Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Me. Ricardo Sewaybriker UNIDADE I Gestão da Segurança da Informação Introdução à Segurança da Informação Fonte: autoria própria. Conceitos de Segurança da Informação Fonte: autoria própria. Conceitos de Segurança da Informação Fonte: autoria própria. Ciclo de vida da informação Fonte: autoria própria. Componentes de Segurança da Informação Proteções Valor Ameaças Vulnerabilidade Impacto Risco Fonte: autoria própria. Componentes de Segurança da Informação Fonte: autoria própria. Firewalls Componentes de Segurança da Informação Fonte: autoria própria. Diminui danos causados Origem dos problemas e estratégia de proteção Fonte: autoria própria. A origem dos problemas de segurança está baseada em três fontes diferentes, quais são elas? a) Natural, anormal e humana. b) Acidental, humana e tecnológica. c) Natural, acidental e intencional. d) Intencional, humana e anormal. e) Acidental, anormal e tecnológica. Interatividade A origem dos problemas de segurança está baseada em três fontes diferentes, quais são elas? a) Natural, anormal e humana. b) Acidental, humana e tecnológica. c) Natural, acidental e intencional. d) Intencional, humana e anormal. e) Acidental, anormal e tecnológica. Resposta Classificação da informação – Categoria Fonte: autoria própria. Classificação da informação – Benefícios Fonte: autoria própria. é facilitado. Classificação da informação – Níveis Fonte: Brasil (2002). Ultrassecretos devem ser de conhecimento restrito, cuja ou referidos. comprometer planos, operações ou objetivos, neles Classificação da informação – Tipo Fonte: Beal (2008, p. 69). Classificação da informação – Segmentação Fonte: autoria própria. Ativos Físicos, Software e Serviços Classificação da informação – Esferas Fonte: autoria própria. Backups Classificação da informação – Práticas Fonte: autoria própria. Estrutura da Segurança da Informação Fonte: autoria própria. Fonte: autoria própria. Terminal Terminal Terminal Terminal Terminal Internet FW Solaris FW Win2K Web Win2K Database HP-UX Database AIX OS/390 Filial Matriz FW Appliance DNS Linux Parceiros DMZ Novell Filial Win2K Mail Novell Win2K Mail Novell Filial Win2K Mail TerminalTerminal CPD Mainframe Estrutura da Segurança da Informação Fonte: autoria própria. Fonte: autoria própria. Vice-presidência Comitê de Segurança Auditoria Interna Área de Negócios Área de Negócios Tecnologia da Informação Área de Segurança da Informação Comitê de Segurança Vice- presidência Auditoria Interna Área de Segurança da Informação Tecnologia da Informação Área de Negócios Área de Negócios Podemos segmentar a classificação das informações por: a) Pessoas, processos e tecnologia. b) Porte, tipo e tamanho. c) Pessoas, porte e tamanho. d) Pessoas, processos e tamanho. e) Tecnologia, processos e tipo. Interatividade Podemos segmentar a classificação das informações por: a) Pessoas, processos e tecnologia. b) Porte, tipo e tamanho. c) Pessoas, porte e tamanho. d) Pessoas, processos e tamanho. e) Tecnologia, processos e tipo. Resposta Estrutura da Segurança da Informação Fonte: autoria própria. O quê? Estrutura da Segurança da Informação Fonte: autoria própria. Demandas do negócio Respostas às mudanças no negócio Informações, conhecimento e inteligência do negócio Responsabilidades do negócio Definição das tecnologias de segurança Usos de criptografia Mecanismos de autenticação Trilhas de auditoria Teste, produção e homologação Área de Segurança da Informação Suporte à tecnologia Desenvolvimento de soluções Manutenção e gerenciamento de mudanças Fábrica de software Serviço de suporte Gerenciamento de fornecedores e terceiros Responsabilidades da TI Sistema de Gestão da Segurança da Informação Fonte: Bastos; Caubit (2009, p. 32). Partes interessadas Requisitos de Segurança da Informação e expectativas DO Implementar e operar o ISMS PLAN Estabelecer o ISMS ACT Manter e melhorar o ISMS CHECK Manter e rever o ISMS Partes Interessadas Segurança da Informação Gerenciada Fonte: autoria própria. Sistema de Gestão da Segurança da Informação Fonte: Bastos; Caubit (2009, p. 33). Estabelecer o SGSI Implementar o