Segurança e privacidadeSegurança e privacidade
Gustavo C. Russo – 12.206.507-1
Marina C. Moraes – 12.112.680-9
Pedro P. Ga...
Agenda
• Snowden
• Criptografia
• Normas
• Guidelines• Guidelines
• COSO
• Estatísticas
• The Good Shepherd (2006) - Filme
Snowden
• Ex-funcionário da CIA
• Ex-contratado da NSA
• Entrevista exclusiva em Hong Kong
▫ Glenn Greenwald
▫ Laura Poitr...
Cr1pt0graf1@
• “BMWP8EJMNB”
• O que significa?• O que significa?
• Regra: (Letra – 1 e espaço=8)
“ALVO DILMA”
NBR ISO/IEC 27001:2006
• Abordagem do Processo
Modelo PDCA
NBR ISO/IEC 27002:2005
Informação e Segurança da Informação
NBR ISO/IEC 27002:2005
Controles
NBR ISO/IEC 27005:2008
DEFINIÇÃO DO CONTEXTO:
• Determinação de um propósito
• Definição de critérios básicos
▫ Critérios ...
NBR ISO/IEC 27005:2008
ANÁLISE/AVALIÇÃO DE RISCO:
• Identificação dos riscos
▫ Identificação dos ativos
▫ Identificação da...
NBR ISO/IEC 27005:2008
TRATAMENTO
DO RISCO:
NBR ISO/IEC 27005:2008
ACEITAÇÃO DO RISCO:
• Decisão dos gestores da organização
• Análise crítica• Análise crítica
• Cons...
General Security Risk Assessment
• Guia no qual os riscos de segurança podem ser
identificado e comunicados
• Metodologia ...
Etapas
• Compreender a organização e identificar as
pessoas e bens em risco
• Especificar perdas em eventos de risco /
vul...
“Handbook” de Segurança da
Informação Um Guia Para Gestores
• Objetivo e Aplicabilidade
• Relação com a Orientação
Existen...
Governança da Segurança da
Informação
Ciclo de Vida de Desenvolvimento
de Sistema
Sistemas Interligados
Estabelecer
Equipe de
Planejamento
Definir o Caso
de Negócio
Realizar C&A
1 2 3
Planejamento
Determi...
Indicadores de performance
Planos de Contingência na
Tecnologia da Informação
Gestão de Riscos
Certificação, Confiabilidade e
Avaliações de Segurança
• Papéis e Responsabilidades da Certificação, Confiabilidade e
aval...
Serviços de Segurança e Aquisição
de Produtos
Resposta a Incidentes
Preparação
• Preparando para Resposta a Incidentes
• Preparando para coletar dados de Incidentes
• P...
Por que da gestão?
BS 7799-3:2006 Information security
Management Systems
• Objetivo: Prover orientação e suporte para implantação dos
requer...
Riscos da Segurança da Informação
nas organizações
• Scope and Policy
▫ Business Case:
Recurso
Razões (O por que implement...
Avaliação do Risco
Cálculo do Risco
Avaliador de risco
A pessoa que perfomará a gestão do risco tem que ter diversas carac...
Objetivo: É contribuir para que a gestão de
empresas e demais organizações adotem uma forma
mais adequada de abordar os ri...
O que é o gerenciamento de riscos?
São riscos e oportunidades de criar ou preservar valor.
Alguns conceitos fundamentais p...
Cumprimento dos Objetivos
Essa estrutura estabelece quatro categorias de objetivos para a organização:
• Estratégicos –ref...
O que são componentes do gerenciamento de riscos corporativos ?
São constituído de oito componentes inter-relacionados, qu...
Ambiente Interno
O ambiente interno determina os conceitos básicos sobre a forma como os riscos
e os controles serão visto...
Avaliação de Riscos
Identificação de Eventos
Podemos identificar os eventos em :
Riscos Oportunidade Riscos e Oportunidade...
Resposta a Risco
Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar,
aceitar, reduzir ou compar...
Relacionamento entre Objetivos e
Componentes
As quatro categorias de objetivos -
estão representadas nas colunas
verticais...
Índice de Pirataria
• BSA (Business Software Alliance) – associação que representa
fabricantes de software
• 7º Estudo Anu...
The Good Shepherd (2006)
• Elenco
▫ Robert De Niro
▫ Matt Damon▫ Matt Damon
▫ Angelina Jolie
• Sinopse
▫ Edward Wilson (Ma...
Duvidas?Duvidas?
