de segurança isolados.
OBJETIVOS
1. Descrever a importância da implementação da Gestão da segurança da Informação;
2. Conhecer os requisitos para a construção de uma política de segurança da informação;
3. Identificar as motivações para a realização de uma análise de risco.
· 
FIM AULA1.1
AULA 1.2
Questão 1
Norma que trata da implementação operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI:
· a) ISO 27001vv
A implementação de um sistema de gestão da segurança da informação é realizada através da norma ISO 27001.
· b) ISO 27002
· c) ISO 27003
· d) ISO 27004
· e) ISO 27005
Questão 2
Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação:
· a) PDCAvv
A auditoria não faz parte do ciclo de vida da informação.
· b) HIPAA
· c) CMMI
· d) SISP
· e) 3W5H
Questão 3
Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
· a) Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI.vv
Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes para a implementação de um sistema de gestão em empresas de qualquer tamanho.
· b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas.
· c) Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e melhoria do SGSI.
· d) Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão de Segurança da Informação.
· e) Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria internas e análise de risco.
Questão 4
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
· a) Suporte Técnico.
· b) Auditoria.
· c) Segregação de funções.
· d) Conscientização dos usuários.vv
Sem a conscientização dos usuários, as ações de segurança da informação podem não alcançar os objetivos pretendidos, pois será necessária a compreensão de todos nas ações de segurança na organização.
· e) Procedimentos elaborados.
AULA 2
APRESENTAÇÃO
No contexto da Segurança da Informação, o risco é a probabilidade de uma ameaça explorar uma vulnerabilidade.
Examinamos as motivações que podem levar a ocorrência de um incidente de segurança nas organizações. Essa ocorrência, dependendo do seu impacto, pode deixar o serviço oferecido por esta organização indisponível por minutos ou até horas.
Desse modo, as organizações deverão estabelecer uma rotina de trabalho para realizar o levantamento de suas vulnerabilidades, das possíveis ameaças e os possíveis impactos em seu negócio, caso alguma ameaça se concretize.
Nesta aula, analisaremos os principais fundamentos e terminologias relacionadas a risco, seu ciclo de vida e como calcular o impacto nos negócios na ocorrência de um evento.
EXERCÍCIOS DE FIXAÇÃO
Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos.
Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito.
Questão 1
João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso, como denominamos este tipo de risco?
· a) Risco verdadeiro.vv
· b) Risco percebido.
· c) Risco real.
· d) Risco tratado.
· e) Risco residual
Questão 2
Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação:
· a) PDCA vv
· b) HIPAA
· c) CMMI
· d) SISP
· e) 3W5H
Questão 3
Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
· a) Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI.vv
Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes para a implementação de um sistema de gestão em empresas de qualquer tamanho.
· b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas.
· c) Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e melhoria do SGSI.
· d) Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão de Segurança da Informação.
· e) Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria internas e análise de risc
questão 4
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
· a) Suporte Técnico.
· b) Auditoria.
· c) Segregação de funções.
· d) Conscientização dos usuários.vv
Sem a conscientização dos usuários, as ações de segurança da informação podem não alcançar os objetivos pretendidos, pois será necessária a compreensão de todos nas ações de segurança na organização.
· e) Procedimentos elaborados.
	
26