Slides de Aula I-1

Prévia do material em texto

Prof. Me. Ricardo Sewaybriker
UNIDADE I
Gestão da Segurança 
da Informação
Introdução à Segurança da Informação
 
Fonte: autoria própria.
Conceitos de Segurança da Informação
 
Fonte: autoria própria.
Conceitos de Segurança da Informação
 
Fonte: autoria própria.
Ciclo de vida da informação 
 
Fonte: autoria própria.
Componentes de Segurança da Informação 
Proteções
Valor 
Ameaças Vulnerabilidade 
Impacto 
Risco
Fonte: autoria própria.
Componentes de Segurança da Informação 
Fonte: autoria própria.
Firewalls
Componentes de Segurança da Informação 
Fonte: autoria própria.
Diminui danos causados
Origem dos problemas e estratégia de proteção
Fonte: autoria própria.
A origem dos problemas de segurança está baseada em três fontes diferentes, quais são elas?
a) Natural, anormal e humana. 
b) Acidental, humana e tecnológica.
c) Natural, acidental e intencional.
d) Intencional, humana e anormal. 
e) Acidental, anormal e tecnológica.
Interatividade
A origem dos problemas de segurança está baseada em três fontes diferentes, quais são elas?
a) Natural, anormal e humana. 
b) Acidental, humana e tecnológica.
c) Natural, acidental e intencional.
d) Intencional, humana e anormal. 
e) Acidental, anormal e tecnológica.
Resposta
Classificação da informação – Categoria
Fonte: autoria própria.
Classificação da informação – Benefícios 
Fonte: autoria própria.
é facilitado.
Classificação da informação – Níveis 
Fonte: Brasil (2002).
Ultrassecretos
devem ser de conhecimento restrito, cuja
ou referidos.
comprometer planos, operações ou objetivos, neles
Classificação da informação – Tipo 
Fonte: Beal (2008, p. 69).
Classificação da informação – Segmentação 
 
Fonte: autoria própria.
Ativos Físicos, Software e Serviços
Classificação da informação – Esferas 
 
Fonte: autoria própria.
Backups
Classificação da informação – Práticas
Fonte: autoria própria.
Estrutura da Segurança da Informação 
Fonte: autoria própria.
Fonte: autoria própria.
Terminal
Terminal
Terminal
Terminal
Terminal
Internet
FW
Solaris
FW
Win2K
Web
Win2K
Database
HP-UX
Database
AIX
OS/390
Filial
Matriz
FW
Appliance
DNS
Linux
Parceiros
DMZ
Novell
Filial
Win2K
Mail
Novell
Win2K
Mail
Novell
Filial
Win2K
Mail
TerminalTerminal
CPD
Mainframe
Estrutura da Segurança da Informação 
Fonte: autoria própria.
Fonte: autoria própria.
Vice-presidência
Comitê de
Segurança Auditoria
Interna
Área de 
Negócios
Área de 
Negócios
Tecnologia da
Informação
Área de 
Segurança
da Informação
Comitê de
Segurança
Vice-
presidência
Auditoria
Interna
Área de 
Segurança da 
Informação
Tecnologia da 
Informação
Área de 
Negócios
Área de 
Negócios
Podemos segmentar a classificação das informações por: 
a) Pessoas, processos e tecnologia. 
b) Porte, tipo e tamanho.
c) Pessoas, porte e tamanho.
d) Pessoas, processos e tamanho. 
e) Tecnologia, processos e tipo.
Interatividade
Podemos segmentar a classificação das informações por: 
a) Pessoas, processos e tecnologia. 
b) Porte, tipo e tamanho.
c) Pessoas, porte e tamanho.
d) Pessoas, processos e tamanho. 
e) Tecnologia, processos e tipo.
Resposta
Estrutura da Segurança da Informação 
Fonte: autoria própria.
O quê?
Estrutura da Segurança da Informação 
Fonte: autoria própria.
Demandas do negócio
Respostas às mudanças 
no negócio
Informações, conhecimento 
e inteligência do negócio
Responsabilidades do
negócio
Definição das tecnologias
de segurança
Usos de criptografia
Mecanismos de autenticação
Trilhas de auditoria
Teste, produção e homologação
Área de Segurança 
da Informação
Suporte à tecnologia
Desenvolvimento de
soluções
Manutenção e gerenciamento
de mudanças
Fábrica de software
Serviço de suporte
Gerenciamento de
fornecedores e terceiros
Responsabilidades da TI
Sistema de Gestão da Segurança da Informação
Fonte: Bastos; Caubit (2009, p. 32).
Partes
interessadas
Requisitos de
Segurança da
Informação e
expectativas
DO
Implementar e 
operar o ISMS
PLAN
Estabelecer o
ISMS
ACT
Manter e
melhorar o 
ISMS
CHECK
Manter e
rever o ISMS
Partes
Interessadas
Segurança da
Informação
Gerenciada
Fonte: autoria própria.
Sistema de Gestão da Segurança da Informação
Fonte: Bastos; Caubit (2009, p. 33).
Estabelecer o
SGSI
Implementar o
SGSI
Manter o
SGSI
Monitorar e
melhorar o SGSI
Sistema de Gestão da Segurança da Informação – Etapas
Fonte: Adaptado de: Brasil (2013).
Análise de posição
Sumário executivo
Definição do escopo
Definição das equipes
Plano de projeto
Contexto da organização
Liderança
Planejamento
Suporte
Operação
Avaliação
Melhoria contínua
Plano de capacitação
Treinamento
Programa de
conscientização
Plano de testes
Testes e validação
Plano de auditoria
Auditoria
PLANEJAR IMPLEMENTAR CAPACITAR AUDITAR
Sistema de Gestão da Segurança da Informação – Fatores de sucesso 
Fatores Críticos de Sucesso do SGSI 
 