Bibliografia
• ABNT NBR ISO/IEC 27005:2008 (ABNT,2008)
• ASIS. General Security Risk Assessment guideline
• ABNT. Tecnolog...
Bibliografia
• BS.B.S. Information Security Management Systemns (BS 7799-3-
2006): Part 3: guidelines for information secu...
Si   segurança e privacidade (1Sem2014)
Próximos SlideShares
Carregando em…5
×

Si segurança e privacidade (1Sem2014)

313 visualizações

Publicada em

Trabalho elaborado para apresentação na matéria Sistemas da Informação. Abordagem de normas, roteiros de implementação das normas de segurança e gestão de risco. No inicio do trabalho tivemos uma abordagem sobre o E. Snowden e uma apresentação do que seria uma criptografia.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Si segurança e privacidade (1Sem2014)

  1. 1. Segurança e privacidadeSegurança e privacidade Gustavo C. Russo – 12.206.507-1 Marina C. Moraes – 12.112.680-9 Pedro P. Garcia – 12.112.399-6 Willian Weller – 12.206.544-4 Yuri N. Constanti – 12.206.490-0
  2. 2. Agenda • Snowden • Criptografia • Normas • Guidelines• Guidelines • COSO • Estatísticas • The Good Shepherd (2006) - Filme
  3. 3. Snowden • Ex-funcionário da CIA • Ex-contratado da NSA • Entrevista exclusiva em Hong Kong ▫ Glenn Greenwald ▫ Laura Poitras ▫ http://www.theguardian.com/world/video/2013/jul/08/edward-snowden-video-interview
  4. 4. Cr1pt0graf1@ • “BMWP8EJMNB” • O que significa?• O que significa? • Regra: (Letra – 1 e espaço=8) “ALVO DILMA”
  5. 5. NBR ISO/IEC 27001:2006 • Abordagem do Processo Modelo PDCA
  6. 6. NBR ISO/IEC 27002:2005 Informação e Segurança da Informação
  7. 7. NBR ISO/IEC 27002:2005 Controles
  8. 8. NBR ISO/IEC 27005:2008 DEFINIÇÃO DO CONTEXTO: • Determinação de um propósito • Definição de critérios básicos ▫ Critérios para avaliação de risco ▫ Critérios de impacto ▫ Critérios para aceitação do risco • Escopo e limites • Organização para gestão de risco de segurança da informação
  9. 9. NBR ISO/IEC 27005:2008 ANÁLISE/AVALIÇÃO DE RISCO: • Identificação dos riscos ▫ Identificação dos ativos ▫ Identificação das ameaças ▫ Identificação dos controles existentes ▫ Identificação das vulnerabilidades ▫ Identificação dos controles existentes ▫ Identificação das vulnerabilidades ▫ Identificação das conseqüências • Estimativas de riscos ▫ Metodologias para estimativa de riscos ▫ Avaliação das conseqüências ▫ Avaliação da probabilidade dos incidentes ▫ Estimativa do nível de risco • Avaliação dos riscos
  10. 10. NBR ISO/IEC 27005:2008 TRATAMENTO DO RISCO:
  11. 11. NBR ISO/IEC 27005:2008 ACEITAÇÃO DO RISCO: • Decisão dos gestores da organização • Análise crítica• Análise crítica • Considerado as circunstâncias predominantes no momento • Documento formal ▫ Lista de riscos aceitos ▫ Justificativa para aqueles que não satisfaçam os critérios normais para aceitação de risco
  12. 12. General Security Risk Assessment • Guia no qual os riscos de segurança podem ser identificado e comunicados • Metodologia dividida em 7 etapas• Metodologia dividida em 7 etapas • Criado nos EUA por principais representantes de organizações de segurança do país
  13. 13. Etapas • Compreender a organização e identificar as pessoas e bens em risco • Especificar perdas em eventos de risco / vulnerabilidades • Estabelecer a probabilidade de risco de perda e• Estabelecer a probabilidade de risco de perda e freqüência de eventos • Determinar o impacto dos eventos • Desenvolver opções para aliviar os riscos • Estudar a viabilidade de implementação das opções • Analisar o custo benefício
  14. 14. “Handbook” de Segurança da Informação Um Guia Para Gestores • Objetivo e Aplicabilidade • Relação com a Orientação Existente
  15. 15. Governança da Segurança da Informação
  16. 16. Ciclo de Vida de Desenvolvimento de Sistema
  17. 17. Sistemas Interligados Estabelecer Equipe de Planejamento Definir o Caso de Negócio Realizar C&A 1 2 3 Planejamento Determinar Requisitos de Interligação Documento de Acordo de Interligação Aprovação ou Rejeição da Interligação 4 5 6
  18. 18. Indicadores de performance
  19. 19. Planos de Contingência na Tecnologia da Informação
  20. 20. Gestão de Riscos
  21. 21. Certificação, Confiabilidade e Avaliações de Segurança • Papéis e Responsabilidades da Certificação, Confiabilidade e avaliações de segurança; • Delegação de Funções;• Delegação de Funções; • O Processo de Certificação e Confiabilidade da Segurança; • Documentação da Certificação de Segurança; • Decisões de Confiabilidade; • Monitoramento Contínuo; • Avaliações de programas;
  22. 22. Serviços de Segurança e Aquisição de Produtos
  23. 23. Resposta a Incidentes Preparação • Preparando para Resposta a Incidentes • Preparando para coletar dados de Incidentes • Prevenção de Incidentes• Prevenção de Incidentes Detecção e Análise Contenção, erradicação e recuperação Pós-Incidente Atividade
  24. 24. Por que da gestão?
