Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
1. Políticas,
práticas e
procedimentos
em Segurança
da Informação
prof. Roberto Dias Duarte
Melhor prevenir, que remediar!
prof. Roberto Dias Duarte
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada. Photographer: Reuters
sábado, 14 de maio de 2011
2. Com licença, sou o
Roberto
“Conheço apenas
minha ignorância”
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
3. Big Brother Fiscal IV
Disponível em
maio/2011
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
4. Big Brother Fiscal IV
Disponível em
maio/2011
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
7. Trabalhos
• 07.05 - Diagnóstico de segurança da empresa:
contexto empresarial, visão, missão,
estratégias, indicadores, normas reguladoras e
“lacunas” de segurança. (30 pontos)
• 14.05 - Ante-projeto Prática de Segurança:
diagnóstico, problema, solução, custo,
beneficios, análise de riscos, macro-
cronograma. (30 pontos)
• 28.05 - Elaborar um plano de implantação de
política de segurança e o manual se segurança
da informação. (30 pontos)
sábado, 14 de maio de 2011
8. Trabalhos
Todo o projeto deve ser alinhado à estratégia empresarial e/ou marcos
regulatórios de uma empresa, apontando custos e benefícios
• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,
rentabilidade, retenção de clientes, etc.
• 2. Toda organização está inserida em um ecossistema onde há diversos
marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista,
ANEEL, ANAC, consumidor, SAC, etc.
• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais
(ou marcos legais).
• 4. Determinem o planejamento de implantação da política de segurança
para um indicador ou marco legal - se fizerem para mais de um, não há
problema, mas o esforço de trabalho é proporcional à quantidade de
métricas.
• 5. Derivem os processos de segurança e as atividades a partir das
políticas.
• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de
sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a
empresa a melhorar algum indicador de desempenho ou manter a
compatibilidade legal regulatória do setor.
sábado, 14 de maio de 2011
9. 1o Trabalho
Diagnóstico de segurança da empresa: contexto
empresarial, visão, missão, estratégias,
indicadores, normas reguladoras e
“lacunas” (Gap’s) de segurança.
Prazo: 7.5.2011 às 11:00
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
sábado, 14 de maio de 2011
10. 1. Contexto empresarial
1.2.Visão
•1.1. Missão
É o sonho da organização, é o
– É a razão de existência
futuro do negocio e onde a
de uma organização.
organização espera estar nesse
futuro.
•1.3. Estratégia
•“Forma de pensar no futuro, integrada no
processo decisório, com base em um
procedimento formalizado e articulador
de resultados” (Mintzberg).
sábado, 14 de maio de 2011
11. 2. Públicos
Consumidores
Clientes
Investidores
Parceiros
sábado, 14 de maio de 2011
13. 4. Normas reguladoras
1. Em quais ecossistemas a empresa está
inserida?
2. Quais os agentes reguladores e normas?
IFRS
ANATEL
SPED Sindicatos
ANAC SOX NF-e Consumidor
ANEEL Basiléia RFB Clientes
CMV
SEFAZ Franqueadores
BACEN
Parceiros
Contratos
sábado, 14 de maio de 2011
14. 5. Lacunas de segurança
1.Liste 7 lacunas de segurança da empresa
2. Relacione as lacunas com os indicadores ou
normas
3. Estabeleça as 3 de maior relevância,
explicando os motivos
sábado, 14 de maio de 2011
21. O que é fraude?
É um esquema
ilícito ou de má fé
criado para obter
ganhos pessoais.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
22. Fatores primários
1 - Existência de golpistas
motivados.
• Ineficiência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca fiscalização.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
23. Mas principalmente
porque...
o desrespeito às
leis é considerado
comportamento
“normal”.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
24. Mas principalmente
porque...
