Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

Políticas,
práticas e
procedimentos
em Segurança
da Informação
prof. Roberto Dias Duarte

Melhor prevenir, que remediar!
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
sábado, 14 de maio de 2011

Com licença, sou o
Roberto

“Conheço apenas
minha ignorância”



Big Brother Fiscal IV

Disponível em
maio/2011



1a Parte: Sensibilização


Visão executiva



Trabalhos
• 07.05 - Diagnóstico de segurança da empresa:
contexto empresarial, visão, missão,
estratégias, indicadores, normas reguladoras e
“lacunas” de segurança. (30 pontos)

• 14.05 - Ante-projeto Prática de Segurança:
diagnóstico, problema, solução, custo,
beneﬁcios, análise de riscos, macro-
cronograma. (30 pontos)

• 28.05 - Elaborar um plano de implantação de
política de segurança e o manual se segurança
da informação. (30 pontos)


Trabalhos
Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos
regulatórios de uma empresa, apontando custos e benefícios
• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,
rentabilidade, retenção de clientes, etc.
• 2. Toda organização está inserida em um ecossistema onde há diversos
marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista,
ANEEL, ANAC, consumidor, SAC, etc.
• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais
(ou marcos legais).
• 4. Determinem o planejamento de implantação da política de segurança
para um indicador ou marco legal - se ﬁzerem para mais de um, não há
problema, mas o esforço de trabalho é proporcional à quantidade de
métricas.
• 5. Derivem os processos de segurança e as atividades a partir das
políticas.
• Lembrem-se, por ﬁm, que o alinhamento estratégico é fator crítico de
sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a
empresa a melhorar algum indicador de desempenho ou manter a
compatibilidade legal regulatória do setor.

1o Trabalho
Diagnóstico de segurança da empresa: contexto
empresarial, visão, missão, estratégias,
indicadores, normas reguladoras e
“lacunas” (Gap’s) de segurança.

Prazo: 7.5.2011 às 11:00

Pode ser em grupo

Escolha uma empresa para o estudo de caso real


1. Contexto empresarial
1.2.Visão
•1.1. Missão

É o sonho da organização, é o
– É a razão de existência
futuro do negocio e onde a
de uma organização.
organização espera estar nesse
futuro.

•1.3. Estratégia

•“Forma de pensar no futuro, integrada no
processo decisório, com base em um
procedimento formalizado e articulador
de resultados” (Mintzberg).

2. Públicos
Consumidores
Clientes

Investidores

Parceiros


3. Indicadores


4. Normas reguladoras
1. Em quais ecossistemas a empresa está
inserida?

2. Quais os agentes reguladores e normas?

IFRS
ANATEL
SPED Sindicatos
ANAC SOX NF-e Consumidor
ANEEL Basiléia RFB Clientes
CMV
SEFAZ Franqueadores
BACEN
Parceiros
Contratos


5. Lacunas de segurança
1.Liste 7 lacunas de segurança da empresa

2. Relacione as lacunas com os indicadores ou
normas

3. Estabeleça as 3 de maior relevância,
explicando os motivos


2a Parte: Conceitos
Básicos


Situação das empresas



Quer tentar?



Fraude?



O que é fraude?

É um esquema
ilícito ou de má fé
criado para obter
ganhos pessoais.



Fatores primários
1 - Existência de golpistas
motivados.

• Ineﬁciência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca ﬁscalização.


Mas principalmente
porque...

o desrespeito às
leis é considerado
comportamento
“normal”.



Fatores primários
2 - Existência de vítimas vulneráveis

• Pouca informação e divulgação
preventivas;

• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é
considerado comportamento
“normal”.


Fatores primários
3 - Falta de controle ou ﬁscalização
• percepção do problema como
não prioritário;

• despreparo das autoridades;
• escassa coordenação de ações
contra fraudadores;

• falta de leis especíﬁcas e pouca
clareza em algumas das
existentes.


Vítima ou golpista?



Segurança da
Informação?



Ameaça?



Ameaça?

Causa potencial de um
incidente, que caso se
concretize pode
resultar em dano


Vulnerabilidade?



Vulnerabilidade?

Falha (ou conjunto)
que pode ser explorada
por ameaças


Incidente?

Evento que
comprometa a
operação do
negócio ou
cause dano aos
ativos da
organização



Impacto?