SGSI Manter o SGSI Monitorar e melhorar o SGSI Sistema de Gestão da Segurança da Informação – Etapas Fonte: Adaptado de: Brasil (2013). Análise de posição Sumário executivo Definição do escopo Definição das equipes Plano de projeto Contexto da organização Liderança Planejamento Suporte Operação Avaliação Melhoria contínua Plano de capacitação Treinamento Programa de conscientização Plano de testes Testes e validação Plano de auditoria Auditoria PLANEJAR IMPLEMENTAR CAPACITAR AUDITAR Sistema de Gestão da Segurança da Informação – Fatores de sucesso Fatores Críticos de Sucesso do SGSI Comprometimento e apoio visíveis pela alta administração. Escolha do Gerente do Projeto de Preparação para Certificação. Unificação conceituai nos vários níveis dos participantes (usuários e gestores) sob o perímetro de abrangência do escopo e os princípios do SGSI. Definição clara do escopo do sistema de gestão de segurança da informação. Definir a abordagem para a implementação da segurança da informação consistente com a cultura organizacional; Divulgação das diretrizes da política de segurança e padrões para todos os funcionários, cliente e terceiros. Ativos identificados e controle de ativos (inventário) mantido atualizado. Análise/avaliação de riscos executada e resultados documentados. Fonte: Adaptado de: Bastos; Caubit (2009, p. 36-37). conceitual clientes e terceiros. Sistema de Gestão da Segurança da Informação – Modelo de maturidade Fonte: Adaptado de: Bastos; Caubit (2009, p. 38). Sistema de Gestão da Segurança da Informação – Atividades Definição do escopo da certificação Elaboração da política de Segurança da Informação Realização da análise/avaliação de riscos e elaboração do plano de tratamento dos riscos Fonte: autoria própria. Sistema de Gestão da Segurança da Informação – Etapas de Implantação Fonte: Adaptado de: Bastos; Caubit (2009, p. 42). Etapa 2 Etapa 1 Etapa 3 Etapa 4 Etapa 5 Etapa 6 Definir o escopo do SGSI Definir a política de SI Executar a análise/avaliação de riscos Aprovar os riscos Selecionar os objetivos de controle e os controles a serem implementados Preparar a declaração de aplicabilidade Declaração de aplicabilidade Plano de tratamento do risco Nível de risco aceitável definido e aprovado Relatório de avaliação de riscos Documento da política Documento escopo do SGSIEstabelecimento de limites de cobertura das proteções Diretrizes da organização Ameaças, vulnerabilidades e impactos Abordagem da organização para o gerenciamento do risco. Grau de segurança requerido pela organização Anexo A da ISO 27001: objetivos de controle, controles adicionais não presentes na ISO 27001 Justificativa da aplicação dos controles do Anexo A Documentos e registros do SGSI na fase de preparação. Quais são as etapas do Sistema de Gestão da Segurança da Informação – SGSI? a) Preparar, Manter, Abordar e Melhorar. b) Planejar, Definir, Implantar e Manter. c) Planejar, Organizar, Manter e Melhorar. d) Organizar, Estruturar, Manter e Melhorar. e) Planejar, Implementar, Capacitar e Auditar. Interatividade Quais são as etapas do Sistema de Gestão da Segurança da Informação – SGSI? a) Preparar, Manter, Abordar e Melhorar. b) Planejar, Definir, Implantar e Manter. c) Planejar, Organizar, Manter e Melhorar. d) Organizar, Estruturar, Manter e Melhorar. e) Planejar, Implementar, Capacitar e Auditar. Resposta Sistema de Gestão da Segurança da Informação – ElementosFonte: Adaptado de: Bastos; Caubit (2009, p. 43). Sistema de Gestão da Segurança da Informação – Gestão Fonte: Adaptado de: Bastos; Caubit (2009, p. 51). Afetando nos negócios da Exploram Que podem causar incidentes que geram São implementados nos Que podem apresentar Quando não implementadas abrem a procedência para Que são tratadas por meio de Possui ORGANIZAÇÃO ATIVOS IMPACTOS AMEAÇAS CONTROLES VULNERABI- LIDADES Sistema de Gestão da Segurança da Informação – Monitoramento Auditoria Monitoramento Análise crítica do SGSI pela direção Sistema de Gestão da Segurança da Informação – Auditoria Fonte: Adaptado de: Bastos; Caubit (2009, p. 50). Tipo de Auditoria Formato Interna É uma autoavaliação, análise executada por uma área