o desrespeito às
leis é considerado
comportamento
“normal”.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
25. Fatores primários
2 - Existência de vítimas vulneráveis
• Pouca informação e divulgação
preventivas;
• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é
considerado comportamento
“normal”.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
26. Fatores primários
3 - Falta de controle ou fiscalização
• percepção do problema como
não prioritário;
• despreparo das autoridades;
• escassa coordenação de ações
contra fraudadores;
• falta de leis específicas e pouca
clareza em algumas das
existentes.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
33. Vulnerabilidade?
Falha (ou conjunto)
que pode ser explorada
por ameaças
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
34. Incidente?
Evento que
comprometa a
operação do
negócio ou
cause dano aos
ativos da
organização
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
35. Incidente?
Evento que
comprometa a
operação do
negócio ou
cause dano aos
ativos da
organização
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
36. Impacto?
Resultados de
incidentes
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
37. Análise de risco
Impacto
Transfere Mitiga
Aceita Reduz
Probabilidades
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
40. Ativo? Intangível?
“Um ativo intangível é um
ativo não monetário
identificável sem
substância física ou,
então, o ágio pago por
expectativa de
rentabilidade futura
(goodwill)”
Fonte: http://www.cpc.org.br
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
42. Assinatura Digital
É um método de autenticação
de informação digital
Não é Assinatura Digitalizada!
Não é Assinatura Eletrônica!
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
44. Como funciona?
HASH é
gerado a
partir da
chave pública
O HASH é
Autor assina descriptografado
a com sua partir da chave
chave privada pública
Novo HASH
é gerado
HASH é
armazenado
na mensagem
Novo HASH é comparado
com o original
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
45. Documentos Digitais
MP 2.200-2 de Agosto/2001
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
46. Documentos Digitais
MP 2.200-2 de Agosto/2001
“As declarações constantes dos documentos em
forma eletrônica produzidos com a utilização de
processo de certificação disponibilizado pela
presumem-se
ICP-Brasil
verdadeiros em relação
aos signatários”
(Artigo 10o § 1o)
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
47. Documentos Digitais
MP 2.200-2 de Agosto/2001
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
48. Documentos Digitais
MP 2.200-2 de Agosto/2001
“O disposto nesta Medida Provisória não obsta a
utilização de outro meio de comprovação da
autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certificados
não emitidos pela ICP-Brasil, desde que
admitido pelas partes como válido ou aceito
pela pessoa a quem for oposto o documento.”
(Artigo 10o § 2o)
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
50. Caso real
Integridade
Autenticidade
Não repudio
Disponibilidade
Confidencialidade
Auditabilidade
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
51. Caso real
Integridade
Autenticidade
Não repudio
Disponibilidade
Confidencialidade
Auditabilidade
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
53. Carimbo do tempo
Certifica a autenticidade temporal
(data e hora) de arquivos eletrônicos
Sincronizado a “Hora Legal
Brasileira”
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
55. Integridade
Qualquer alteração
da mensagem faz
com que a
assinatura não
corresponda mais
ao documento
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
61. Confidencialidade
Passo 1: Alice envia sua
chave pública para Bob
Passo 2: Bob cifra a
mensagem com a
chave pública de Alice
e envia para Alice, que
recebe e decifra o
texto utilizando sua
chave privada
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
65. Auditabilidade
Deve haver
informação
relativa às
ações de
alteração
ou consulta
de dados Quem?
Quando?
O que fez?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
66. Por que preciso saber
disso?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
67. Ecosistema Fiscal
NF-e
NFS-e EFD ICMS/IPI
CT-e
EFD/CIAP
Tem nota? CF-e Brasil-id
EFD PIS/COFINS
CC-e Siniav
Entregou? EFD/FOLHA
Fisco
NF-e SPED Contábil
Vendeu?
NFS-e EFD Contábil
CF-e
CC-e
Recebeu? Cliente
Produziu?
Contador
NF-e
Estoque? Pagou? NFS-e
CF-e
CC-e Fornecedor
Comprou?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
68. Vamos entender as
principais
vulnerabilidades das
empresas no mundo do
pós-SPED?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
69. O que é a Nota
Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica
como sendo um documento de existência
apenas digital, emitido e armazenado
eletronicamente, (...)
Sua validade jurídica é garantida pela
assinatura digital do remetente (garantia de
autoria e de integridade) e pela recepção, pelo
Fisco, do documento eletrônico, antes da
ocorrência do fato gerador.”