Resultados de
incidentes



Análise de risco

Impacto

Transfere Mitiga

Aceita Reduz

Probabilidades



Análise de risco



Ativo digital?



Ativo? Intangível?

“Um ativo intangível é um
ativo não monetário
identiﬁcável sem
substância física ou,
então, o ágio pago por
expectativa de
rentabilidade futura
(goodwill)”
Fonte: http://www.cpc.org.br



Assinatura Digital



Assinatura Digital

É um método de autenticação
de informação digital

Não é Assinatura Digitalizada!
Não é Assinatura Eletrônica!



Como funciona?



Como funciona?
HASH é
gerado a
partir da
chave pública

O HASH é
Autor assina descriptografado
a com sua partir da chave
chave privada pública

Novo HASH
é gerado

HASH é
armazenado
na mensagem

Novo HASH é comparado
com o original



Documentos Digitais
MP 2.200-2 de Agosto/2001



Documentos Digitais
“As declarações constantes dos documentos em
forma eletrônica produzidos com a utilização de
processo de certiﬁcação disponibilizado pela

presumem-se
ICP-Brasil

verdadeiros em relação
aos signatários”
(Artigo 10o § 1o)



Documentos Digitais

“O disposto nesta Medida Provisória não obsta a
utilização de outro meio de comprovação da
autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certiﬁcados
não emitidos pela ICP-Brasil, desde que
admitido pelas partes como válido ou aceito
pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)



Caso real



Caso real

Integridade
Autenticidade
Não repudio
Disponibilidade
Conﬁdencialidade
Auditabilidade



Carimbo do tempo



Carimbo do tempo

Certiﬁca a autenticidade temporal
(data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal
Brasileira”



Integridade



Integridade

Qualquer alteração
da mensagem faz
com que a
assinatura não
corresponda mais
ao documento



Autenticidade



Autenticidade

O receptor pode
conﬁrmar se a
assinatura foi
feita pelo
emissor



Não
repúdio



Não
repúdio

O emissor não
pode negar a
autenticidade da
mensagem



Conﬁdencialidade



Conﬁdencialidade

Passo 1: Alice envia sua
chave pública para Bob
Passo 2: Bob cifra a
mensagem com a
chave pública de Alice
e envia para Alice, que
recebe e decifra o
texto utilizando sua
chave privada


Disponibilidade



Disponibilidade

A informação
deve estar
disponível
apenas para seu
uso legítimo


Auditabilidade



Auditabilidade

Deve haver
informação
relativa às
ações de
alteração
ou consulta
de dados Quem?
Quando?
O que fez?


Por que preciso saber
disso?



Ecosistema Fiscal
NF-e
NFS-e EFD ICMS/IPI
CT-e
EFD/CIAP
Tem nota? CF-e Brasil-id
EFD PIS/COFINS
CC-e Siniav
Entregou? EFD/FOLHA

Fisco
NF-e SPED Contábil
Vendeu?
NFS-e EFD Contábil
CF-e
CC-e

Recebeu? Cliente

Produziu?
Contador

NF-e
Estoque? Pagou? NFS-e
CF-e
CC-e Fornecedor
Comprou?


Vamos entender as
principais
vulnerabilidades das
empresas no mundo do
pós-SPED?



O que é a Nota
Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica
como sendo um documento de existência
apenas digital, emitido e armazenado
eletronicamente, (...)

Sua validade jurídica é garantida pela
assinatura digital do remetente (garantia de
autoria e de integridade) e pela recepção, pelo
Fisco, do documento eletrônico, antes da
ocorrência do fato gerador.”



Documento Fiscal Digital



Livro Contábil Digital



Livro Fiscal Digital
(ICMS/IPI)



Mas, nada muda na
minha empresa, certo?



Vulnerabilidade #1



Vulnerabilidade #1
Te n h o q u e
ver iﬁcar o
arquivo XML
Cláusula décima

§ 1º O destinatário
deverá v e r i ﬁ c ar a
vali dade e
autenticidade da NF-e
e a exis tênci a de
Autorização de Uso da
NF-e.
Ajuste SINIEF 07/2005


Vulnerabilidade #2



Vulnerabilidade #2

Nota autorizada não me
livra do "passivo ﬁscal"

Vulnerabilidade #2
Cláusula quarta

Ainda que formalmente regular,
não será considerado
documento ﬁscal idôneo a NF-e
que tiver si do emiti da o u
utilizada co m do lo, f rau de,
s i m u la ç ã o o u e r r o, q u e
possibilite, mesmo que a terceiro,
o não-pagamento do imposto ou
q u al q u er o ut r a va ntag e m
indevida. Ajuste SINIEF 07/2005



Vulnerabilidade #3



Vulnerabilidade #3

Só posso cancelar
NF-e se a
mercadoria não
circulou....