interna independente, porém dentro da própria organização, verificando a adequação, eficiência e eficácia dos sistemas de gestão, e da qualidade do desempenho operacional das demais áreas em relação aos seus objetivos, planos, metas e ao comportamento frente às políticas definidas, e normas e legislações estabelecidas. Externa Realizada por empresa independente (Órgão Certificador, por exemplo) que avalia a existência, adequação e eficácia dos requisitos da norma, avaliando ou não a aderência à referida norma, que resulta em um selo de certificação de aderência, renovável em ciclos predeterminados. Sistema de Gestão da Segurança da Informação – Indicadores de auditoria Necessidade de comparação com o padrão internacional, testando a sua conformidade e eficácia. Verificação de fornecedores de serviços críticos que compõem parte de seu processo produtivo no cumprimento das regras previstas na relação contratual. Análise para comprovar se o SGSI deste fornecedor continua a atender aos requisitos mínimos estabelecidos durante a negociação do contrato a ser estabelecido. Sistema de Gestão da Segurança da Informação – Atores – Auditoria Cliente ou executivo patrocinador: aquele que solicita ou contrata a auditoria. Auditor: profissional preparado para auditar. Auditor líder: auditor designado para liderar e conduzir a auditoria. Auditado: aquele que está sendo avaliado. Guia: funcionário da empresa auditada, que faz o papel de ligação entre os auditores e os auditados. Especialista técnico: especialista em determinado assunto da auditoria que faz o papel de apoio aos auditores. Fonte: Adaptado de: Bastos; Caubit (2009, p. 126). Sistema de Gestão da Segurança da Informação – Auditoria Fonte: Adaptado de: Bastos; Caubit (2009, p. 130). Programa Lista de verificação Agenda Plano de trabalho Reunião de abertura Avaliação Reunião de encerramento Resumo das ocorrências Relatório das não conformidades Início Programação Preparação Planejamento detalhado Acompanha- mento de ações corretivas Revisão das não conformidades e plano de ação Relato dos resultados Condução FIM Sistema de Gestão da Segurança da Informação – Auditoria – Encerramento Procedimento para a reunião de encerramento Agradecer à organização auditada por sua ajuda e cooperação (não mencionar qualquer problema que, eventualmente, tenha ocorrido). Dar um breve resumo da auditoria, explicando que ela se baseou em pequenas amostras. Reapresentar a equipe e esclarecer o propósito da auditoria, e o método usado para informar qualquer pessoa que não tenha participado da reunião de abertura. Esclarecer que, embora muitos pontos tenham sido encontrados em conformidade, somente as não conformidades serão relatadas. Solicitar que cada membro da equipe apresente o seu parecer em relação à área auditada, tratando somente de não conformidades, sem “enfeites”, evitando numerar os parágrafos (use títulos ou marcadores). Dar um resumo e uma conclusão da auditoria. Convidar os representantes da organização auditada para discutir os pontos específicos, se for o caso. Acordar as datas para a apresentação das respostas para as ações corretivas necessárias. Explicar as medidas de supervisão a serem tomadas, se for cabível. Distribuir as cópias dos relatórios individuais de não conformidades e do relatório final. Este relatório pode ser manuscrito para esta ocasião e deve ser seguido de uma cópia impressa após um curto período (até cinco dias, no máximo). Fonte: Adaptado de: Bastos; Caubit (2009, p. 135). Sistema de Gestão da Segurança da Informação – Auditoria – Ocorrência Fonte: Adaptado de: Bastos; Caubit (2009, p. 147). Realizada por uma empresa independente (Órgão Certificador) que avalia a existência, a adequação e a eficácia dos requisitos da norma. Essa auditoria é chamada de: a) Interna. b) Externa. c) De manutenção. d) De expansão. e) De inspeção. Interatividade Realizada por uma empresa independente (Órgão Certificador) que avalia a existência, a adequação e a eficácia dos requisitos da norma. Essa auditoria é chamada de: a) Interna. b) Externa. c) De manutenção. d) De expansão. e) De inspeção. Resposta ATÉ A PRÓXIMA!
Compartilhar