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
78. Vulnerabilidade #1
Te n h o q u e
ver ificar o
arquivo XML
Cláusula décima
§ 1º O destinatário
deverá v e r i fi c ar a
vali dade e
autenticidade da NF-e
e a exis tênci a de
Autorização de Uso da
NF-e.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
82. Vulnerabilidade #2
Cláusula quarta
Ainda que formalmente regular,
não será considerado
documento fiscal idôneo a NF-e
que tiver si do emiti da o u
utilizada co m do lo, f rau de,
s i m u la ç ã o o u e r r o, q u e
possibilite, mesmo que a terceiro,
o não-pagamento do imposto ou
q u al q u er o ut r a va ntag e m
indevida. Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
86. Vulnerabilidade #3
ATO COTEPE/ICMS Nº 33 /2008
Efeitos a partir de 01.01.12:
Art. 1º Poderá o emitente solicitar o cancelamento
da NF-e, em prazo não superior a 24 horas, contado
do momento em que foi concedida a respectiva
Autorização de Uso da NF-e, desde que não tenha
ocorrido a circulação da mercadoria ou a prestação
de serviço e observadas às demais normas constantes
do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
90. Vulnerabilidade #4
Cláusula Sétima
§ 7º O emitente da NF-e deverá,
obr ig ato r i am e nte, e ncam inhar o u
disponibilizar download do arquivo
da NF-e e seu respectivo Protocolo de
Autorização de Uso ao destinatário e
a o t r a n s p o r t a d o r c o n t r at a d o,
imediatamente após o recebimento da
autorização de uso da NF-e.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
94. Vulnerabilidade #5
Cláusula décima
O emitente e o destinatário deverão manter a NF-e em arquivo
d ig i tal, sob sua guarda e re sp o nsabi l i dade, p elo prazo
estabelecido na legislação tributária, mesmo que fora da empresa,
devendo ser disponibilizado para a Administração Tributária
quando solicitado. (...)
§ 2º Caso o destinatário não seja contribuinte credenciado para a
emissão de NF-e, alternativamente ao disposto no “caput”, o
destinatário deverá manter em arquivo o DANFE relativo a NF-e
da operação, devendo ser apresentado à administração tributária,
quando solicitado.
§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido
na legislação tributária o DANFE que acompanhou o retorno de
mercadoria não recebida pelo destinatário e que contenha o
motivo da recusa em seu verso.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
98. Vulnerabilidade #6
“ E m p ré s t i m o ” d e s e n h a e
ar mazenam ento de
certificados digitais
eCPF, eCNPJ, ePJ
A1, A3, HSM
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
99. O que causa
vulnerabilidade?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
100. Causas das
vulnerabilidades
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
101. Causas das
vulnerabilidades
Tecnologia precária
Falta de conhecimento
Ganância: preços abaixo do
mercado
Desrespeito as leis encarado
como comportamento comum
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
104. Consequências
Mercadorias sem documento
idôneo
Mercadorias de origem ilícita
Problemas fiscais: documentos
inidôneos
Sigilo fiscal e comercial violados
Assinatura de contratos e
outros documentos
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
108. O dono da bola
Quem é o responsável pela gestão da informação?
Definições:
políticas de segurança
políticas de backup
políticas de contingência
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
109. Termo de compromisso
Formaliza responsabilidades:
Sigilo de informações;
Cumprimento de normas de segurança;
Conduta ética.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
110. Autenticação individual
Identifica as pessoas:
Senha;
Cartão ou token;
Biometria;
Certificado Digital.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
113. Cópias de segurança
Qual a política definida?
Qual a cópia mais antiga?
Os arquivos das estações
têm cópias?
Os servidores têm cópias?
Onde são armazenadas?
Em que tipo de mídia?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
114. Software homologado
Itens de verificação:
manutenção
treinamento
suporte
condições comerciais
capacidade do fabricante
tendências
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
115. Uso de antivírus
Prevenção além do software:
Anexos
Executável? No way!
Download? Só de sites confiáveis
Backup, sempre
Educação
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
116. O Carona
Prevenção contra
“sessões abertas” em sua
ausência:
Conduta: Suspensão
ou encerramento da
sessão;
Mecanismo:
Suspensão ou
encerramento da sessão.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
117. Correio eletrônico
Pishing
Muitos golpes:
Notícias falsas
Propostas “irresistíveis”
Seu CPF foi...
Atualize sua senha...
blá, blá, blá...
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
118. Informações pessoais
Cuidado com informação de:
Funcionários
Clientes
Parceiros
Quem pode acessar?
