www.CompanyWeb.com.br
www.CompanyWeb.com.br
A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento
em Governança e Ge...
www.CompanyWeb.com.br
Uires Tapajós | Consultor e Professor
Uires.Tapajos@CompanyWeb.com.br | http://www.LinkedIn.com/In/U...
www.CompanyWeb.com.br
Governança e Gestão da Tecnologia da Informação
Gestão de Serviços de TI (ITIL/ISO 20000)
Melhoria d...
www.CompanyWeb.com.br
Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation/
Obj...
www.CompanyWeb.com.br
www.CompanyWeb.com.br 7
www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
www.CompanyWeb.com.br
Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
9
www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
www.CompanyWeb.com.br
Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
11
www.CompanyWeb.com.br 12
www.CompanyWeb.com.br 13
www.CompanyWeb.com.br
A Informação é um bem que, à semelhança de outros
bens do negócio, tem valor para uma organização e
...
www.CompanyWeb.com.br
O Bem é algo que tem valor para a organização.
Exemplos
Pessoas
Máquinas
Produtos
Edifícios
15
www.CompanyWeb.com.br
Impressa, escrita
em papel
Transmitida por
meios eletrônicos
Armazenada
eletronicamente
Mostrada em ...
www.CompanyWeb.com.br
Internas
• Não pode ‘vazar’ para o mercado/público
Clientes e Fornecedores
• Não pode ‘vazar’ para o...
www.CompanyWeb.com.br
Informação
A Informação existe em várias formas.
Qualquer que seja a forma que a
Informação adote, o...
www.CompanyWeb.com.br
Armazenada:
• são considerados dados armazenados os que residem em notebooks, desktops e
servidores;...
www.CompanyWeb.com.br
Transferir e processar informações ocorre por meio de um
sistema de informação, o que não é necessar...
www.CompanyWeb.com.br 21
www.CompanyWeb.com.br 22
www.CompanyWeb.com.br
www.CompanyWeb.com.br 24
www.CompanyWeb.com.br 25
www.CompanyWeb.com.br
Classificação
Define os diferentes níveis
de sensibilidade nos quais
as diversass informações
podem ...
www.CompanyWeb.com.br 27
www.CompanyWeb.com.br 28
www.CompanyWeb.com.br 29
www.CompanyWeb.com.br 30
www.CompanyWeb.com.br 31
Vídeo: http://www.youtube.com/watch?v=_3zgNMr_8zcFoto: Empire State Building
Quais são os Tipos d...
www.CompanyWeb.com.br 32
www.CompanyWeb.com.br 33
www.CompanyWeb.com.br 34
www.CompanyWeb.com.br
SGSI - Sistema de Gestão da Segurança Informação
 É uma parte do sistema global de gestão, baseado ...
www.CompanyWeb.com.br
Controle
forma de gerenciar o risco, incluindo políticas,
procedimentos, diretrizes, práticas ou est...
www.CompanyWeb.com.br
ISO 27001 | Controle
- definição do controle.
ISO 27002 | Diretrizes para a implementação
- informaç...
www.CompanyWeb.com.br
ISO 27001
Objetivos de Controle e Controles
38
www.CompanyWeb.com.br 39
www.CompanyWeb.com.br
40
www.CompanyWeb.com.br
ISO 27001
Objetivos de Controle e Controles
EXEMPLO
41
www.CompanyWeb.com.br
ISO 27002
Diretrizes para a implementação
EXEMPLO
42
www.CompanyWeb.com.br
Deve-se:
 Definir um plano de
tratamentos de risco que
identifique as atividades de gestão
apropria...
www.CompanyWeb.com.br 44
www.CompanyWeb.com.br
declaração de aplicabilidade
declaração documentada que descreve os objetivos
de controle e controle...
www.CompanyWeb.com.br 46
www.CompanyWeb.com.br
1. Estabelecer o SGSI
Estabelecer política
de segurança,
objetivos, metas,
processos e
procedimentos...
www.CompanyWeb.com.br
PLAN - Planejar
•Definição dos objetivos, metas, processos,
procedimentos
•Estabelecer política de s...
www.CompanyWeb.com.br
49
www.CompanyWeb.com.br
A política de segurança é um conjunto de normas e
diretrizes destinadas a proteção dos ativos da
Org...
www.CompanyWeb.com.br 51
www.CompanyWeb.com.br
Levantamento de
Informações
Fase I
Desenvolvimento
do Conteúdo da
Política e Normas
de Segurança
Fas...
www.CompanyWeb.com.br
Segurança
da
Informação
Realizando a
Segurança da
Informação
53
www.CompanyWeb.com.br
Política,
organização,
avaliação de
riscos, declaração
de aplicabilidade
Descrevi o processo -
quem,...
www.CompanyWeb.com.br
1995
• BS 7799
Parte 1
1998
• BS 7799
Parte 2
1999
• Nova
edição da
BS 7799
Parte 1 e
2
2000
• ISO
1...
www.CompanyWeb.com.br 56
www.CompanyWeb.com.br 57
www.CompanyWeb.com.br 58
www.CompanyWeb.com.br
O que é a segurança da Informação?
É a preservação da
Confidencialidade,
Integridade e Disponibilida...
www.CompanyWeb.com.br
CID
 Requisitos de Qualidade
 Requisitos de Segurança
60
www.CompanyWeb.com.br
 Proteção das informações sensíveis a divulgação;
 É o grau no qual o acesso a informação é RESTRI...
www.CompanyWeb.com.br 62
www.CompanyWeb.com.br
Integridade
É o grau no qual a informação está atualizada e sem erros.
Exatidão (informação correta)...
www.CompanyWeb.com.br
Disponibilidade
É o grau no qual a informação está disponível para o usuário e para o sistema
de inf...
www.CompanyWeb.com.br 65
www.CompanyWeb.com.br 66
www.CompanyWeb.com.br 67
www.CompanyWeb.com.br
Riscos
Grau de
proteção
A implementação de segurança tem que ser um compromisso entre o risco, o
gra...
www.CompanyWeb.com.br
Desmotivadas
Descontentes
‘Terroristas’
Aumento de
Demanda
Sem politica de