Vulnerabilidade #3
ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento
da NF-e, em prazo não superior a 24 horas, contado
do momento em que foi concedida a respectiva
Autorização de Uso da NF-e, desde que não tenha
ocorrido a circulação da mercadoria ou a prestação
de serviço e observadas às demais normas constantes
do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.



Vulnerabilidade #4



Vulnerabilidade #4

Tenho que enviar o
arquivo XML ao
destinatário e ao
transportador

Vulnerabilidade #4
Cláusula Sétima

§ 7º O emitente da NF-e deverá,
obr ig ato r i am e nte, e ncam inhar o u
disponibilizar download do arquivo
da NF-e e seu respectivo Protocolo de
Autorização de Uso ao destinatário e
a o t r a n s p o r t a d o r c o n t r at a d o,
imediatamente após o recebimento da
autorização de uso da NF-e.




Vulnerabilidade #5



Vulnerabilidade #5

Tenho que guardar
o arquivo XML


Vulnerabilidade #5
Cláusula décima
O emitente e o destinatário deverão manter a NF-e em arquivo
d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo
estabelecido na legislação tributária, mesmo que fora da empresa,
devendo ser disponibilizado para a Administração Tributária
quando solicitado. (...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a
emissão de NF-e, alternativamente ao disposto no “caput”, o
destinatário deverá manter em arquivo o DANFE relativo a NF-e
da operação, devendo ser apresentado à administração tributária,
quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido
na legislação tributária o DANFE que acompanhou o retorno de
mercadoria não recebida pelo destinatário e que contenha o
motivo da recusa em seu verso.



Vulnerabilidade #6



Vulnerabilidade #6
Troca de identidade



Vulnerabilidade #6
“ E m p ré s t i m o ” d e s e n h a e
ar mazenam ento de
certiﬁcados digitais

eCPF, eCNPJ, ePJ

A1, A3, HSM



O que causa
vulnerabilidade?



Causas das
vulnerabilidades



Causas das
vulnerabilidades

Tecnologia precária

Falta de conhecimento
Ganância: preços abaixo do
mercado
Desrespeito as leis encarado
como comportamento comum



Consequências



Consequências

Mercadorias sem documento
idôneo
Mercadorias de origem ilícita
Problemas ﬁscais: documentos
inidôneos
Sigilo ﬁscal e comercial violados
Assinatura de contratos e
outros documentos



Tenho como evitar?



Solução: Paradigma do
século XXI

Conhecimento
Comportamento
Tecnologia



Ação preventivas básicas



O dono da bola
Quem é o responsável pela gestão da informação?

Deﬁnições:

políticas de segurança

políticas de backup

políticas de contingência



Termo de compromisso
Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.



Autenticação individual
Identiﬁca as pessoas:

Senha;

Cartão ou token;

Biometria;

Certiﬁcado Digital.



“Empréstimo” de senha



Cópias de segurança
Qual a política deﬁnida?

Qual a cópia mais antiga?

Os arquivos das estações
têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?



Software homologado
Itens de veriﬁcação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências


Uso de antivírus
Prevenção além do software:

Anexos

Executável? No way!

Download? Só de sites conﬁáveis

Backup, sempre

Educação



O Carona
Prevenção contra
“sessões abertas” em sua
ausência:

Conduta: Suspensão
ou encerramento da
sessão;

Mecanismo:
Suspensão ou
encerramento da sessão.



Correio eletrônico
Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...


Informações pessoais
Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?



Ambiente Físico
Ahhh, reuniões rápidas:

no elevador

na festa

no avião

Quadros, ﬂip chart, relatórios, etc

Lixão, de novo?

Quem entra, quem sai?


Engenharia social
Procedimentos para obtenção de informações
através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire conﬁança

presta “favor”


Uso da Internet & Redes
Sociais

Qual a sua opinião?