Parceiros?
Uso comercial?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
119. Ambiente Físico
Ahhh, reuniões rápidas:
no elevador
na festa
no avião
Quadros, flip chart, relatórios, etc
Lixão, de novo?
Quem entra, quem sai?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
120. Engenharia social
Procedimentos para obtenção de informações
através de contatos falsos
“Conversa de malandro”
Lixão
Habilidades do farsante:
fala com conhecimento
adquire confiança
presta “favor”
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
121. Uso da Internet & Redes
Sociais
Qual a sua opinião?
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
122. Uso da Internet & Redes
Sociais
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
123. Uso da Internet & Redes
Sociais
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
124. Uso da Internet & Redes
Sociais
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
125. Ações preventivas
Conhecimento
Física
Análise
Software
Planejamento
Humana
Investimento
Educação.
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
126. Ações detectivas
Quanto antes, melhor Conhecimento
Monitoramento de Análise
eventos
Planejamento
O que monitorar?
Investimento
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
127. Ações corretivas
Minimizar o problema
Quanto mais rápido,
melhor
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
128. Plano de continuidade
Contexto empresarial
Mapeamento de riscos
Conhecimento
Análise
Planejamento
Investimento
Educação
Simulação
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
129. Direitos do usuário
Acesso individual Treinamento sobre
segurança
Informações para
trabalhar Comunicar ocorrências
de segurança
Saber o que é rastreado
Garantia de privacidade
Conhecer as políticas e
normas Ser mais importante
que a tecnologia
Ser avisado sobre
tentativas de invasão
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
130. Mensagem sobre o
segurança
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
131. Mensagem sobre o
segurança
prof. Roberto Dias Duarte
sábado, 14 de maio de 2011
132. 2o Trabalho
Ante-projeto Prática de Segurança: diagnóstico,
análise de riscos, problema, solução, custo,
beneficios, macro-cronograma.
Prazo: 14.5.2011 às 07:40
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
sábado, 14 de maio de 2011
133. 2o Trabalho
1. Ajustar o diagnóstico reavaliando as lacunas
2. Análise de risco considerando as 7 lacunas
relacionadas
3. Definir estratégia para cada lacuna: mitigar,
transferir, reduzir,aceitar
4. Identificar problema, solução, custo,
beneficios, macro-cronograma para 3 lacunas.
sábado, 14 de maio de 2011
134. Apresentação do 2o
trabalho
Data: 14/5/2011
Prazo para ajustes: de 07:40 às 08:20
Apresentações: de 08:20 às 09:00
sábado, 14 de maio de 2011
135. 3a Parte:
Visão de Gestão
sábado, 14 de maio de 2011
137. Qual é a estrutura da sua
organização?
sábado, 14 de maio de 2011
138. Governaça
“É o conjunto de processos,
costumes, políticas, leis,
regulamentos e
instituições que regulam a
maneira como uma
empresa é dirigida,
administrada ou
controlada” (fonte:
Wikipedia)
sábado, 14 de maio de 2011
139. Governaça
•Visão
–É o sonho da organização, é o
futuro do negocio e onde a
organização espera estar nesse
futuro.
•Missão
–É a razão de existência de
uma organização.
sábado, 14 de maio de 2011
140. Governaça
•Transparência
–Mais do que "a
obrigação de informar",
a administração deve
cultivar o "desejo de
informar"
sábado, 14 de maio de 2011
142. Stakeholders &
Shareholders
•Equilíbrio:
– Regulamentações
– Forças corporativas
Qual a relação entre
equilíbrio e
segurança?
sábado, 14 de maio de 2011
145. Balanceando pressões
• Compliance: “conjunto
de disciplinas para fazer
cumprir as normas
legais e regulamentares,
as políticas e as
diretrizes estabelecidas
para o negócio e para as
atividades da instituição
ou empresa, bem como
evitar, detectar e tratar
qualquer desvio ou
inconformidade que
possa ocorrer” (Fonte:
Wikipedia)
sábado, 14 de maio de 2011
146. Balanceando pressões
•Risco x Conformidade:
–100% de conformidade garante
100% de segurança?