  25. 25. BS 7799-3:2006 Information security Management Systems • Objetivo: Prover orientação e suporte para implantação dos requerimentos definidos na BS ISO/IEC 27001:2005.* • Risk approach: ▫ 1-Escopo ▫ 2-Referência ▫ 3-Termos e definições ▫ 4-Contexto organizacional ▫ 5-Avaliação ▫ 6-Tratamento ▫ 7-On going Monitoring ▫ 7-Reavaliações *Mostrar tabela comparativa
  26. 26. Riscos da Segurança da Informação nas organizações • Scope and Policy ▫ Business Case: Recurso Razões (O por que implementar?) RAZÕES Legal ou Regulatório Recurso Definições da empresa* ▫ ISMS Scope Definição do Escopo ▫ ISMS Policy ▫ Risk Approach • Approach ▫ Determinação do critério de aceitação de riscos ▫ Identificação de níveis aceitáveis de riscos ▫ Identificação e avaliação dos riscos ▫ Cobertura dos aspectos do escopo ISMS RAZÕES Privada ou estatal Tamanho da companhia Localilzação Geográfica Tipo de negócio
  27. 27. Avaliação do Risco Cálculo do Risco Avaliador de risco A pessoa que perfomará a gestão do risco tem que ter diversas caracteristicas, tais como: ▫ Conhecimentos em TI ▫ Conhecimento no negócio ▫ Conhecimento de controle de risco ▫ E outros diversos
  28. 28. Objetivo: É contribuir para que a gestão de empresas e demais organizações adotem uma forma mais adequada de abordar os riscos inerentes ao cumprimento de seus objetivos. Como: Integrar diversos conceitos deComo: Integrar diversos conceitos de administração de riscos em uma única estrutura . Resultado: Acomodar a maior parte das opiniões e, assim, possibilitar a avaliação e o aprimoramento da gestão de riscos corporativos para futuras iniciativas de órgãos reguladores e de ensino.
  29. 29. O que é o gerenciamento de riscos? São riscos e oportunidades de criar ou preservar valor. Alguns conceitos fundamentais para definição de gerenciamento de riscos: • Um processo contínuo e que flui pela organização; • Conduzido pelos profissionais em todos os níveis da organização; • Definição das estratégias; • Visão de todos os riscos a que a organização está exposta; • Identifique eventos em potencial, cuja ocorrência poderá afetar a organização, e que administre os riscos de acordo com o seu apetite a risco; • Capaz de propiciar garantia razoável para a organização; • Orientado para à realização e cumprimento dos objetivos em uma ou mais categorias distintas, mas dependentes.
  30. 30. Cumprimento dos Objetivos Essa estrutura estabelece quatro categorias de objetivos para a organização: • Estratégicos –referem-se às metas no nível mais elevado. Alinham-se e fornecem apoio à missão;fornecem apoio à missão; • Operações –têm como meta a utilização eficaz e eficiente dos recursos; • Comunicação –relacionados à confiabilidade dos relatórios; • Conformidade –fundamentam-se no cumprimento das leis e dos regulamentos pertinentes.