Segurança
Inexistência de...
www.CompanyWeb.com.br
70
www.CompanyWeb.com.br 71
www.CompanyWeb.com.br 72
www.CompanyWeb.com.br
Disponibilidade
Confidencialidade
Integridade
Segurança
Segurança
Segurança
Segurança
 Fatores/situ...
www.CompanyWeb.com.br
Natural
•incêndio
•Inudação
Pessoas
•Fraude
•Funcionário divulgar
informação sigilosa
Tecnologia
Hac...
www.CompanyWeb.com.br
São fraquezas
associadas aos Ativos
da organização.
75
www.CompanyWeb.com.br 76
Falta de
monitora
mento da
infra-
estrutura
Falta de
backup
Energia
elétrica
instável
Falta de
se...
www.CompanyWeb.com.br 77
www.CompanyWeb.com.br 78
www.CompanyWeb.com.br
www.CompanyWeb.com.br 80
www.CompanyWeb.com.br
É o potencial que uma dada ameaça irá explorar
vulnerabilidades para causar perda ou dano a um Ativo...
www.CompanyWeb.com.br 82
www.CompanyWeb.com.br
83
Análise de Riscos
• 1) Identificar Ativos e seus valores
• 2) Determinar Ameaças e Vulnerabilidad...
www.CompanyWeb.com.br 84
www.CompanyWeb.com.br
Impacto: Resultado ou efeito decorrente da
materialização do Risco.
Limitações: Julgamento Humano, C...
www.CompanyWeb.com.br
Responsáveis
 Information Security Officer (ISO)
 Chief Information Security Officer (CISO)
É o pr...
www.CompanyWeb.com.br 87
www.CompanyWeb.com.br
• Reduz a ameaça antes de ela se manifestar
Redutiva
• Torna a ameaça impossível antes de ela se man...
www.CompanyWeb.com.br
Ameaça
Prevenção
Garantia Aceitação
Incidente
Fonte: The Basics of Information Security - A Practica...
www.CompanyWeb.com.br
 infra-estrutura (TI e não TI), natural (desastre
natural)
 com ou sem engenharia social
 hacker,...
www.CompanyWeb.com.br
Dano Direto
Dano Indireto
Expectativa de Perda Anual
Expectativa de Perda Única
91
Roubo, furto
ex.:...
www.CompanyWeb.com.br
Aceitar (Risk Bearing)
• A organização vai optar por medidas de segurança
repressivas.
Neutralizar/R...
www.CompanyWeb.com.br
A retenção do risco talvez seja o método mais comum de se lidar com
riscos.
Organizações, assim como...
www.CompanyWeb.com.br 94
www.CompanyWeb.com.br 95
www.CompanyWeb.com.br 96
www.CompanyWeb.com.br 97
www.CompanyWeb.com.br
Você está preparado para o próximo Incidente
de Segurança?
98
 Documento
confidencial sem
proteção
...
www.CompanyWeb.com.br 99
www.CompanyWeb.com.br
 Os funcionários devem reportar os
incidentes o mais rápido possível.
 Normalmente via helpdesk/se...
www.CompanyWeb.com.br
Funcional: Transfere um incidente ou um problema para uma equipe técnica
com nível mais especializad...
www.CompanyWeb.com.br 102
www.CompanyWeb.com.br 103
www.CompanyWeb.com.br
Reduz o impacto ou probabilidade de uma ameaça antes
dela gerar um incidente
Redutivas
Aplicadas ant...
www.CompanyWeb.com.br
1 – Ameaça 2 - Incidente 3 - Dano 4 - Recuperação
Medidas:
Prevenir (medidas preventivas), reduzir a...
www.CompanyWeb.com.br
•Desenvolve a estratégia geral de segurança para a
empresa inteira
•Superintendente de Segurança da ...
www.CompanyWeb.com.br 107
www.CompanyWeb.com.br 108
www.CompanyWeb.com.br
• Inclui cuidados para não haver interferências
Medidas para cabeamento
• Anel externo | Proteção em...
www.CompanyWeb.com.br
Ativo
Área de trabalho
Prédios
Anel externo
As medidas de segurança não devem ser iniciadas nas
esta...
www.CompanyWeb.com.br
Inclui cuidados com manuseio de pen-drives,
smartphones, cartões de memória, laptops, que
armazenam ...
www.CompanyWeb.com.br
1) Gerenciamento de acesso lógico;
2) Requisitos de segurança para os sistemas;
3) Criptografia.
112
www.CompanyWeb.com.br
• A política de controle de acesso é determinada pelo proprietário (owner) do recurso.
Controle de a...
www.CompanyWeb.com.br 114
www.CompanyWeb.com.br
A informação é codificada para não ser lida por pessoas não autorizadas
•Existe um algoritmo e uma c...
www.CompanyWeb.com.br
Diz respeito ao trabalho dos funcionários na
organização, políticas, plano de continuidade,
sistema ...
www.CompanyWeb.com.br
Sistema de Gestão da Segurança da Informação (SGSI)
•A ISO 27001 ajuda a definir uma estrutura para ...
www.CompanyWeb.com.br
http://www.youtube.com/watch?v=vkMIMdeuOFQ&feature=related
Visa garantir a continuidade das operaçõe...
www.CompanyWeb.com.br
• A teoria darwiniana está sempre presente nas estatísticas.
• São as empresas mais aptas que sobrev...
www.CompanyWeb.com.br 120
www.CompanyWeb.com.br
Gerenciamento da Continuidade do Negócio
• Envolve manter disponibilidade dos sistemas de informação...
www.CompanyWeb.com.br
 Documentar procedimentos de operação dos equipamentos e quem são os responsáveis.
• A segregação d...
www.CompanyWeb.com.br
Termo genérico para software malicioso; Pode ser um vírus, worm, trojan ou sypwareMalware
Uma forma ...
www.CompanyWeb.com.br
1. ISO 27002:2005
2. Conformidade
3. Propriedade intelectual
4. Proteção de dados pessoais
5. Preven...
www.CompanyWeb.com.br
• É um código de boas práticas para a segurança da informação; Há práticas que ajudam a atender a le...
www.CompanyWeb.com.br
www.CompanyWeb.com.br
contato@CompanyWeb.com.br
11 3532-1076
twitter.com/companyweb
slideshare.net/c...
Próximos SlideShares
Carregando em…5
×