Uso da Internet & Redes
Sociais



Ações preventivas

Conhecimento
Física
Análise
Software
Planejamento
Humana
Investimento

Educação.



Ações detectivas

Quanto antes, melhor Conhecimento

Monitoramento de Análise
eventos
Planejamento
O que monitorar?
Investimento



Ações corretivas

Minimizar o problema

Quanto mais rápido,
melhor



Plano de continuidade
Contexto empresarial

Mapeamento de riscos

Conhecimento

Análise

Planejamento

Investimento

Educação

Simulação


Direitos do usuário
Acesso individual Treinamento sobre
segurança
Informações para
trabalhar Comunicar ocorrências
de segurança
Saber o que é rastreado
Garantia de privacidade
Conhecer as políticas e
normas Ser mais importante
que a tecnologia
Ser avisado sobre
tentativas de invasão


Mensagem sobre o
segurança



2o Trabalho
Ante-projeto Prática de Segurança: diagnóstico,
análise de riscos, problema, solução, custo,
beneﬁcios, macro-cronograma.

Prazo: 14.5.2011 às 07:40

Pode ser em grupo

Escolha uma empresa para o estudo de caso real


2o Trabalho
1. Ajustar o diagnóstico reavaliando as lacunas
2. Análise de risco considerando as 7 lacunas
relacionadas
3. Definir estratégia para cada lacuna: mitigar,
transferir, reduzir,aceitar
4. Identificar problema, solução, custo,
beneficios, macro-cronograma para 3 lacunas.


Apresentação do 2o
trabalho

Data: 14/5/2011

Prazo para ajustes: de 07:40 às 08:20

Apresentações: de 08:20 às 09:00


3a Parte:
Visão de Gestão


Qual é a estrutura da sua
organização?


Governaça
“É o conjunto de processos,
costumes, políticas, leis,
regulamentos e
instituições que regulam a
maneira como uma
empresa é dirigida,
administrada ou
controlada” (fonte:
Wikipedia)


Governaça
•Visão
–É o sonho da organização, é o
futuro do negocio e onde a
organização espera estar nesse
futuro.

•Missão
–É a razão de existência de
uma organização.


Governaça
•Transparência
–Mais do que "a
obrigação de informar",
a administração deve
cultivar o "desejo de
informar"


Governaça
•Equidade
–Tratamento justo e
igualitário de todos
os grupos
minoritários
(stakeholdres).


Stakeholders &
Shareholders

•Equilíbrio:
– Regulamentações
– Forças corporativas

Qual a relação entre
equilíbrio e
segurança?


Balanceando pressões


• Compliance: “conjunto
de disciplinas para fazer
cumprir as normas
legais e regulamentares,
as políticas e as
diretrizes estabelecidas
para o negócio e para as
atividades da instituição
ou empresa, bem como
evitar, detectar e tratar
qualquer desvio ou
inconformidade que
possa ocorrer” (Fonte:
Wikipedia)



•Risco x Conformidade:

–100% de conformidade garante
100% de segurança?


Desaﬁos da Governança
Quais
são
os

Gerenciar riscos x principais

investimentos adequados desaﬁos
de
sua

Manter organização organização?
segura
Seguir padrões
Atender às exigências
regulatórias


Sucesso na GSI
Comunicação: direção, gerências
e operação Qual
a

Planejamento alinhado à realidade
de

estratégia sua

Políticas aderentes aos requisitos organização?
legais
Nível de maturidade coerente
com contexto de riscos
Estruturar controles de
segurança (frameworks)
Monitorar a eﬁcácia e eﬁciência

Melhores Práticas

•Personalizar as práticas
Qual
as

ao negócio prá6cas
de
sua

organização?
–“O grande diferencial não
está em utilizar apenas
um guia, ma sim em
combinar o que cada um
possui de melhor”


Melhores Práticas
Cuidado
com:
Orçamento
Pessoas


Fundamentos de ITIL


Cobit: parte 1


Cobit: parte 2


Cobit


Cobit: Alinhamento


Cobit: metas e medidas


Cobit: framework


3o Trabalho - parte I


3o Trabalho - parte I
Elaborar um plano de implantação de política de
segurança e o manual se segurança da
informação. (30 pontos). Entrega final em: 28.05