  31. 31. O que são componentes do gerenciamento de riscos corporativos ? São constituído de oito componentes inter-relacionados, que trata a maneira de como a administração gerencia a organização, e que se integram ao processo de gestão. Ambiente Interno Resposta a RiscoAmbiente Interno Fixação de Objetivos Identificação de Eventos Avaliação de Riscos Resposta a Risco Atividades de Controle Informações e Comunicações Monitoramento
  32. 32. Ambiente Interno O ambiente interno determina os conceitos básicos sobre a forma como os riscos e os controles serão vistos e abordados pelos empregados da organização. Impacto de um ambiente interno ineficaz pode ir muito longe e talvez provocar prejuízos financeiros, desgastes da imagem pública ou até mesmo o fracasso. Fixação de Objetivos Em primeiro lugar, é necessário que os objetivos existam para que a administração possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as medidas necessárias para administrá-los. • Objetivos estratégicos • Objetivos Correlatos
  33. 33. Avaliação de Riscos Identificação de Eventos Podemos identificar os eventos em : Riscos Oportunidade Riscos e Oportunidade Avaliação de Riscos Os riscos identificados são analisados com a finalidade de determinar a forma como serão administrados e depois serão associados aos objetivos que podem influenciar. Avaliam-se os riscos considerando seus efeitos: Inerentes e Residuais Probabilidade e seu Impacto
  34. 34. Resposta a Risco Os empregados identificam e avaliam as possíveis respostas aos riscos: evitar, aceitar, reduzir ou compartilhar. A administração seleciona o conjunto de ações destinadas a alinhar os riscos às respectivas tolerâncias e ao apetite a risco. As respostas a riscos classificam-se nas seguintes categorias: Evitar Reduzir Compartilhar CompartilharEvitar Reduzir Compartilhar Compartilhar Atividades de Controle Políticas e procedimentos são estabelecidos e implementados para assegurar que as respostas aos riscos selecionados pela administração sejam executadas com eficácia.
  35. 35. Relacionamento entre Objetivos e Componentes As quatro categorias de objetivos - estão representadas nas colunas verticais.verticais. Os oito componentes, nas linhas horizontais. A organização e as unidades de uma organização, na terceira dimensão do cubo
  36. 36. Índice de Pirataria • BSA (Business Software Alliance) – associação que representa fabricantes de software • 7º Estudo Anual Global de Pirataria de Software - 2009 • Mundo:• Mundo: ▫ Geórgia 95% ▫ Zimbábue 92% ▫ Bangladesh 91% • Brasil: ▫ 56% ▫ Sendo que 2008 58% • Media mundial ▫ 43% http://tecnologia.uol.com.br/ultimas-noticias/redacao/2010/05/11/conheca- os-paises-30-paises-com-as-maiores-e-menores-taxas-de-pirataria-do- mundo.jhtm
  37. 37. The Good Shepherd (2006) • Elenco ▫ Robert De Niro ▫ Matt Damon▫ Matt Damon ▫ Angelina Jolie • Sinopse ▫ Edward Wilson (Matt Damon) é recrutado para trabalhar na CIA na época da Guerra Fria. Tamanha espionagem, fazem com que ele tenha que sacrificar sua vida pessoal, seus ideais e sua família
  38. 38. Duvidas?Duvidas?
  39. 39. Bibliografia • ABNT NBR ISO/IEC 27005:2008 (ABNT,2008) • ASIS. General Security Risk Assessment guideline • ABNT. Tecnologia da informação – Técnicas de segurança – Código de prática para gestão da segurança da informação:Código de prática para gestão da segurança da informação: ABNT NBR ISSO/IEC 27002:2005. 2ª ed. Rio de Janeiro, 2005 • ABNT. Tecnologia da informação - Técnicas de segurança – Sistemas da gestão de segurança da informação: ABNT 27001:2006 1ª ed. Rio de Janeiro, 2006 • BOWEN, P.; HASH, J.; WILSON, M. NIST Special Publication 800- 100: Information Security Handbook: A Guide for Managers. [S.I.], October 2006.
  40. 40. Bibliografia • BS.B.S. Information Security Management Systemns (BS 7799-3- 2006): Part 3: guidelines for information security risk management. 2006 • COSO: Committee of Sponsoring Oraganizations of the treadway Commission. Enterprise Risk Managment Framewor:Commission. Enterprise Risk Managment Framewor: Exposure Draft for Public Comment [S.I.], 2004 • http://www.asionline.org/guideleines/guidelines • http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100- Mar07-2007.pdf • http://www.coso.org/documents/COSO_ERM_ExecutiveSummary _Portuguese.pdf

×