Comprometimento e apoio visíveis pela alta administração. 
 
Escolha do Gerente do Projeto de Preparação para Certificação. 
 
 
Unificação conceituai nos vários níveis dos participantes (usuários e 
gestores) sob o perímetro de abrangência do escopo e os princípios do 
SGSI. 
 
 
Definição clara do escopo do sistema de gestão de segurança da 
informação. 
 
 
Definir a abordagem para a implementação da segurança da informação 
consistente com a cultura organizacional; 
 
 
Divulgação das diretrizes da política de segurança e padrões para todos 
os funcionários, cliente e terceiros. 
 
 
Ativos identificados e controle de ativos (inventário) mantido atualizado. 
 
 
Análise/avaliação de riscos executada e resultados documentados. 
 
 
Fonte: Adaptado de: Bastos; Caubit (2009, p. 36-37).
conceitual
clientes e terceiros.
Sistema de Gestão da Segurança da Informação – Modelo de maturidade
Fonte: Adaptado de: Bastos; Caubit (2009, p. 38).
Sistema de Gestão da Segurança da Informação – Atividades 
Definição do escopo 
da certificação
Elaboração da 
política de 
Segurança da 
Informação
Realização da 
análise/avaliação de 
riscos e elaboração 
do plano de 
tratamento dos 
riscos
Fonte: autoria própria.
Sistema de Gestão da Segurança da Informação – Etapas de Implantação
Fonte: Adaptado de: Bastos; Caubit (2009, p. 42).
Etapa 2
Etapa 1
Etapa 3
Etapa 4
Etapa 5
Etapa 6
Definir o 
escopo
do SGSI
Definir a 
política de SI
Executar a 
análise/avaliação 
de riscos
Aprovar os 
riscos
Selecionar os
objetivos de
controle e os
controles a serem 
implementados
Preparar a
declaração de
aplicabilidade
Declaração de
aplicabilidade
Plano de 
tratamento
do risco
Nível de risco
aceitável definido 
e aprovado
Relatório de
avaliação de 
riscos
Documento da
política
Documento 
escopo
do SGSIEstabelecimento de 
limites de
cobertura das proteções
Diretrizes da organização
Ameaças, 
vulnerabilidades
e impactos
Abordagem da organização 
para o gerenciamento do 
risco.
Grau de segurança 
requerido pela organização
Anexo A da ISO 27001:
objetivos de controle,
controles adicionais não
presentes na ISO 27001
Justificativa da aplicação 
dos controles do Anexo 
A
Documentos e
registros do
SGSI na fase
de preparação.
Quais são as etapas do Sistema de Gestão da Segurança da Informação – SGSI?
a) Preparar, Manter, Abordar e Melhorar. 
b) Planejar, Definir, Implantar e Manter. 
c) Planejar, Organizar, Manter e Melhorar.
d) Organizar, Estruturar, Manter e Melhorar. 
e) Planejar, Implementar, Capacitar e Auditar. 
Interatividade
Quais são as etapas do Sistema de Gestão da Segurança da Informação – SGSI?
a) Preparar, Manter, Abordar e Melhorar. 
b) Planejar, Definir, Implantar e Manter. 
c) Planejar, Organizar, Manter e Melhorar.
d) Organizar, Estruturar, Manter e Melhorar. 
e) Planejar, Implementar, Capacitar e Auditar. 
Resposta
Sistema de Gestão da Segurança da Informação – ElementosFonte: Adaptado de: Bastos; Caubit (2009, p. 43).
Sistema de Gestão da Segurança da Informação – Gestão
Fonte: Adaptado de: Bastos; Caubit (2009, p. 51).
Afetando nos
negócios da
Exploram
Que podem 
causar incidentes 
que geram
São implementados
nos
Que podem
apresentar
Quando não
implementadas
abrem a 
procedência
para
Que são tratadas
por meio de
Possui
ORGANIZAÇÃO
ATIVOS
IMPACTOS
AMEAÇAS
CONTROLES
VULNERABI-
LIDADES
Sistema de Gestão da Segurança da Informação – Monitoramento 
Auditoria 
Monitoramento 
Análise 
crítica do 
SGSI pela 
direção
Sistema de Gestão da Segurança da Informação – Auditoria 
Fonte: Adaptado de: Bastos; Caubit (2009, p. 50).
Tipo de Auditoria Formato
Interna
É uma autoavaliação, análise executada por uma área interna independente,
porém dentro da própria organização, verificando a adequação, eficiência e 
eficácia dos sistemas de gestão, e da qualidade do desempenho operacional das 
demais áreas em relação aos seus objetivos, planos, metas e ao comportamento 