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation

16.970 visualizações

Publicada em

Objetivo

A norma ISO/IEC 27002 é um padrão internacional para Gestão de Segurança da Informação.

O objetivo deste treinamento é preparar os participantes para o Exame de Certificação Information Security Foundation based on ISO/IEC 27002 (Fundamentos da Segurança da Informação baseada na ISO/IEC 27002).

É abordado todo o conteúdo do exame de certificação, com exercícios e um simulado.

Conteúdo Programático (100% aderente ao Exame de Certificação: ISO/IEC 27002 Foundation)
 
1 Informação e Segurança (10%)
1.1 O conceito de informação (2,5%)
1.2 Valor da informação (2,5%)
1.3 Aspectos de confiabilidade (5%)
2. Ameaças e riscos (30%)
2.1 Ameaça e risco (15%)
2.2 Relacionamento entre ameaças, riscos e confiabilidade das informações. (15%)
3. Abordagem e Organização (10%)
3.1 Política de Segurança e organização de segurança (2,5%)
3.2 Componentes da organização da segurança (2,5%)
3.3 Gerenciamento de Incidentes (5%)
4. Medidas (40%)
4.1 Importância das medidas de segurança (10%)
4.2 Medidas de segurança física (10%)
4.3 Medidas de ordem técnica (10%)
4.4 Medidas organizacionais (10%)
5. Legislação e regulamentação (10%)
5.1 Legislação e regulamentos (10%)
6- Exercícios
7- Simulado

Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation

Acesse o Resumo com todos os Controles da ISO 27001:
http://www.slideshare.net/companyweb/iso-27001controlesv100

Facilitador

Uires Tapajós | Consultor e Professor

Uires.Tapajos@CompanyWeb.com.br | http://www.LinkedIn.com/In/Uires/

Especialista em GRC - Governança, Risco e Comformidade;
Possui a CGEIT (Certified in the Governance of Enterprise Information Technology) emitida pelo ISACA e outras certificações.

Publicada em: Negócios
1 comentário
22 gostaram
Estatísticas
Notas
Sem downloads
Visualizações
Visualizações totais
16.970
No SlideShare
0
A partir de incorporações
0
Número de incorporações
9.296
Ações
Compartilhamentos
0
Downloads
0
Comentários
1
Gostaram
22
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation

  1. 1. www.CompanyWeb.com.br
  2. 2. www.CompanyWeb.com.br A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento em Governança e Gestão de TI (Governança de Tecnologia da Informação, Gestão por Processos, e Engenharia de Software). Nossos principais clientes são: Petrobras, Banco do Brasil, Ambev, Correios, JBS Friboi, Aços Villares, Serasa, Honda, Gerdau, Medley, Yamaha, Bertin, Banco Bradesco, Tribunal Regional Eleitoral de São Paulo, Bradesco Seguros, Coca-cola, Sabesp, Nova Schin, Novartis, Comgás, Cervejaria Petrópolis e outros. 2
  3. 3. www.CompanyWeb.com.br Uires Tapajós | Consultor e Professor Uires.Tapajos@CompanyWeb.com.br | http://www.LinkedIn.com/In/Uires/ • Especialista em GRC - Governança, Risco e Conformidade; • Possui a CGEIT (Certified in the Governance of Enterprise Information Technology) emitida pelo ISACA e outras certificações. Facilitador 3
  4. 4. www.CompanyWeb.com.br Governança e Gestão da Tecnologia da Informação Gestão de Serviços de TI (ITIL/ISO 20000) Melhoria de Processos Implantação de Escritório de Projetos com as melhores práticas do PMI® Gestão de Risco Segurança da Informação | ISO 27001 Projetos para adoção das melhores práticas: COBIT, ITIL, SCRUM, eSCM, PMBOK, BSC, COSO, CBOK, BABOK, FDD, TDD, SOX, DRP (PCN) Governança & Gestão da TI: GRC (Governança, Risco e Compliance): . Gestão de Risco com COSO . Gestão de Risco de TI . Segurança da Informação com ISO 27001 Governança e Gestão de Serviços de TI: . Certificação ITIL / Certificação Cobit. . ITIL/Cobit Implementation. . Formação de Analista em Governança de TI. BPM (Processos) . Gestão por Processos de Negócios . Formação Analista de Processo de Negócio Negócios & Gestão de Pessoas: . Estratégia e BSC . Formação Analista de Negócio . Liderança com foco em Resultados . Práticas de Gestão de Projetos Métodos Ágeis e Engenharia de Software: . Métodos Ágeis (SCRUM e FDD) . Qualidade e Maturidade em Desenvolvimento de Software . Formação em Engenharia de Software Consultoria Treinamento Solução Consultoria Treinamento Portfólio 4
  5. 5. www.CompanyWeb.com.br Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation/ Objetivo A norma ISO/IEC 27002 é um padrão internacional para Gestão de Segurança da Informação. O objetivo deste treinamento é preparar os participantes para o Exame de Certificação Information Security Foundation based on ISO/IEC 27002 (Fundamentos da Segurança da Informação baseada na ISO/IEC 27002). É abordado todo o conteúdo do exame de certificação, com exercícios e um simulado. Curso: ISO/IEC 27002 Foundation Conteúdo Programático (100% aderente ao Exame de Certificação: ISO/IEC 27002 Foundation) 1 Informação e Segurança (10%) 1.1 O conceito de informação (2,5%) 1.2 Valor da informação (2,5%) 1.3 Aspectos de confiabilidade (5%) 2. Ameaças e riscos (30%) 2.1 Ameaça e risco (15%) 2.2 Relacionamento entre ameaças, riscos e confiabilidade das informações. (15%) 3. Abordagem e Organização (10%) 3.1 Política de Segurança e organização de segurança (2,5%) 3.2 Componentes da organização da segurança (2,5%) 3.3 Gerenciamento de Incidentes (5%) 4. Medidas (40%) 4.1 Importância das medidas de segurança (10%) 4.2 Medidas de segurança física (10%) 4.3 Medidas de ordem técnica (10%) 4.4 Medidas organizacionais (10%) 5. Legislação e regulamentação (10%) 5.1 Legislação e regulamentos (10%) 6- Exercícios 7- Simulado 5
  6. 6. www.CompanyWeb.com.br
  7. 7. www.CompanyWeb.com.br 7
  8. 8. www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
  9. 9. www.CompanyWeb.com.br Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084 9
  10. 10. www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
  11. 11. www.CompanyWeb.com.br Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084 11
  12. 12. www.CompanyWeb.com.br 12
  13. 13. www.CompanyWeb.com.br 13
  14. 14. www.CompanyWeb.com.br A Informação é um bem que, à semelhança de outros bens do negócio, tem valor para uma organização e necessita ser convenientemente protegido.
  15. 15. www.CompanyWeb.com.br O Bem é algo que tem valor para a organização. Exemplos Pessoas Máquinas Produtos Edifícios 15
  16. 16. www.CompanyWeb.com.br Impressa, escrita em papel Transmitida por meios eletrônicos Armazenada eletronicamente Mostrada em vídeos Verbal A forma da informação vai impor restrições às medidas necessárias para sua proteção. 16
  17. 17. www.CompanyWeb.com.br Internas • Não pode ‘vazar’ para o mercado/público Clientes e Fornecedores • Não pode ‘vazar’ para o mercado/público Parceiros • Informações a serem compartilhadas com outros parceiros, etc. 17
  18. 18. www.CompanyWeb.com.br Informação A Informação existe em várias formas. Qualquer que seja a forma que a Informação adote, ou o meio pela qual é partilhada ou armazenada, deve ser sempre devidamente protegida.
  19. 19. www.CompanyWeb.com.br Armazenada: • são considerados dados armazenados os que residem em notebooks, desktops e servidores; Em movimento • são considerados dados em movimento os que residem em pen drives, smartphones, CDs e e-mails; Em uso • são considerados dados em uso os que se encontram em estado de processamento (sistemas de e-commerce, bancos de dados, ERPs etc.). Outras • Criada, Transmitida, Processada, Perdida, Destruída, Corrompida e etc. 19
  20. 20. www.CompanyWeb.com.br Transferir e processar informações ocorre por meio de um sistema de informação, o que não é necessariamente um sistema de TI. 20
  21. 21. www.CompanyWeb.com.br 21
  22. 22. www.CompanyWeb.com.br 22
  23. 23. www.CompanyWeb.com.br
  24. 24. www.CompanyWeb.com.br 24
  25. 25. www.CompanyWeb.com.br 25