sábado, 14 de maio de 2011
147. Desafios da Governança
Quais
são
os
Gerenciar riscos x principais
investimentos adequados desafios
de
sua
Manter organização organização?
segura
Seguir padrões
Atender às exigências
regulatórias
sábado, 14 de maio de 2011
148. Desafios da Governança
Quais
são
os
Gerenciar riscos x principais
investimentos adequados desafios
de
sua
Manter organização organização?
segura
Seguir padrões
Atender às exigências
regulatórias
sábado, 14 de maio de 2011
149. Sucesso na GSI
Comunicação: direção, gerências
e operação Qual
a
Planejamento alinhado à realidade
de
estratégia sua
Políticas aderentes aos requisitos organização?
legais
Nível de maturidade coerente
com contexto de riscos
Estruturar controles de
segurança (frameworks)
Monitorar a eficácia e eficiência
sábado, 14 de maio de 2011
150. Melhores Práticas
•Personalizar as práticas
Qual
as
ao negócio prá6cas
de
sua
organização?
–“O grande diferencial não
está em utilizar apenas
um guia, ma sim em
combinar o que cada um
possui de melhor”
sábado, 14 de maio de 2011
151. Melhores Práticas
Cuidado
com:
Orçamento
Pessoas
sábado, 14 de maio de 2011
168. 3o Trabalho - parte I
Elaborar um plano de implantação de política de
segurança e o manual se segurança da
informação. (30 pontos). Entrega final em: 28.05
1. Reavaliar o Diagnóstico & lacunas,
considerando as metas de negócio.
2. Através da análise de risco, estabelecer as
metas de TI (relativas à segurança).
3. Definir estratégia para cada lacuna,
estabelecendo metas de processos e metas de
atividades.
4. Definir resumo do projeto, contendo: problema,
solução, custo, beneficios, macro-cronograma
sábado, 14 de maio de 2011
169. ISO/IEC 17799
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• “A ISO/IEC 17799 foi atualizada para
numeração ISO/IEC 27002 em julho de
2007. É uma norma de Segurança da
Informação revisada em 2005 pela ISO e
pela IEC. A versão original foi publicada em
2000, que por sua vez era uma cópia fiel do
padrão britânico (BS) 7799-1:1999.” (Fonte:
Wikipedia)
sábado, 14 de maio de 2011
170. ISO/IEC 27000
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• ISO 27000 - Vocabulário de Gestão da Segurança da Informação;
• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de
gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);
• ISO 27003 - Aborda a gestão de risco;
• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;
• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do sistema de
controles;
• ISO 27006 - Esta norma será referente à recuperação e
continuidade de negócio.
sábado, 14 de maio de 2011
171. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sábado, 14 de maio de 2011
ISO/IEC 27001
172. ISO/IEC 17799/27002
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Framework
–Políticas de segurança
–Segurança organizacional
–Segurança das pessoas
–Segurança física e do ambiente
–Gerenciamento das operações
–Controle de acesso
–Desenvolvimento e manutenção de sistemas
–Gestão da continuidade do negócio
–Conformidade
sábado, 14 de maio de 2011
173. Metodologia Octave
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Origem: Software Engineering Institute (SEI)
da Carnigie Mellon University
• Antes de avaliar o risco: entender o negócio,
cenário e contexto
• Octave Method (grandes organizações) e
Octave-S (pequenas)
sábado, 14 de maio de 2011
174. Use Octave-S, se:
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Hierarquia simples
• Menos de 300 funcionários
• Metodologia estruturada com pouca
customização
• Há muita terceirização na TI
• Infraestrutura simples
sábado, 14 de maio de 2011
175. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
–Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos
importantes, exigências de segurança, ameaças e
vulnerabilidades
–Processo 2: Conhecimento da gerência
operacional: Equipe coleta informações sobre
recursos importantes, exigências de segurança,
ameaças e vulnerabilidades
–
sábado, 14 de maio de 2011
176. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
–Processo 3: Conhecimento de cada
departamento: Equipe coleta informações sobre
recursos importantes, exigências de segurança,