1. Reavaliar o Diagnóstico & lacunas,
considerando as metas de negócio.
2. Através da análise de risco, estabelecer as
metas de TI (relativas à segurança).
3. Definir estratégia para cada lacuna,
estabelecendo metas de processos e metas de
atividades.
4. Definir resumo do projeto, contendo: problema,
solução, custo, beneficios, macro-cronograma


ISO/IEC 17799
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)

• “A ISO/IEC 17799 foi atualizada para
numeração ISO/IEC 27002 em julho de
2007. É uma norma de Segurança da
Informação revisada em 2005 pela ISO e
pela IEC. A versão original foi publicada em
2000, que por sua vez era uma cópia fiel do
padrão britânico (BS) 7799-1:1999.” (Fonte:
Wikipedia)


ISO/IEC 27000

• ISO 27000 - Vocabulário de Gestão da Segurança da Informação;
• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de
gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);
• ISO 27003 - Aborda a gestão de risco;
• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;
• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do sistema de
controles;
• ISO 27006 - Esta norma será referente à recuperação e
continuidade de negócio.



ISO/IEC 27001

ISO/IEC 17799/27002

• Framework
–Políticas de segurança
–Segurança organizacional
–Segurança das pessoas
–Segurança física e do ambiente
–Gerenciamento das operações
–Controle de acesso
–Desenvolvimento e manutenção de sistemas
–Gestão da continuidade do negócio
–Conformidade


Metodologia Octave

• Origem: Software Engineering Institute (SEI)
da Carnigie Mellon University
• Antes de avaliar o risco: entender o negócio,
cenário e contexto
• Octave Method (grandes organizações) e
Octave-S (pequenas)


Use Octave-S, se:

• Hierarquia simples
• Menos de 300 funcionários
• Metodologia estruturada com pouca
customização
• Há muita terceirização na TI
• Infraestrutura simples


Octave Method

• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
–Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos
importantes, exigências de segurança, ameaças e
vulnerabilidades
–Processo 2: Conhecimento da gerência
operacional: Equipe coleta informações sobre
recursos importantes, exigências de segurança,
ameaças e vulnerabilidades
–


Octave Method

• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
–Processo 3: Conhecimento de cada
departamento: Equipe coleta informações sobre
recursos importantes, exigências de segurança,
ameaças e vulnerabilidades
–Processo 4: Criar perfis de ameaças para 3 a 5
ativos críticos


Octave Method

• 2a Fase: Identificar vulnerabilidades da
infraestrutura
–Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos recursos
–Processo 6: Avaliar componentes-chave dos
recursos


Octave Method

• 3a Fase: Desenvolver estratégias e planos
de segurança
–Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)
–Processo 8: Desenvolver estratégias de proteção
para melhorar as práticas de segurança


Octave-S

• 1a Fase: Identifica ativos com base nos
perfis de ameaça
–Processo S1: Identificar ativos, definir critérios de
avaliação dos impactos e situação atual das
práticas de segurança
–Processo S2: Criar perfis de ameaças e definir
exigências de segurança


Octave-S

• 2a Fase: Identificar vulnerabilidades da
infraestrutura
–Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o
quanto os processos tecnológicos os protegem


Octave-S

• 3a Fase: Desenvolver estratégias e planos
de segurança
–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico
–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança


Octave: Atividades

para Gestão de Riscos
• Identificação dos riscos
• Análise e classificação quanto à criticidade
• Criação de plano estratégico para proteção
• Criação de plano para tratamento de riscos
• Planejamento da implantação
• Implantação
• Monitoramento da execução dos planos
• Controle das variações


Visão ampla
Where Does COBIT Fit?

CONFORMIDADE
Direcionadores DESEMPENHO: Basel II, Sarbanes-
Metas de Negócio Oxley Act, etc.

Governança Corporativa BSC COSO

Governança de TI COBIT

Melhores práticas ISO ISO ISO
9001:2000 17799 20000

Processos e Procedimentos Princípios de
ITIL
procedimentos de QA Segurança


Então?

• ITIL O
que
devo

• Cobit adotar
em

• ISO minha

empresa?
• Octave
• BSC


Paradigmas

• “A equipe de TI deve
gerenciar e conduzir suas
ações para influenciar as
partes interessadas e
garantir o sucesso do
projeto, sempre focada no
negócio”


Partes interessadas

Quais
são
os

principais

stakeholders

de
sua

organização?