  26. 26. www.CompanyWeb.com.br Classificação Define os diferentes níveis de sensibilidade nos quais as diversass informações podem ser estruturadas. Grau (grading): é o ato de definir uma classficação. Níveis de sensibilidade colocados na marca ou etiqueta de um documento: Secreto, Confidencial ou Público As etiquetas de classificação podem ser colocadas fisicamente e de forma visível Designação É uma forma especial de categorizar uma informação. De acordo com determinado assunto ou organização ou grupo de pessoas autorizadas. Proprietário (dono) O dono da informação/documento é responsável pela sua classificação. É a pessoa que tem a responsabiliade sobre determinada informação. Determina quem tem acesso a determinados ativos do negócio. 26  O termo 'proprietário' identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos.  O termo 'proprietário' não significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo.
  27. 27. www.CompanyWeb.com.br 27
  28. 28. www.CompanyWeb.com.br 28
  29. 29. www.CompanyWeb.com.br 29
  30. 30. www.CompanyWeb.com.br 30
  31. 31. www.CompanyWeb.com.br 31 Vídeo: http://www.youtube.com/watch?v=_3zgNMr_8zcFoto: Empire State Building Quais são os Tipos de Ameaças?
  32. 32. www.CompanyWeb.com.br 32
  33. 33. www.CompanyWeb.com.br 33
  34. 34. www.CompanyWeb.com.br 34
  35. 35. www.CompanyWeb.com.br SGSI - Sistema de Gestão da Segurança Informação  É uma parte do sistema global de gestão, baseado numa abordagem de risco que permite definir implementar abordagem de risco, que permite definir, implementar, operacionalizar, monitorizar, manter e melhorar a segurança da Informação segundo a norma. 35
  36. 36. www.CompanyWeb.com.br Controle forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou contramedida. Política intenções e diretrizes globais formalmente expressas pela direção. Cada categoria principal da Segurança da informação contém: 36
  37. 37. www.CompanyWeb.com.br ISO 27001 | Controle - definição do controle. ISO 27002 | Diretrizes para a implementação - informações mais detalhadas. 37
  38. 38. www.CompanyWeb.com.br ISO 27001 Objetivos de Controle e Controles 38
  39. 39. www.CompanyWeb.com.br 39
  40. 40. www.CompanyWeb.com.br 40
  41. 41. www.CompanyWeb.com.br ISO 27001 Objetivos de Controle e Controles EXEMPLO 41
  42. 42. www.CompanyWeb.com.br ISO 27002 Diretrizes para a implementação EXEMPLO 42
  43. 43. www.CompanyWeb.com.br Deve-se:  Definir um plano de tratamentos de risco que identifique as atividades de gestão apropriadas, recursos, responsabilidades e prioridades para gerir os riscos à segurança da Informação.  Definir como medir a eficácia dos controles  Implementar programas de formação e sensibilização  Implementar procedimentos e outros controles capazes de detectarem e responderem a potenciais incidentes na segurança 43
  44. 44. www.CompanyWeb.com.br 44
  45. 45. www.CompanyWeb.com.br declaração de aplicabilidade declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização. 45
  46. 46. www.CompanyWeb.com.br 46
  47. 47. www.CompanyWeb.com.br 1. Estabelecer o SGSI Estabelecer política de segurança, objetivos, metas, processos e procedimentos relevantes para a gestão de risco e segurança da informação para melhorar os resultados de acordo com as políticas globais de uma organização e seus objetivos. 2. Implementar e operar o SGSI Implementar e operar a política de segurança, controles, processos e procedimentos. 3. Acompanhar e analisar o SGSI Avaliar e, quando aplicável, medir o desempenho do processo contra a política de segurança, objetivos e experiências práticas e relatar os resultados da gestão para a revisão. 4. Manter e melhorar o SGSI Tomar ações corretivas e preventivas, com base nos resultados da análise da gestão, para alcançar a melhoria contínua do SGSI. 47
  48. 48. www.CompanyWeb.com.br PLAN - Planejar •Definição dos objetivos, metas, processos, procedimentos •Estabelecer política de segurança DO - Implementar e operar o SGSI •Implementar política de segurança •Operar a política de segurança •Operar, controles, processos e procedimentos. CHECK - Acompanhar e analisar o SGSI • Avaliar • Medir o desempenho do processo • Relatar os resultados da gestão para a revisão ACT - Manter e melhorar o SGSI • Tomar ações corretivas • Tomar ações preventivas 48
  49. 49. www.CompanyWeb.com.br 49
  50. 50. www.CompanyWeb.com.br A política de segurança é um conjunto de normas e diretrizes destinadas a proteção dos ativos da Organização; Prover à administração uma direção para Segurança da Informação; Convém que a Política seja clara, flexível e aprovada pela administração, publicada e comunicada, de forma oficial, para todos os funcionários e partes externa Relevantes; Definições das responsabilidades na gestão de segurança. 50
  51. 51. www.CompanyWeb.com.br 51
  52. 52. www.CompanyWeb.com.br Levantamento de Informações Fase I Desenvolvimento do Conteúdo da Política e Normas de Segurança Fase II Elaboração dos procedimentos de Segurança da Informação Fase III Revisão, aprovação e implementação das Políticas, Normas e procedimentos de Segurança da Informação Fase IV 1. http://www.teamproject.com.br/tp2/projects/iso/wiki/Etapas_para_o_Desenvolvimento_de_uma_Pol%C3%ADtica 2. Faça seu cadastro (link ‘cadastra-se’ no lado direito superior da tela) 3. Acesse projeto: ISO 27001 4. Acesse o link wiki, conforme abaixo: 52
  53. 53. www.CompanyWeb.com.br Segurança da Informação Realizando a Segurança da Informação 53
  54. 54. www.CompanyWeb.com.br Política, organização, avaliação de riscos, declaração de aplicabilidade Descrevi o processo - quem, o quê, quando e onde Descreve as tarefas e atividades especificas Fornece evidência objetivas de conformidade para os requisitos SGSI 54
  55. 55. www.CompanyWeb.com.br 1995 • BS 7799 Parte 1 1998 • BS 7799 Parte 2 1999 • Nova edição da BS 7799 Parte 1 e 2 2000 • ISO 17799:2000 2001 •NBR ISO/IEC 17799 2002 •Nova edição BS 7799-2 2005 •Nova edição NBR ISO/IEC 17799 (Agosto) •Publicada ISO 27001 2006 •Publicada NBR ISO/IEC 27001 2007 • Alterado apenas o nome da norma NBR ISO/IEC 17799 para NBR ISO/IEC 27002 55
  56. 56. www.CompanyWeb.com.br 56