ameaças e vulnerabilidades
–Processo 4: Criar perfis de ameaças para 3 a 5
ativos críticos
sábado, 14 de maio de 2011
177. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 2a Fase: Identificar vulnerabilidades da
infraestrutura
–Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos recursos
–Processo 6: Avaliar componentes-chave dos
recursos
sábado, 14 de maio de 2011
178. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 3a Fase: Desenvolver estratégias e planos
de segurança
–Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)
–Processo 8: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
sábado, 14 de maio de 2011
179. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 1a Fase: Identifica ativos com base nos
perfis de ameaça
–Processo S1: Identificar ativos, definir critérios de
avaliação dos impactos e situação atual das
práticas de segurança
–Processo S2: Criar perfis de ameaças e definir
exigências de segurança
sábado, 14 de maio de 2011
180. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 2a Fase: Identificar vulnerabilidades da
infraestrutura
–Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o
quanto os processos tecnológicos os protegem
sábado, 14 de maio de 2011
181. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 3a Fase: Desenvolver estratégias e planos
de segurança
–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico
–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
sábado, 14 de maio de 2011
182. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 3a Fase: Desenvolver estratégias e planos
de segurança
–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico
–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
sábado, 14 de maio de 2011
183. Octave: Atividades
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
para Gestão de Riscos
• Identificação dos riscos
• Análise e classificação quanto à criticidade
• Criação de plano estratégico para proteção
• Criação de plano para tratamento de riscos
• Planejamento da implantação
• Implantação
• Monitoramento da execução dos planos
• Controle das variações
sábado, 14 de maio de 2011
184. Visão ampla
Where Does COBIT Fit?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
CONFORMIDADE
Direcionadores DESEMPENHO: Basel II, Sarbanes-
Metas de Negócio Oxley Act, etc.
Governança Corporativa BSC COSO
Governança de TI COBIT
Melhores práticas ISO ISO ISO
9001:2000 17799 20000
Processos e Procedimentos Princípios de
ITIL
procedimentos de QA Segurança
sábado, 14 de maio de 2011
185. Então?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• ITIL O
que
devo
• Cobit adotar
em
• ISO minha
empresa?
• Octave
• BSC
sábado, 14 de maio de 2011
186. Paradigmas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• “A equipe de TI deve
gerenciar e conduzir suas
ações para influenciar as
partes interessadas e
garantir o sucesso do
projeto, sempre focada no
negócio”
sábado, 14 de maio de 2011
187. Partes interessadas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Quais
são
os
principais
stakeholders
de
sua
organização?
sábado, 14 de maio de 2011
188. Governando Riscos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Desafio: conhecer os
Por que adotar o
riscos gerenciamento de
riscos de segurança
• Riscos determinam os da informação em
processos de segurança sua organização?
da metodologia/framework
sábado, 14 de maio de 2011
189. Tipos de Riscos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Estratégico e empresarial (negócios)
• Humano
Quais
são
os
• Tecnológico principais
• Imagem riscos
de
sua
• Legal organização?
sábado, 14 de maio de 2011
190. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sábado, 14 de maio de 2011
Visão executiva
191. Visão executiva
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Na
sua
• Comunicação empresa,
TI
é
• Foco no negócio custo
ou
• Alinhamento estratégico diferencial?
• Custo x diferencial competitivo
• Recursos de TI como portfólio de
investimentos
sábado, 14 de maio de 2011
192. Contexto da
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
organização
Você
fala
• Organograma: formal x real
“javanês”
• Sensibilização e conscientização com
os
• Linguagem execu6vos?