Governando Riscos

• Desafio: conhecer os
Por que adotar o
riscos gerenciamento de
riscos de segurança
• Riscos determinam os da informação em
processos de segurança sua organização?
da metodologia/framework


Tipos de Riscos

• Estratégico e empresarial (negócios)
• Humano
Quais
são
os

• Tecnológico principais

• Imagem riscos
de
sua

• Legal organização?



Visão executiva

Visão executiva

Na
sua

• Comunicação empresa,
TI
é

• Foco no negócio custo
ou

• Alinhamento estratégico diferencial?
• Custo x diferencial competitivo
• Recursos de TI como portfólio de
investimentos


Contexto da

organização
Você
fala

• Organograma: formal x real
“javanês”

• Sensibilização e conscientização com
os

• Linguagem execu6vos?
• Benchmark


Governando Processos

• Conceito de processo:
–sequências semi-repetitivas de eventos que,
geralmente, estão distribuídas de forma ampla
pelo tempo e espaço



• Mapeando processos:
–Enumerar atividades
–Ordernar em forma sequencial
–Identificar entradas e saídas
• recursos
• infraestrutura
• insumos
• matéria-prima
• fornecedores
–Estabelecer características de produtos/serviços



• Mapeando processos:
–Definir documentação para operação e controle
–Estabelecer indicadores de eficácia
–Definir plano de controle



• Nível de maturidade:
–Obter conhecimento sobre os procedimentos
–Otimizar processos (melhores práticas)
–Comparar (benchmark)
–Adotar políticas
–Utilizar a TI como facilitador
–Definir processos de riscos
–Integrar riscos
–Monitorar falhas e melhorias
–Realinhar processos


Cobit: níveis de maturidade

• Nível 0: inexistente



• Nível 1: Inicial
–Consciência mínima da necessidade de
Governança
–Estruturas desorganizadas, sem padrões
–Suporte e TI não integrados
–Ferramentas e serviços não integrados
–Serviços reativos a incidentes



• Nível 2: Repetitivo
–Consciência relativa da necessidade de
Governança
–Atividades de governança e medidores em
desenvolvimento
–Estruturas pouco organizadas, sem padrões
–Serviços realizados sem metodologia
–Repetição de incidentes
–Sem controle de mudanças



• Nível 3: Definido
–Alta consciência sobre Governança
–Processos padronizados, implementados e
documentodos
–Controle de mudanças
–Métricas e indicadores consistentes
–Inexistência de SLA



• Nível 4: Gerenciado
–Consciência da importância de Governança
–SLA’s e catálogos de serviços
–Inexistência de gestão financeira
–TI ainda não é vista como benefício para o
negócio
–Início do processo de melhoria contínua



• Nível 5: Otimizado
–Consciência total
–Gestão financeira de TI
–Melhores práticas adotadas e gerenciadas
–Melhoria contínua de processos
–Otimização contínua de TI


Linha do tempo

!"#$%&'"'()
A(B&5&'"'() A".()>("?@-6) A".()'")) A".()'"))
A".()7CD-).(&)) E01B(0(,#";D-) G-,.-B&'";D-) HI5(BJ,5&")
'(),"'"=) A%"F0(,#"'") K1(%"5&-,"B)

!(BT-%&")5-,?,$"))
G%&"%)E,@(,#O%&-.)) '-)1%-5(..-)
M"%")&,&5&"?@".)'()
P-@(%,",;")
E,&5&")$0)"Q-%'"F(0)
R,&S5"'-)'())
P-@(%,",;")

2'34-56)789):";-))
<$",'-)1%(5&.-=))
3)>("?@-) 25(B(%"%)1%-L(#-.)
M"%")%("F&%)".)
.-B&5&#";N(.)
/(01-)
*)")+)",-.)


Por que evoluir

processos?
• Evita desperdícios de esforços e recursos
• Visão de processos e responsabilidades
• Investimentos claros e alinhados ao negócio
• Planejamento de longo prazo


Métricas para GSI

• Processos de TI
–Modelo de maturidade
–Fatores críticos de sucesso
–Indicadores de metas
–Indicadores de desempenho


Métricas para GSI

• Fatores críticos de sucesso (CFS)
–importância estratégica
–expressos em termos de processos
–mensuráveis


Métricas para GSI

• Indicadores de metas (KGI)
–verificam se os processos alcançaram as metas
–“O que atingir?”
–indicadores imediatos de sucesso
–mensuráveis