  57. 57. www.CompanyWeb.com.br 57
  58. 58. www.CompanyWeb.com.br 58
  59. 59. www.CompanyWeb.com.br O que é a segurança da Informação? É a preservação da Confidencialidade, Integridade e Disponibilidade da informação. 59
  60. 60. www.CompanyWeb.com.br CID  Requisitos de Qualidade  Requisitos de Segurança 60
  61. 61. www.CompanyWeb.com.br  Proteção das informações sensíveis a divulgação;  É o grau no qual o acesso a informação é RESTRITO a um grupo definido de pessoas autorizadas a terem este acesso;  Inclui medidas de proteção a privacidade. 61  Ações são tomadas para garantir que a informação não é encontrada por aqueles que dela não necessitam;  Gestão de Acesso lógico garante que pessoas não autorizadas não tenham acesso aos sistemas automatizados/banco de dados;  Segregação de ambientes (desenvolvimento/teste/ac eitação/produção);  Processos onde dados são utilizados, medidas são tomadas para garantir a privacidade das pessoas e terceiros.
  62. 62. www.CompanyWeb.com.br 62
  63. 63. www.CompanyWeb.com.br Integridade É o grau no qual a informação está atualizada e sem erros. Exatidão (informação correta) e Completude (informação está inteira). 63  Controle de mudança dos dados (somente com autorização);  „Log‟ dos registros/trilha de auditoria (determina quem alterou);  Integridade referencial no banco de dados (recursos de TI);  Institucionalizar o processo Gestão de Mudança;  Criptografia (evitar a acesso a informação/garantir a proteção)
  64. 64. www.CompanyWeb.com.br Disponibilidade É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização precisa dele. 64  Pontualidade (quando necessário);  Continuidade (após falha);  Robustez (capacidade suficiente). Ações: Gestão e Armazenamento de Dados; Procedimento bkp/restore; Procedimento de emergência
  65. 65. www.CompanyWeb.com.br 65
  66. 66. www.CompanyWeb.com.br 66
  67. 67. www.CompanyWeb.com.br 67
  68. 68. www.CompanyWeb.com.br Riscos Grau de proteção A implementação de segurança tem que ser um compromisso entre o risco, o grau de proteção desejado e o custo do mecanismo de controle. 68
  69. 69. www.CompanyWeb.com.br Desmotivadas Descontentes ‘Terroristas’ Aumento de Demanda Sem politica de Segurança Inexistência de Planos de Recuperação a desastres Não atualizada Muitas vulnerabilidades Desastres naturais ‘Tudo é incerto’ 69
  70. 70. www.CompanyWeb.com.br 70
  71. 71. www.CompanyWeb.com.br 71
  72. 72. www.CompanyWeb.com.br 72
  73. 73. www.CompanyWeb.com.br Disponibilidade Confidencialidade Integridade Segurança Segurança Segurança Segurança  Fatores/situações que podem levar a um dano ou perda de informação. Risco: É a chance de que uma ameaça irá de fato ocorrer e suas consequências.  um possível evento que possa comprometer a confiabilidade da informação 73 Risco: Essa palavra vem do Francês RISQUE, do Italiano RISCO ou RISCHIO, “o perigo ligado a um atividade”, do Latim RISICUM, às vezes tida como “escolho que pode quebrar o casco de uma embarcação”.
  74. 74. www.CompanyWeb.com.br Natural •incêndio •Inudação Pessoas •Fraude •Funcionário divulgar informação sigilosa Tecnologia Hacker acessar informações da instituição (se for grande falha: Desastre) 74
  75. 75. www.CompanyWeb.com.br São fraquezas associadas aos Ativos da organização. 75
  76. 76. www.CompanyWeb.com.br 76 Falta de monitora mento da infra- estrutura Falta de backup Energia elétrica instável Falta de segurança física e lógica exemplos
  77. 77. www.CompanyWeb.com.br 77
  78. 78. www.CompanyWeb.com.br 78
  79. 79. www.CompanyWeb.com.br
  80. 80. www.CompanyWeb.com.br 80
  81. 81. www.CompanyWeb.com.br É o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um Ativo ou grupo de Ativos. Interrupção da continuidade do negócio; perda da integridade dos dados; falha nos procedimentos de backup/restore Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos 81
  82. 82. www.CompanyWeb.com.br 82
  83. 83. www.CompanyWeb.com.br 83 Análise de Riscos • 1) Identificar Ativos e seus valores • 2) Determinar Ameaças e Vulnerabilidades • 3) Determinar os Riscos e as Ameaças que podem realmente causar danos • 4) Determinar o equilíbrio entre Custos de um Incidente e Custos das Medidas de Segurança
  84. 84. www.CompanyWeb.com.br 84
  85. 85. www.CompanyWeb.com.br Impacto: Resultado ou efeito decorrente da materialização do Risco. Limitações: Julgamento Humano, Conluio, Futuro é incerto. 85
  86. 86. www.CompanyWeb.com.br Responsáveis  Information Security Officer (ISO)  Chief Information Security Officer (CISO) É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável. 86
  87. 87. www.CompanyWeb.com.br 87
  88. 88. www.CompanyWeb.com.br • Reduz a ameaça antes de ela se manifestar Redutiva • Torna a ameaça impossível antes de ela se manifestar Preventiva • Garante que cada incidente possa ser detectado o mais rápido possível e que todo mundo seja informado do está acontecendo Detectiva • Para minimizar as consequências de um incidente após ele ocorrer Repressiva • Recuperar algo após um incidente ter ocorrido Recuperação/Corretiva 88
  89. 89. www.CompanyWeb.com.br Ameaça Prevenção Garantia Aceitação Incidente Fonte: The Basics of Information Security - A Practical Handbook. ISBN/EAN: 978-90-813341-1-2 Para eventos que não tem prevenção total e para os quais as consequêncais não são aceitáveis, deve-se procurar métodos que reduzam as consequências. Ex.: Seguro contra fogo e contra as consequêncais do fogo. Quando as medidas necessários são conhecidas, mas decide-se aceitar o risco porque o custo para implantação da medida não é aceitável ou porque não há medidas possíveis. 89
  90. 90. www.CompanyWeb.com.br  infra-estrutura (TI e não TI), natural (desastre natural)  com ou sem engenharia social  hacker, ex-funcionário, funcionário 90
  91. 91. www.CompanyWeb.com.br Dano Direto Dano Indireto Expectativa de Perda Anual Expectativa de Perda Única 91 Roubo, furto ex.: causados por uso inadequado de extintores de incêndio. Por evento. 91