frente às políticas definidas, e normas e legislações estabelecidas. 
Externa
Realizada por empresa independente (Órgão Certificador, por exemplo) que avalia 
a existência, adequação e eficácia dos requisitos da norma, avaliando ou não a 
aderência à referida norma, que resulta em um selo de certificação de aderência, 
renovável em ciclos predeterminados.
Sistema de Gestão da Segurança da Informação – Indicadores de auditoria 
Necessidade de comparação com o padrão 
internacional, testando a sua conformidade 
e eficácia. 
Verificação de fornecedores de serviços críticos 
que compõem parte de seu processo produtivo 
no cumprimento das regras previstas na relação 
contratual.
Análise para comprovar se o SGSI deste 
fornecedor continua a atender aos requisitos 
mínimos estabelecidos durante a negociação do 
contrato a ser estabelecido. 
Sistema de Gestão da Segurança da Informação – Atores – Auditoria 
Cliente ou executivo patrocinador: aquele que solicita ou contrata a 
auditoria. 
Auditor: profissional preparado para auditar.
Auditor líder: auditor designado para liderar e conduzir a auditoria.
Auditado: aquele que está sendo avaliado.
Guia: funcionário da empresa auditada, que faz o papel de ligação 
entre os auditores e os auditados.
Especialista técnico: especialista em determinado assunto da
auditoria que faz o papel de apoio aos auditores.
Fonte: Adaptado de: Bastos; Caubit (2009, p. 126).
Sistema de Gestão da Segurança da Informação – Auditoria
Fonte: Adaptado de: Bastos; Caubit (2009, p. 130).
Programa 
Lista de
verificação 
Agenda
Plano de 
trabalho
Reunião de 
abertura
Avaliação
Reunião de 
encerramento
Resumo das 
ocorrências
Relatório das não
conformidades
Início
Programação
Preparação
Planejamento
detalhado
Acompanha-
mento de ações 
corretivas
Revisão das 
não 
conformidades 
e plano de ação
Relato dos
resultados
Condução
FIM
Sistema de Gestão da Segurança da Informação – Auditoria – Encerramento
Procedimento para a reunião de encerramento
Agradecer à organização auditada por sua ajuda e cooperação (não mencionar
qualquer problema que, eventualmente, tenha ocorrido).
Dar um breve resumo da auditoria, explicando que ela se baseou em pequenas
amostras.
Reapresentar a equipe e esclarecer o propósito da auditoria, e o método usado
para informar qualquer pessoa que não tenha participado da reunião de abertura.
Esclarecer que, embora muitos pontos tenham sido encontrados em
conformidade, somente as não conformidades serão relatadas.
Solicitar que cada membro da equipe apresente o seu parecer em relação à área
auditada, tratando somente de não conformidades, sem “enfeites”, evitando
numerar os parágrafos (use títulos ou marcadores).
Dar um resumo e uma conclusão da auditoria.
Convidar os representantes da organização auditada para discutir os pontos
específicos, se for o caso.
Acordar as datas para a apresentação das respostas para as ações corretivas
necessárias.
Explicar as medidas de supervisão a serem tomadas, se for cabível.
Distribuir as cópias dos relatórios individuais de não conformidades e do relatório
final. Este relatório pode ser manuscrito para esta ocasião e deve ser seguido de
uma cópia impressa após um curto período (até cinco dias, no máximo).
Fonte: Adaptado de: Bastos; Caubit (2009, p. 135).
Sistema de Gestão da Segurança da Informação – Auditoria – Ocorrência
Fonte: Adaptado de: Bastos; Caubit (2009, p. 147).
Realizada por uma empresa independente (Órgão Certificador) que avalia a existência, a 
adequação e a eficácia dos requisitos da norma. Essa auditoria é chamada de:
a) Interna. 
b) Externa. 
c) De manutenção. 
d) De expansão. 
e) De inspeção.
Interatividade
Realizada por uma empresa independente (Órgão Certificador) que avalia a existência, a 
adequação e a eficácia dos requisitos da norma. Essa auditoria é chamada de:
a) Interna. 
b) Externa. 
c) De manutenção. 
d) De expansão. 
e) De inspeção.
Resposta
ATÉ A PRÓXIMA!