• Benchmark
sábado, 14 de maio de 2011
193. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Conceito de processo:
–sequências semi-repetitivas de eventos que,
geralmente, estão distribuídas de forma ampla
pelo tempo e espaço
sábado, 14 de maio de 2011
194. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sábado, 14 de maio de 2011
Governando Processos
195. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Mapeando processos:
–Enumerar atividades
–Ordernar em forma sequencial
–Identificar entradas e saídas
• recursos
• infraestrutura
• insumos
• matéria-prima
• fornecedores
–Estabelecer características de produtos/serviços
sábado, 14 de maio de 2011
196. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Mapeando processos:
–Definir documentação para operação e controle
–Estabelecer indicadores de eficácia
–Definir plano de controle
sábado, 14 de maio de 2011
197. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível de maturidade:
–Obter conhecimento sobre os procedimentos
–Otimizar processos (melhores práticas)
–Comparar (benchmark)
–Adotar políticas
–Utilizar a TI como facilitador
–Definir processos de riscos
–Integrar riscos
–Monitorar falhas e melhorias
–Realinhar processos
sábado, 14 de maio de 2011
198. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 0: inexistente
sábado, 14 de maio de 2011
199. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 1: Inicial
–Consciência mínima da necessidade de
Governança
–Estruturas desorganizadas, sem padrões
–Suporte e TI não integrados
–Ferramentas e serviços não integrados
–Serviços reativos a incidentes
sábado, 14 de maio de 2011
200. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 2: Repetitivo
–Consciência relativa da necessidade de
Governança
–Atividades de governança e medidores em
desenvolvimento
–Estruturas pouco organizadas, sem padrões
–Serviços realizados sem metodologia
–Repetição de incidentes
–Sem controle de mudanças
sábado, 14 de maio de 2011
201. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 3: Definido
–Alta consciência sobre Governança
–Processos padronizados, implementados e
documentodos
–Controle de mudanças
–Métricas e indicadores consistentes
–Inexistência de SLA
sábado, 14 de maio de 2011
202. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 4: Gerenciado
–Consciência da importância de Governança
–SLA’s e catálogos de serviços
–Inexistência de gestão financeira
–TI ainda não é vista como benefício para o
negócio
–Início do processo de melhoria contínua
sábado, 14 de maio de 2011
203. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 5: Otimizado
–Consciência total
–Gestão financeira de TI
–Melhores práticas adotadas e gerenciadas
–Melhoria contínua de processos
–Otimização contínua de TI
sábado, 14 de maio de 2011
204. Linha do tempo
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
!"#$%&'"'()
A(B&5&'"'() A".()>("?@-6) A".()'")) A".()'"))
A".()7CD-).(&)) E01B(0(,#";D-) G-,.-B&'";D-) HI5(BJ,5&")
'(),"'"=) A%"F0(,#"'") K1(%"5&-,"B)
!(BT-%&")5-,?,$"))
G%&"%)E,@(,#O%&-.)) '-)1%-5(..-)
M"%")&,&5&"?@".)'()
P-@(%,",;")
E,&5&")$0)"Q-%'"F(0)
R,&S5"'-)'())
P-@(%,",;")
2'34-56)789):";-))
<$",'-)1%(5&.-=))
3)>("?@-) 25(B(%"%)1%-L(#-.)
M"%")%("F&%)".)
.-B&5&#";N(.)
/(01-)
*)")+)",-.)
sábado, 14 de maio de 2011
205. Por que evoluir
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
processos?
• Evita desperdícios de esforços e recursos
• Visão de processos e responsabilidades
• Investimentos claros e alinhados ao negócio
• Planejamento de longo prazo
sábado, 14 de maio de 2011
206. Métricas para GSI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Processos de TI
–Modelo de maturidade
–Fatores críticos de sucesso
–Indicadores de metas
–Indicadores de desempenho
sábado, 14 de maio de 2011
207. Métricas para GSI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Fatores críticos de sucesso (CFS)
–importância estratégica
–expressos em termos de processos
–mensuráveis
sábado, 14 de maio de 2011
208. Métricas para GSI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Indicadores de metas (KGI)
–verificam se os processos alcançaram as metas
–“O que atingir?”