  92. 92. www.CompanyWeb.com.br Aceitar (Risk Bearing) • A organização vai optar por medidas de segurança repressivas. Neutralizar/Reduzir (Risk neutral) • Combinação de medidas preventivas, detectivas e repressivas. Evitar (Risk Avoiding) • ex.: não usar uma nova tecnologia; Não fazer um upgrade. 92
  93. 93. www.CompanyWeb.com.br A retenção do risco talvez seja o método mais comum de se lidar com riscos. Organizações, assim como indivíduos, encaram diariamente um número quase ilimitado de riscos e, por muitas vezes nada é feito sobre eles. Quando nenhuma ação positiva é tomada no sentido de evitar, reduzir, ou transferir o risco, este é retido ou assumido pela pessoa ou organização que se encontra nessa situação. A retenção de risco pode ser consciente ou inconsciente. Uma pessoa retém riscos conscientemente quando sabe de sua existência, deliberadamente, não toma nenhuma atitude sobre ele. Quando não é reconhecido, o risco é assumido inconscientemente. A retenção de riscos é um método legítimo de se lidar com riscos; em muitos casos, é a melhor maneira. Toda organização deve decidir quais riscos deve assumir e quais deve evitar. Como regra geral, os riscos a serem retidos, devem ser aqueles que apresentam alguma possibilidade de ganho ou, ao menos, pequenas probabilidades de perda.
  94. 94. www.CompanyWeb.com.br 94
  95. 95. www.CompanyWeb.com.br 95
  96. 96. www.CompanyWeb.com.br 96
  97. 97. www.CompanyWeb.com.br 97
  98. 98. www.CompanyWeb.com.br Você está preparado para o próximo Incidente de Segurança? 98  Documento confidencial sem proteção  Informações sobre cliente e funcionário foi 'liberado' na internet sem controle  Violação no data center  Invasões de hacker  Arquivos ‘perdidos’
  99. 99. www.CompanyWeb.com.br 99
  100. 100. www.CompanyWeb.com.br  Os funcionários devem reportar os incidentes o mais rápido possível.  Normalmente via helpdesk/service desk.  Processo para resolver incidentes o mais rápido possível. 100 1. Data/hora 2. Nome da pessoa que está abrindo o incidente 3. Local 4. Descrição 5. Consequências 6. Tipo de sistema (servidor, desktop, email e etc) 7. Número/nome do sistema
  101. 101. www.CompanyWeb.com.br Funcional: Transfere um incidente ou um problema para uma equipe técnica com nível mais especializado. Exemplo: Segundo nível, Terceiro nível, etc. Hierárquica: Informa ou envolve níveis mais qualificados e com maior autoridade no gerenciamento para assessorar em uma Escalação 101
  102. 102. www.CompanyWeb.com.br 102
  103. 103. www.CompanyWeb.com.br 103
  104. 104. www.CompanyWeb.com.br Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente Redutivas Aplicadas antes da ameaça levar a um incidente Preventivas Detectar a ocorrência de um incidente Detectivas Para responder a um incidente a fim de conter o estrago da ameaça (usar o extintor de incêndio, por exemplo) Repressiva Reparar o que foi danificado (restaurar o backup, por exemplo) Corretiva 104
  105. 105. www.CompanyWeb.com.br 1 – Ameaça 2 - Incidente 3 - Dano 4 - Recuperação Medidas: Prevenir (medidas preventivas), reduzir as ameaças (medidas redutivas), responder aos incidentes, parar ameaças (medidas repressivas) e corrigir dos danos (medidas corretivas). 105
  106. 106. www.CompanyWeb.com.br •Desenvolve a estratégia geral de segurança para a empresa inteira •Superintendente de Segurança da Informação Chief Information Security Officer (CISO) •Desenvolve uma política para uma unidade de negócio com base na política da empresa •Diretor de Segurança da Informação Information Security Officer (ISO) •Desenvolve uma política de segurança da informação para a área de TI •Gerente de Segurança da Informação Information Security Manager (ISM) •Responsável pela Proteção dos DadosData Protection Officer 106
  107. 107. www.CompanyWeb.com.br 107
  108. 108. www.CompanyWeb.com.br 108
  109. 109. www.CompanyWeb.com.br • Inclui cuidados para não haver interferências Medidas para cabeamento • Anel externo | Proteção em torno do prédio da empresa • Edíficio/prédio | salas especiais (sala de servidores) • Espaço de trabalho (algumas áreas da empresa podem não estar acessíveis a todos, como RH) • Objeto | Refere-se a parte mais sensível que precisa ser protegida (armários/cofre) Medidas para anéis de proteção • Uso de sensores Alarmes Medidas para Mídias de armazenamento 109
  110. 110. www.CompanyWeb.com.br Ativo Área de trabalho Prédios Anel externo As medidas de segurança não devem ser iniciadas nas estações ou locais de trabalho, mas fora da empresa. O acesso aos ativos da empresa deve ser difícil ou impossível, deve-se pensar em termos de uma série de perímetros: 110
  111. 111. www.CompanyWeb.com.br Inclui cuidados com manuseio de pen-drives, smartphones, cartões de memória, laptops, que armazenam informações sensíveis 111
  112. 112. www.CompanyWeb.com.br 1) Gerenciamento de acesso lógico; 2) Requisitos de segurança para os sistemas; 3) Criptografia. 112
  113. 113. www.CompanyWeb.com.br • A política de controle de acesso é determinada pelo proprietário (owner) do recurso. Controle de acesso discricionário (DAC) • A política de acesso é determinada pelo sistema e não pelo proprietário do recurso. Controle de acesso mandatório (MAC) • Na concessão de acesso fazemos distinção entre as palavras identificação, autenticação e autorização. • Identificação | Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha) • Autenticação | Sistema determina se o token é autêntico e quais recursos o usuário pode acessar • Autorização | Aloca o direito de acesso Passos para conceder o acesso 113
  114. 114. www.CompanyWeb.com.br 114
  115. 115. www.CompanyWeb.com.br A informação é codificada para não ser lida por pessoas não autorizadas •Existe um algoritmo e uma chave secreta que o remetente e destinário compartilham. É mais vulnerável. Simétrica •Diferentes chaves são usadas para criptograr e descriptografar. Assinaturas digitais são criadas usando este tipo. Assimétrica •Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou sistemas pertencem a uma chave pública. É frequentemente gerenciada por uma autoridade independente. Infraestrutura de Chave Pública (PKI – Public Key Infrastructure) •A mensagem é convertida em um valor numérico e não pode ser descriptografada. Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é verificado se dois valores hash combinam. Criptografia de mão única 115
  116. 116. www.CompanyWeb.com.br Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação. Sistema de Gestão da Segurança da Informação (SGSI) Política de Segurança da Informação Pessoal Gerenciamento da Continuidade do Negócio Gerenciamento de Comunicações e Processos Operacionais 116
  117. 117. www.CompanyWeb.com.br Sistema de Gestão da Segurança da Informação (SGSI) •A ISO 27001 ajuda a definir uma estrutura para SGSI •Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação •Baseado no ciclo PDCA •Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos •Existe para preservar a confidencialidade, integridade e disponibilidade Política de Segurança da Informação • Documento importante do SGSI • Serve para a gerência fornecer direção e suporte à organização • Deve ser divulgada para todos na organização • Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada • Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos Pessoal • Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos • Pessoal precisa seguir o código de conduta • Novos funcionários precisam pessar por uma checagem de ficha limpa • Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade • Visitantes precisam passar por um controle de acesso 117
  118. 118. www.CompanyWeb.com.br http://www.youtube.com/watch?v=vkMIMdeuOFQ&feature=related Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc). 118
  119. 119. www.CompanyWeb.com.br • A teoria darwiniana está sempre presente nas estatísticas. • São as empresas mais aptas que sobrevivem e não as mais fortes  2 em cada 5 empresas que sofrem interrupção por uma semana fecham as portas em menos de 3 anos. Fonte: Disaster Recovery Institute (DRI) 119
  120. 120. www.CompanyWeb.com.br 120
  121. 121. www.CompanyWeb.com.br Gerenciamento da Continuidade do Negócio • Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre Continuidade • Incidente de grande impacto Desastre • Estabelece qual a continuidade dos processos de negócio que será garantida Plano de Continuidade de Negócios (PCN) • Como se recuperar do desastre, como: Espaços de trabalho alternativos; Data center redundante; Hot site sob demanda Plano de Recuperação de Desastre 121
  122. 122. www.CompanyWeb.com.br  Documentar procedimentos de operação dos equipamentos e quem são os responsáveis. • A segregação de funções ajuda a estabelecer quem faz o quê; Testes e aceites antes de entrar em produção. As mudanças nos sistemas precisam ser gerenciadas • Separar as funções e responsabilidades de cada um Segregação de Funções • Documentar requisitos que precisam ser atendidos; Estabelecer contratos/ acordos SLA. Terceirização Proteção contra malware, phishing e spam • Estabelecer orientações para como manusear mídias a fim de evitar que informações valiosas caiam nas mãos de pessoas erradas; Política mesa limpa deve sempre ser empregada. Manuseio de mídias 122 122
  123. 123. www.CompanyWeb.com.br Termo genérico para software malicioso; Pode ser um vírus, worm, trojan ou sypwareMalware Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo)Phishing Nome do coletivo de mensagens indesejáveisSpam Pequeno programa de computador que se replica; Tem natureza destrutiva.Vírus Pequeno programa de computador que se replica; Não depende da ação do usuário para se espalhar pela redeWorm É um programa que conduz atividades secundárias não percebidas pelo usuário; Usado frequentemente para coletar informações confidenciais do sistema infectadoTrojan Histórias falsas recebidas. Mensagem que tenta convencer o leitor da sua veracidade e então persuadí-lo a fazer alguma açãoHoax Pedaço de código deixado dentro de um sistemaLogic bomb Programa de computador que coleta informação de um computador e envia para um terceiroSypware Uma rede de computadores utilizando software de computação distribuída.Botnet Conjunto de ferramentas de softwares utilizado por um hackerRootkit 123
  124. 124. www.CompanyWeb.com.br 1. ISO 27002:2005 2. Conformidade 3. Propriedade intelectual 4. Proteção de dados pessoais 5. Prevenção de abuso das facilidades de TI 6. Responsabilidade 7. Lei Sarbanes-Oxley 124
  125. 125. www.CompanyWeb.com.br • É um código de boas práticas para a segurança da informação; Há práticas que ajudam a atender a leis e regulamentos ISO 27002:2005 • Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da empresa; • A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos • Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática Conformidade • Precisam ser considerados quando a empresa usa software ou material sujeito à tal. Deve haver orientações internas para proteger estes direitos Propriedade intelectual • Independente de obrigação regulatória, as empresas precisam se preocupar Proteção de dados pessoais • Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados • Estabelecer código de conduta Prevenção de abuso das facilidades de TI • A alta gerência é a responsável final pelo cumprimento de leis e regulamentos Responsabilidade • Aplica-se a todas empresas que negociam ações nas bolsas de valores americanas Lei Sarbanes-Oxley 125
  126. 126. www.CompanyWeb.com.br www.CompanyWeb.com.br contato@CompanyWeb.com.br 11 3532-1076 twitter.com/companyweb slideshare.net/companyweb facebook.com/companyweb Vídeos: Gestão & Governança http://bit.ly/eMR2Vt 126

×