Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança em Cloud Computing OBJETIVOS 1. Estabelecer a importância da implementação da Gestão da Segurança da Informação e os requisitos para sua implementação; 2. Identificar as motivações e os fundamentos para a realização de uma análise de risco; 3. Identificar as diferenças entre norma e regulamentação; 4. Conhecer as motivações para a utilização de planos de contingências; 5. Conhecer a necessidade de segurança no protocolo TCP/IP e nas aplicações WEB; 6. Identificar a importância da utilização de controle de acesso; 7. Identificar os diferentes tipos de ameaças e vulnerabilidades; 8. Compreender a importância da implementação de um GRC. Aula 1: Gestão da segurança da informação Nesta aula, compreenderemos a importância da implementação da Gestão da Segurança da Informação, os requisitos para a construção de uma política de segurança e as motivações para a realização de uma análise de risco. APRESENTAÇÃO Melhores práticas em Segurança da Informação devem ser incorporadas pelas organizações modernas para assegurar o monitoramento contínuo dos dados e a integridade das informações corporativas. Um Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de processos e procedimentos, baseado em normas e na legislação, que uma organização implementa para prover segurança no uso de seus ativos tecnológicos. Tal sistema deve ser conhecido e seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização, tais como: funcionários, prestadores de serviço, parceiros e terceirizados. A implementação de um SGSI deve possuir obrigatoriamente o aval da direção e das demais áreas da organização para conferir sua legitimidade. Uma parte fundamental da implementação de um SGSI envolve a análise de riscos na infraestrutura de TI. Esta análise permite identificar os pontos vulneráveis e as falhas nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias. A norma ISO 27001 foi a primeira a abordar segurança da informação com uma visão sistêmica de gestão e não somente como recomendações de instalação de controles de segurança isolados. OBJETIVOS 1. Descrever a importância da implementação da Gestão da segurança da Informação; 2. Conhecer os requisitos para a construção de uma política de segurança da informação; 3. Identificar as motivações para a realização de uma análise de risco. · FIM AULA1.1 AULA 1.2 Questão 1 Norma que trata da implementação operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI: · a) ISO 27001vv A implementação de um sistema de gestão da segurança da informação é realizada através da norma ISO 27001. · b) ISO 27002 · c) ISO 27003 · d) ISO 27004 · e) ISO 27005 Questão 2 Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação: · a) PDCAvv A auditoria não faz parte do ciclo de vida da informação. · b) HIPAA · c) CMMI · d) SISP · e) 3W5H Questão 3 Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: · a) Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI.vv Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes para a implementação de um sistema de gestão em empresas de qualquer tamanho. · b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. · c) Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e melhoria do SGSI. · d) Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão de Segurança da Informação. · e) Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria internas e análise de risco. Questão 4 Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? · a) Suporte Técnico. · b) Auditoria. · c) Segregação de funções. · d) Conscientização dos usuários.vv Sem a conscientização dos usuários, as ações de segurança da informação podem não alcançar os objetivos pretendidos, pois será necessária a compreensão de todos nas ações de segurança na organização. · e) Procedimentos elaborados. AULA 2 APRESENTAÇÃO No contexto da Segurança da Informação, o risco é a probabilidade de uma ameaça explorar uma vulnerabilidade. Examinamos as motivações que podem levar a ocorrência de um incidente de segurança nas organizações. Essa ocorrência, dependendo do seu impacto, pode deixar o serviço oferecido por esta organização indisponível por minutos ou até horas. Desse modo, as organizações deverão estabelecer uma rotina de trabalho para realizar o levantamento de suas vulnerabilidades, das possíveis ameaças e os possíveis impactos em seu negócio, caso alguma ameaça se concretize. Nesta aula, analisaremos os principais fundamentos e terminologias relacionadas a risco, seu ciclo de vida e como calcular o impacto nos negócios na ocorrência de um evento. EXERCÍCIOS DE FIXAÇÃO Para verificar sua aprendizagem, você fará, agora, alguns exercícios. Qualquer dúvida, retorne ao conteúdo. Lembre-se de que tais atividades não valem ponto na avaliação da disciplina, mas são de suma importância para o aproveitamento de seus estudos. Ao responder cada questão, clique no botão Confirmar para verificar seu gabarito. Questão 1 João trabalha na equipe de gestão de risco da empresa XPTO e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso, como denominamos este tipo de risco? · a) Risco verdadeiro.vv · b) Risco percebido. · c) Risco real. · d) Risco tratado. · e) Risco residual Questão 2 Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação: · a) PDCA vv · b) HIPAA · c) CMMI · d) SISP · e) 3W5H Questão 3 Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: · a) Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI.vv Sistema de Gestão de Segurança da Informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes para a implementação de um sistema de gestão em empresas de qualquer tamanho. · b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. · c) Sistema de Gestão de Segurança da Informação, análise de risco, auditorias internas e melhoria do SGSI. · d) Responsabilidade da direção, auditorias internas, controle de registros, Sistema de Gestão de Segurança da Informação. · e) Sistema de Gestão de Segurança da Informação, classificação da informação, auditoria internas e análise de risc questão 4 Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? · a) Suporte Técnico. · b) Auditoria. · c) Segregação de funções. · d) Conscientização dos usuários.vv Sem a conscientização dos usuários, as ações de segurança da informação podem não alcançar os objetivos pretendidos, pois será necessária a compreensão de todos nas ações de segurança na organização. · e) Procedimentos elaborados. 26
Compartilhar