–indicadores imediatos de sucesso
–mensuráveis
sábado, 14 de maio de 2011
209. Métricas para GSI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Indicadores de desempenho (KPI)
–orientados a processos
–definem o desempenho dos procesoss
–mensuráveis
sábado, 14 de maio de 2011
210. Integrando Medidores
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Security Scorecard
–CFS definidos para um processo
–São monitorados por KPI’s
–Devem atingir os KGI’s
sábado, 14 de maio de 2011
211. Integrando Medidores
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Implantando
–1a etapa: Definir indicadores
–2a etapa: Sensibilizar pessoas e planejar
mensuração
–3a etapa: Treinar pessoas, coletar e validar dados
–4a etapa: Corrigir e previnir
sábado, 14 de maio de 2011
212. Governança de SI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Visão e missão estratégicas:
–Governança Corporativa:
• Governança de TI
• Governança de SI
sábado, 14 de maio de 2011
214. Políticas de SI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Informações são ativos
• Envolvimento da alta gestão
• Responsabilidade formal dos colaboradores
• Estabelecimento de padrões
sábado, 14 de maio de 2011
215. Políticas de SI:
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Características
• Simples
• Compreensíveis
• Homologadas e assinadas pela alta gestão
• Estruturada para implantação em fases
• Alinhadas com o negócio
• Orientadas aos riscos
• Flexíveis
• Protetoras de ativos (Pareto)
• Positivas (não apenas proibitivas)
sábado, 14 de maio de 2011
216. Visão geral da
metodologia
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sábado, 14 de maio de 2011
217. Etapas para o
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
desenvolvimento
• Fase I - Levantamento de informações
–Obtenção dos padrões e normas atuais
–Entendimento do uso da TI nos processos
–Obtenção de informações sobre o negócio
–Obtenção de informações sobre ambiente de TI
sábado, 14 de maio de 2011
218. Etapas para o
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
desenvolvimento
• Fase II - Desenvolvimento do Conteúdo e
Normas
– Gerenciamento da politica de segurança
–Atribuição de regras e responsabilidades
–Critérios para classificação de informações
–Procedimentos de SI
sábado, 14 de maio de 2011
219. Fase II: Desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
de políticas e normas:
• Gerenciamento da politica de segurança
–Definição da SI
–Objetivos
–CFS
–Gerenciamento da versão
–Referências a outras políticas
sábado, 14 de maio de 2011
220. Fase II: Desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
de políticas e normas:
• Atribuição de regras e responsabilidades:
–Comitê de SI
–Proprietário das informações
–Área de SI
–Usuários de informações
–RH
–Auditoria
sábado, 14 de maio de 2011
221. Fase II: Desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
de políticas e normas:
• Critérios de classificação das informações:
–Introdução
–Classificação
–Níveis de classificação
–Reclassificação
–Armazenamento e descarte
–Armazenamento e saídas
sábado, 14 de maio de 2011
222. Fase II: Desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
de políticas e normas:
• Procedimentos de SI:
–Classificação e tratamento da informação
–Notificação e gerenciamento de incidentes
–Processo disciplinar
–Aquisição e uso de hardware e software
–Proteção contra software malicioso
–Segurança e tratamento de mídias
–Uso de internet
–Uso de e-mail
–Uso de recursos de TI
sábado, 14 de maio de 2011
223. Fase II: Desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
de políticas e normas:
• Procedimentos de SI:
–Backup
–Manutenção e teste de equipamentos
–Coleta e registro de falhas
–Gerenciamento e controle de rede
–Monitoramento do uso e acesso aos sistemas
–Uso de controles de criptografia
–Controle de mudanças
–Inventário de ativos de informação
–Controle de acesso físico
sábado, 14 de maio de 2011
224. Fase II: Desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
de políticas e normas:
• Procedimentos de SI:
–Segurança física
–Supervisão de visitantes e prestadores de
serviços
sábado, 14 de maio de 2011
225. Etapas para o
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
desenvolvimento
• Fase III - Elaboração de Procedimentos de
SI
–Pesquisa sobre melhores práticas
–Desenvolvimento de procedimentos e padrões
–Formalização dos procedimentos
sábado, 14 de maio de 2011
226. Etapas para o
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
desenvolvimento
• Fase IV - Revisão, aprovação e implantação
–Revisão e aprovação
–Implantação
• Preparação de material de divulgação
• Divulgação das responsabilidades
• Palestras executivas
• Palestras e treinamentos operacionais
sábado, 14 de maio de 2011
227. Etapas para o
desenvolvimento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sábado, 14 de maio de 2011
228. 3o Trabalho - parte II
Elaborar um plano de implantação de política de
segurança e o manual se segurança da informação. (30
pontos). Entrega final em: 28.05
1. Reavaliar o Diagnóstico & lacunas, considerando as
metas de negócio.
2. Através da análise de risco, estabelecer as metas de TI
(relativas à segurança).
3. Definir estratégia para cada lacuna, estabelecendo
metas de processos e metas de atividades.
4. Definir resumo do projeto, contendo: problema,
solução, custo, beneficios, macro-cronograma
5. Elaborar um plano de implantação de política de
segurança e o manual se segurança da informação.
sábado, 14 de maio de 2011