Métricas para GSI

• Indicadores de desempenho (KPI)
–orientados a processos
–definem o desempenho dos procesoss
–mensuráveis


Integrando Medidores

• Security Scorecard
–CFS definidos para um processo
–São monitorados por KPI’s
–Devem atingir os KGI’s


Integrando Medidores

• Implantando
–1a etapa: Definir indicadores
–2a etapa: Sensibilizar pessoas e planejar
mensuração
–3a etapa: Treinar pessoas, coletar e validar dados
–4a etapa: Corrigir e previnir


Governança de SI

• Visão e missão estratégicas:
–Governança Corporativa:
• Governança de TI
• Governança de SI


4a parte: Implantando

políticas de SI


Políticas de SI

• Informações são ativos
• Envolvimento da alta gestão
• Responsabilidade formal dos colaboradores
• Estabelecimento de padrões


Políticas de SI:

Características
• Simples
• Compreensíveis
• Homologadas e assinadas pela alta gestão
• Estruturada para implantação em fases
• Alinhadas com o negócio
• Orientadas aos riscos
• Flexíveis
• Protetoras de ativos (Pareto)
• Positivas (não apenas proibitivas)

Visão geral da
metodologia


Etapas para o

desenvolvimento
• Fase I - Levantamento de informações
–Obtenção dos padrões e normas atuais
–Entendimento do uso da TI nos processos
–Obtenção de informações sobre o negócio
–Obtenção de informações sobre ambiente de TI


Etapas para o

desenvolvimento
• Fase II - Desenvolvimento do Conteúdo e
Normas
– Gerenciamento da politica de segurança
–Atribuição de regras e responsabilidades
–Critérios para classificação de informações
–Procedimentos de SI


Fase II: Desenvolvimento

de políticas e normas:
• Gerenciamento da politica de segurança
–Definição da SI
–Objetivos
–CFS
–Gerenciamento da versão
–Referências a outras políticas



• Atribuição de regras e responsabilidades:
–Comitê de SI
–Proprietário das informações
–Área de SI
–Usuários de informações
–RH
–Auditoria



• Critérios de classificação das informações:
–Introdução
–Classificação
–Níveis de classificação
–Reclassificação
–Armazenamento e descarte
–Armazenamento e saídas



• Procedimentos de SI:
–Classificação e tratamento da informação
–Notificação e gerenciamento de incidentes
–Processo disciplinar
–Aquisição e uso de hardware e software
–Proteção contra software malicioso
–Segurança e tratamento de mídias
–Uso de internet
–Uso de e-mail
–Uso de recursos de TI



–Backup
–Manutenção e teste de equipamentos
–Coleta e registro de falhas
–Gerenciamento e controle de rede
–Monitoramento do uso e acesso aos sistemas
–Uso de controles de criptografia
–Controle de mudanças
–Inventário de ativos de informação
–Controle de acesso físico



–Segurança física
–Supervisão de visitantes e prestadores de
serviços


Etapas para o

desenvolvimento
• Fase III - Elaboração de Procedimentos de
SI
–Pesquisa sobre melhores práticas
–Desenvolvimento de procedimentos e padrões
–Formalização dos procedimentos


Etapas para o

desenvolvimento
• Fase IV - Revisão, aprovação e implantação
–Revisão e aprovação
–Implantação
• Preparação de material de divulgação
• Divulgação das responsabilidades
• Palestras executivas
• Palestras e treinamentos operacionais


Etapas para o
desenvolvimento


3o Trabalho - parte II
Elaborar um plano de implantação de política de
segurança e o manual se segurança da informação. (30
pontos). Entrega final em: 28.05

1. Reavaliar o Diagnóstico & lacunas, considerando as
metas de negócio.
2. Através da análise de risco, estabelecer as metas de TI
(relativas à segurança).
3. Definir estratégia para cada lacuna, estabelecendo
metas de processos e metas de atividades.
4. Definir resumo do projeto, contendo: problema,
solução, custo, beneficios, macro-cronograma
5. Elaborar um plano de implantação de política de
segurança e o manual se segurança da informação.

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

Recomendados

Recomendados

Mais conteúdo relacionado

Destaque

Destaque (20)

Semelhante a Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação

Semelhante a Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação (20)

Mais de Roberto Dias Duarte

Mais de Roberto Dias Duarte (20)

Último

Último (20)

Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação