Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento 
ISO/IEC ® 27002:2013 Foundation
Módulo 1
Nível 
Foundation 
Prof. Adriano Martins 
Clique Aqui para Iniciar 
ISO/IEC ® 27002:2013 Foundation 
ESTE DOCUMENTO CONTÉM...
Executar todos os Simulados 
Dica para Questões e Simulados: 
Corrigir as questões que estão erradas e PRINCIPALMENTE as C...
Programação 
Introdução 
Módulo 1 
Informação, Objetivos de Negócios e Requisitos de Qualidade 
Módulo 2 
Riscos e Amea...
Sobre o EXIN 
www.exin-exams.com 
Módulo 1
Esquema de Qualificação ISO/IEC 27002:2013 
Foundation Level 
Information Security Foundation based on ISO/IEC 27002 
Adva...
Propósito do Curso 
Globalização 
TI: Ativo valioso 
Informação confiável 
Módulo 1
Público Alvo 
Qualquer pessoa na organização que manuseia informações. É 
também aplicável a proprietários de pequenas emp...
Pré-Requisitos 
Módulo 1
Detalhes do Exame 
Múltipla escolha em computador ou impresso em papel 
60 minutos 
40 
65 % (26 de 40) 
não 
não 
Nenhum ...
Formato do Exame 
Conteúdo 
10% - Segurança da Informação 
2,5% - O conceito de Informação 
2,5% - Valor da Informação 
...
Visão Geral 
: 
Segurança 
Proteção 
Informação 
Mercadoria 
Valiosa 
Informação 
Desempenham 
Um papel 
Importante no 
No...
Introdução à Segurança da Informação 
A segurança da informação é a disciplina que concentra na qualidade (confiabilidade)...
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento de ITSM baseada na 
ISO/IEC ® 27002 Foundation
Módulo 2
O que veremos neste módulo? 
 Forma, Valor e Fator do Sistema de Informação 
 Tríade: Disponibilidade, Integridade e Con...
Introdução 
S.I. diz respeito à Garantia de Proteção aos Dados 
Dados ≠ Informações 
“... Ação de informar ou informar-se....
Formas 
Imagens de vídeo 
Textos de documentos 
Palavras faladas 
Módulo 2
Sistema da Informação 
Combinação de meios, procedimentos, regras e pessoas que asseguram o fornecimento de informações pa...
Exemplo 
Telefone móvel é seguro? 
Módulo 2
Valor da Informação 
Quem define o valor é o destinatário 
Dados ou informações? 
Dados 
Informações 
Sem significado 
Com...
Informação como fator de produção 
Capital 
Mão de Obra 
Matéria-Prima 
Tecnologia 
Módulo 2
Módulo 2 
Disponibilidade, Integridade e Confiabilidade 
Pilares para uma análise de riscos, com base no CIA 
A importânci...
Disponibilidade 
Pontualidade. Os sistemas de informação estão disponíveis quando necessários; 
Robustez. Não há capacidad...
Integridade 
Informação sem erros 
Informação atualizada 
“...o grau em que a informação está atualizada e sem erros...” 
...
Exemplo 
Crimeware 
Módulo 2
Confidencialidade 
“...é o grau em que o acesso à informação é restrito a um grupo definido de pessoas autorizadas...” 
Pr...
Reporte 
Arquitetura da Informação 
“... processo que demonstra como será feita a prestação de informação ...” 
Distribuiç...
Exemplo 
Conexão física para a Internet dá aos hackers potencial acesso aos sistemas do avião 
Módulo 2
Análise da Informação 
Workflow 
Projetar um sistema baseado no seu Fluxo 
Em virtude do resultado da análise 
Módulo 2
Processos Operacionais e de Informações 
1 
Processo Primário 
Processo orientativo 
Processo de apoio 
Módulo 2
Gestão da Informação e a Informática 
Gestão da 
comunicação 
Formula e dirige a política relativa à prestação de informaç...
Resumo 
Gestão da Informação 
Forma da Informação 
Sistema da Informação 
Valor da Informação 
Disponibilidade 
Integridad...
Teste 
Módulo 2
Clique acima em 
“Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com Official Course 
Treinamento ISO 27002 Foundation
Módulo 3
O que veremos neste módulo? 
 Análise de Riscos 
 Medidas de Redução de Riscos 
 Tipos de Ameaças 
 Tipos de Danos 
Mó...
Introdução 
Ameaça de roubo. Risco subjetivo ou objetivo? 
Mapeamento das ameaças 
Senha de acesso? 
Módulo 3
Na prática 
Um incêndio que pode iniciar em sua empresa. 
Um empregado que não trabalha no RH mas pode obter acesso às inf...
Gerenciamento de Riscos 
Gerenciamento de Riscos: 
Ameaça manifestada: torna-se um INCIDENTE 
Ameaça concretizada: Surge u...
Exemplo 
Módulo 3
Análise de Riscos 
Serve para: 
Objetivos 
Como ferramenta para Gestão de Riscos 
Determinar se as ameaças são relevantes ...
Tipo de Análise de Riscos: Quantitativo 
Baseado na probabilidade da ameaça tornar-se um incidente 
Baseado na perda fin...
Exemplo 
Módulo 3
Tipo de Análise de Riscos: Qualitativo 
Baseado nas situações 
Baseado nos sentimentos 
 Baseado nos cenários 
Módulo 3
Medidas de Redução de Riscos 
Objetivo: 
Reduzir a chance do evento ocorrer 
Minimizar as consequências 
Através 
Preven...
Tipos de Medidas de Segurança 
Ameaça 
Prevenção 
Seguro 
Aceitação 
Detecção 
Repressão 
Recuperação 
Risco 
Redução 
Inc...
Tipos de Ameaças 
Humanas 
Não-Humanas 
Módulo 3
Ameaça Humana 
Ameaça Externa: Hacker 
Funcionários Internos 
Engenharia Social 
Módulo 3
Ameaça Não-Humana 
Incêndios 
Relâmpagos 
Inundações 
Tempestades 
Catástrofes 
Módulo 3
Exemplo 
Módulo 3
Tipos de Danos 
 Danos diretos 
 Danos indiretos 
 ALE – Annual Loss Expectancy 
 SLE – Single Loss Expectancy 
Módulo...
Exemplo 
Módulo 3
Tipos de Estratégia de Risco 
Aceitar 
Minimizar 
Sem incidentes 
Carregar o Risco 
Neutralizar o Risco 
Evitar o Risco 
M...
Diretrizes para implementar medidas de segurança 
Módulo 3
Exemplo 
Módulo 3
Resumo 
Diretrizes para implementação 
Gerenciamento de Riscos 
Análise de Riscos Quantitativo 
Análise de Riscos Qualitat...
Teste 
Módulo 3
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com Official Course 
Treinamento ISO 27002 Foundation
Módulo 4
O que veremos neste módulo? 
 Ativos de Negócios 
 Classificação dos Ativos 
 Gerenciamento de Incidente 
 Ciclo de In...
Introdução 
Processo de Segurança da Informação é Contínuo 
Deve ser apoiada pela Alta Administração 
Módulo 4
Quais são os ativos da empresa 
As informações que são gravadas sobre os bens da empresa são: 
 O tipo de ativo de negóci...
Gerenciamento de Ativos de Negócios 
Acordos 
Como lidar com os ativos 
Como as mudanças acontecem 
Quem inicia as mudança...
Acordos de como lidar com os ativos da empresa 
Quanto mais complexo o ativo, mais importante uma instrução de uso 
Módulo...
O uso dos ativos de negócio 
Regras de utilização 
Módulo 4
Termos 
Designar (forma especial de categorização) 
Graduar (classificar a informação apropriadamente) 
Classificação (nív...
Classificação 
Módulo 4
Gerenciamento de Incidentes de Segurança 
Incidentes de Segurança 
Reportar ao Service Desk 
Módulo 4
Reporte dos Incidentes de Segurança 
Os relatórios devem ser usados como: 
 Uma forma de aprender 
 Reporte de incidente...
Exemplo 
Um procedimento contém instruções do que fazer diante de um incidente 
Incidentes de segurança 
Módulo 4
Reportando Fraquezas de Segurança 
Reportar fraquezas e deficiências, mais cedo possível 
Módulo 4
É importante que as informações pertinentes sejam coletadas e armazenadas 
Registro de Ruptura 
Módulo 4
Medidas no ciclo de vida do Incidente 
Redução 
Prevenção 
Detecção 
Repressão 
Correção 
Avaliação 
Ameaça 
Incidente 
Da...
Papéis 
CISO 
ISO 
ISM 
Módulo 4
Resumo 
Ativos de Negócios 
Classificação dos Ativos 
Gerenciamento de Incidentes 
Ciclo de Vida dos Incidentes 
Papéis 
M...
Teste 
Módulo 4
Clique acima em 
“Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento ISO 27002 Foundation
Módulo 5
O que veremos neste módulo? 
 Segurança Física 
 Anéis de Proteção 
 Alarmes 
 Proteção contra incêndio 
Módulo 5
Introdução 
Acesso mais restritivo 
Acesso mais liberado 
Empresa Privada: 
Empresa Pública: 
Módulo 5
Segurança Física 
Segurança física faz parte da segurança da informação, porque todos os ativos da empresa devem ser fisic...
Equipamento 
Módulo 5
Cabeamento 
Cuidado com as interferências 
Proteção contra chiados e ruídos 
Fonte dupla de energia 
Módulo 5
Mídia de Armazenamento 
Mídias Convencionais 
Muitas impressoras podem armazenar informações em seu próprio disco rígido. ...
Anel Externo 
Anel Externo 
Arames Farpados 
Muros 
Estacionamento 
Cercas Vivas 
Riacho 
Módulo 5
Construções 
Portões 
Resistentes 
Vidros 
Blindados 
Impressão 
Digital 
Reconhecimento 
das mãos 
Biometria 
da IRIS 
Mó...
Gestão de Acesso 
Crachá ou RFID 
Gerenciamento eletrônico de acesso 
Medidas adicionais 
Guardas 
Módulo 5
Exemplo 
Em mais da metade das maternidades em Ohio, nos EUA, ambos, a mãe e a criança, colocam uma etiqueta RFID em forma...
Espaço de Trabalho 
Proteção dos espaços de trabalho 
Detecção de Intruso 
Salas especiais 
Módulo 5
Detecção de Intruso 
O método mais comum e mais utilizado para detecção passiva de intrusos são os de infravermelho, onde ...
Sala Especial – Parte I 
Sala de 
servidores 
Sistema de 
refrigeração 
Entrega e retirada 
segura 
Sala de armazenamento ...
Sala Especial – Parte II 
Baterias e UPS 
Desumidificador 
Extintores de incêndio 
Módulo 5
Exemplo 
1 
2 
Módulo 5
Objeto 
O objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno. 
Armários à prova de ...
Alarmes 
Detecção Infravermelho Passivo 
Câmeras 
Detecção de vibração 
Sensores de quebra de vidro 
Contatos magnéti...
Proteção contra Incêndio 
Módulo 5
Sinalização e Agentes Extintores 
Gases inertes 
 Espuma 
Pó 
 Água 
Areia 
Os vários agentes extintores de fogo são:...
Resumo 
Agentes extintores 
Anel Externo 
Construções 
Espaço de Trabalho 
Objeto 
Alarmes 
Proteção contra incêndi...
Teste 
Módulo 5
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento de ITSM baseada na 
ISO/IEC ® 27002 Foundation
Módulo 6
O que veremos neste módulo? 
 Gerenciamento de Acesso Lógico 
 Requisitos de Segurança para SI 
 Criptografia 
 Políti...
Introdução 
Proteção dos dados 
As informações devem ser confiáveis 
Módulo 6
Gerenciamento Lógico de Acesso 
Controle de Acesso Discricionário (DAC).Com o Controle de Acesso Discricionário, a decisão...
Exemplo 
Módulo 6
Requisitos de Segurança para SI 
Os requisitos de segurança precisam ser acordados e documentados na fase de Planejamento...
Exemplo 
Módulo 6
Processamento Correto das Aplicações 
Sem perdas 
Sem erros 
Seguras 
Gerenciamento da validação dos dados que são inserid...
Exemplo 
Módulo 6
Validação dos dados de Entrada e Saída 
Dados de Entrada 
Dados de 
Saída 
Processa 
Módulo 6
Criptografia 
Análise Criptográfica serve para: 
 Desenvolver Algoritmos 
Quebrar Algoritmos de Inimigos 
Protege a Conf...
Exemplo 
Módulo 6
A Política da Criptografia 
Deve conter: 
 Para que a organização usa a criptografia 
Que tipo de criptografia é utiliza...
Gestão das Chaves 
São protegidas 
Quais pares foram emitidos? 
Para quem? 
Quando? 
Qual a validade? 
Módulo 6
Tipo de Sistemas de Criptografia 
Simétrico 
Assimétrico 
Oneway 
Módulo 6
Simétrica 
A raposa 
ataca o cão 
preguiçoso 
A raposa 
ataca o cão 
preguiçoso 
CRIPTO 
TEXTO 
TEXTO 
Dhl*7Ytt_) 
*ND6¨85...
Assimétrica 
A raposa 
ataca o cão 
preguiçoso 
A raposa 
ataca o cão 
preguiçoso 
CRIPTO 
TEXTO 
TEXTO 
Dhl*7Ytt_) 
*ND6¨...
Exemplo 
Companhia de Seguro 
Médico 
Certification 
Authority 
Solicita acesso 
Acesso concedido 
Módulo 6
Criptografia One-Way 
Função Hash 
TEXTO 
CRIPTO 
128 bits 
Chave 
128 bits 
128 bits 
Pode ser usado também para: 
 Chec...
Segurança do Sistema de Arquivos 
Gestão de Acesso aos Códigos-Fonte do Programa 
Segurança de Dados de Teste 
Segurança n...
Vazamento de Informações 
Através de canais secretos de comunicação: 
Para manutenção 
Ou back door 
Exemplo atual: 
Módul...
Terceirização do Desenvolvimento de Sistemas 
c 
Supervisionado pelo contratante 
Avalie a obtenção de direitos de propr...
Resumo 
Gerenciamento de Acesso Lógico 
Requisitos de Segurança 
Criptografia 
Chaves Públicas 
Simétricas 
Assimétr...
Teste 
Módulo 6
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento ISO 27002 Foundation
Módulo 7
O que veremos neste módulo? 
Política de Segurança 
Pessoal 
Gerenciamento de Continuidade de Negócio 
Gerenciamento d...
Introdução 
Medidas Organizacionais 
ISO/IEC 27001 e 27002 
Desastres 
Comunicação 
Módulo 7
Política de Segurança da Informação 
A Política de Segurança da Informação deve ser aprovada pelo conselho administrativo ...
Hierarquia 
Módulo 7
Exemplo 
O Grupo Virgin Richard Branson, perdeu um CD contendo o nome de 3.000 clientes 
Módulo 7
Avaliando a Política de SI 
 Ter uma Política é uma coisa, cumpri-la é outra. 
 Uma Política contém: Procedimento, Polít...
Modelo PDCA 
Plan 
Check 
Do 
Act 
Módulo 7
Os 18 domínios do ISO/IEC 27002:2013 
1 – Escopo 
10 - Criptografia 
11 – Segurança Ambiental e Física 
12 – Segurança Ope...
Segurança dos Recursos Humanos 
Responsabilidades 
Contrato e Código de Conduta 
Antes 
Durante 
Depois 
Módulo 7
Acompanhamento da política de SI 
A política de segurança da informação é avaliada periodicamente e, se necessário, modifi...
A Organização da Segurança da Informação 
Devem ser aceitos por todos 
Alta Direção devem dar exemplo 
Depende da natur...
Pessoal 
Patrimônio da empresa 
Todos são responsáveis pela empresa 
Conhecimento do código de conduta 
Definição de r...
Acordo de Não-Divulgação 
Trabalhos que exigem confidencialidade, exige-se um NDA assinado 
Módulo 7
Contratantes 
Os acordos escritos com o fornecedor, como uma agência de recrutamento, devem incluir sanções em caso de vio...
Arquivos Pessoais 
Dados como acordos assinados, declarações, perfil do cargo, contrato de trabalho, NDA, etc. 
Módulo 7
Conscientização da Segurança 
Cursos 
Sensibilização 
Documentação 
Conscientes 
Proteção contra Engenharia Social 
Módulo...
Exemplo 
Módulo 7
Acesso 
Uso obrigatório de um crachá 
Registro de entrada e saída 
Visitantes são monitorados desde a recepção 
Módulo 7
Gerenciamento de Continuidade de Negócio 
BPC – Business Continuity Planning 
DRP – Disaster Recovery Planning 
Módulo 7
Continuidade 
Continuidade diz respeito à disponibilidade dos sistemas de informação no momento em que eles são necessário...
O que são Desastres? 
Placa de rede com defeito 
Uma inundação 
Falha em um sistema 
Falha de energia 
Alerta contra bomba...
DRP 
DRP – Disaster Recovery Planning 
DRP: Existe agora um desastre e tenho que voltar a trabalhar; 
BCP: Nós tivemos um...
Exemplo 
Módulo 7
Locais Alternativos 
Local Alternativo 
Ações e Considerações 
 Site Redundante: Para empresas que tem diversas localidad...
Gerenciando a Comunicação e os Processos Operacionais 
A fim de manter uma gestão e um controle eficaz da TI, é importante...
Gestão de Mudanças 
Planejar antecipadamente 
Cada mudança tem uma consequência 
Definida como pequena, média e grande ...
Segregação de Funções 
Tarefas e responsabilidades devem ser separadas para evitar que alterações não autorizadas sejam ex...
Desenvolvimento, Teste, Homologação 
e Produção 
Ambientes para cada finalidade 
Módulo 7
Exemplo 
Módulo 7
Gestão de Serviços de Terceiros 
Nem todas as atividades importantes são feitas internamente 
Elaborar um bom contrato 
...
Exemplo 
1/3 
300 profissionais de TI 
33% 
47% 
Módulo 7
Proteção contra Phishing, Malware e Spam 
Malware é uma combinação de palavras suspeitas e programas indesejáveis, tais co...
Exemplo 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Internet Banking 
Módulo 7
Backup e Restore 
Estabeleça regularidade 
Teste 
Atendimento aos requisitos 
Armazene 
Módulo 7
Gerenciamento de Segurança de Rede 
Intranet 
VPN 
Extranet 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Módulo 7
Manuseio de Mídia 
 Publicação não autorizada 
Alteração 
Deleção ou destruição 
Interrupção das atividades empresaria...
Exemplo 
Módulo 7
Equipamento Móvel 
Eles são mais do que apenas um hardware, eles também contêm software e dados. Muitos incidentes ocorrem...
Troca de Informação 
Fazer acordos internos e externos 
Expectativas claramente documentadas 
Cuidados com as Mensagens...
Exemplo 
Módulo 7
Serviços para e-commerce 
Proteção extra 
Confidencialidade e Integridade 
Módulo 7
Exemplo 
Módulo 7
Informações Publicamente Disponíveis 
Corretas, íntegras e seguras 
De empresas privadas e públicas 
Módulo 7
Resumo 
Política de Segurança 
Os domínios da ISO/IEC 
Pessoal e Segregação de Funções 
NDA 
Continuidade de Negócio ...
Teste 
Módulo 7
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Área de Aprendizagem 
www.pmgacademy.com Official Course 
Treinamento ISO 27002 Foundation
Módulo 8
O que veremos neste módulo? 
Observância dos Regulamentos Legais 
Conformidade 
Direitos de Propriedade Intelectual 
P...
Introdução 
A legislação abrange as áreas de tributação, contabilidade, privacidade, financeiro e regulamentação para os b...
Observância dos regulamentos legais 
Cada empresa, deve observar a legislação local, regulamentos e obrigações contratuais...
Conformidade 
Rastreabilidade 
Obrigatoriedade 
Flexibilidade 
Tolerância 
Dedicação 
Módulo 8
Exemplo 
Módulo 8
Medidas para a Conformidade 
Política Interna contendo as legislações e as regulamentações nacionais 
Procedimentos para...
Direitos de Propriedades Intelectuais 
Publicar uma Política 
Conscientização e inclusão do DPI à Política 
Incluir os ...
Exemplo 
Módulo 8
Proteção de Documentos Empresariais 
Documentos precisam ser protegidos contra perda, destruição e falsificação 
Os regi...
Confidencialidade 
Sob uma legislação 
Política de proteção 
Nomeação de um responsável 
Medidas técnicas de proteção ...
Exemplo 
Módulo 8
Prevenção do uso indevido dos recursos de TI 
Como os recursos são utilizados 
Monitore o uso 
Cumpra os regulamentos 
...
Exemplo 
Módulo 8
Política e Padrões de Segurança 
Conselho Administrativo 
Gerentes Funcionais 
Operacional 
Módulo 8
Medidas de Controle e Auditoria 
Está incluído na política? 
É observado na prática? 
Será que a medição esta sendo fei...
Exemplo 
Módulo 8
Auditoria de Sistema da Informação 
Envolve riscos 
Afeta a capacidade 
Cuidados com o exame de um item por duas pessoa...
Proteção auxiliar utilizando os Sistemas de Informação 
Não importa como uma organização planejou a sua segurança, a segur...
Resumo 
Observância dos Regulamentos Legais 
Conformidade 
Direitos de Propriedade Intelectual 
Proteger Documentos Co...
Teste 
Módulo 8
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Próximos SlideShares
Carregando em…5
×

Curso oficial iso 27002 versão 2013 foundation

3.696 visualizações

Publicada em

Material do Curso Oficial do ISO 27002 Foundation - Versão 2013 da EXIN.
By: http://www.pmgacademy.com

Publicada em: Educação
0 comentários
14 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.696
No SlideShare
0
A partir de incorporações
0
Número de incorporações
36
Ações
Compartilhamentos
0
Downloads
719
Comentários
0
Gostaram
14
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Curso oficial iso 27002 versão 2013 foundation

  1. 1. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO/IEC ® 27002:2013 Foundation
  2. 2. Módulo 1
  3. 3. Nível Foundation Prof. Adriano Martins Clique Aqui para Iniciar ISO/IEC ® 27002:2013 Foundation ESTE DOCUMENTO CONTÉM INFORMAÇÕES PROPRIETÁRIAS, PROTEGIDAS POR COPYRIGHT. TODOS OS DIREITOS RESERVADOS. NENHUMA PARTE DESTE DOCUMENTO PODE SER FOTOCOPIADA, REPRODUZIDA OU TRADUZIDA PARA OUTRO IDIOMA SEM CONSENTIMENTO DA PMG ACADEMY LTDA, BRASIL. © Copyright 2012 - 2013, PMG Academy. Todos os direitos reservados. www.pmgacademy.com
  4. 4. Executar todos os Simulados Dica para Questões e Simulados: Corrigir as questões que estão erradas e PRINCIPALMENTE as CORRETAS Assistir no mínimo 2 vezes o Treinamento Realizar os Exercícios no final de cada módulo Breve leitura dos Termos no Glossário Maior Aproveitamento Módulo 1
  5. 5. Programação Introdução Módulo 1 Informação, Objetivos de Negócios e Requisitos de Qualidade Módulo 2 Riscos e Ameaças Módulo 3 Ativos de Negócio e Incidentes de Segurança da Informação Módulo 4 Medidas Físicas Módulo 5 Medidas Técnicas (Segurança de TI) Módulo 6 Medidas Organizacionais Módulo 7 Legislação e Regulamentos Módulo 8 Simulados Módulo 9 Módulo 1
  6. 6. Sobre o EXIN www.exin-exams.com Módulo 1
  7. 7. Esquema de Qualificação ISO/IEC 27002:2013 Foundation Level Information Security Foundation based on ISO/IEC 27002 Advanced Level Information Security Management Advanced based on ISO/IEC 27002 Expert Level Information Security Management Expert based on ISO/IEC 27002 Módulo 1
  8. 8. Propósito do Curso Globalização TI: Ativo valioso Informação confiável Módulo 1
  9. 9. Público Alvo Qualquer pessoa na organização que manuseia informações. É também aplicável a proprietários de pequenas empresas a quem alguns conceitos básicos de Segurança da Informação são necessários. Este módulo pode ser um excelente ponto de partida para novos profissionais de segurança da informação. Módulo 1
  10. 10. Pré-Requisitos Módulo 1
  11. 11. Detalhes do Exame Múltipla escolha em computador ou impresso em papel 60 minutos 40 65 % (26 de 40) não não Nenhum Tipo de exame: Tempo destinado ao exame: Mínimo para aprovação: Número de questões: Com consulta: Equipamentos eletrônicos permitidos: Pré requisitos: Módulo 1
  12. 12. Formato do Exame Conteúdo 10% - Segurança da Informação 2,5% - O conceito de Informação 2,5% - Valor da Informação 5% - Aspectos de Confiabilidade 30% - Ameaças e Riscos 15% - Ameaças e Riscos 15% - O Relacionamento entre Ameaças, Riscos e Confiabilidade da Informação 10% - Abordagem e Organização 2,5% - Política de Segurança e Segurança da Organização 2,5% - Componentes da Segurança da Organização 5% - Gerenciamento de Incidentes 40% - Medidas 10% - Importância das Medidas 10% - Medidas de Seguranças Físicas 10% - Medidas de Segurança Técnica 10% - Medidas Organizacionais 10% - Legislação e Regulamentações Módulo 1
  13. 13. Visão Geral : Segurança Proteção Informação Mercadoria Valiosa Informação Desempenham Um papel Importante no Nosso tempo livre Conexão Risco e Segurança Medidas Físicas Técnicas Organizacionais Módulo 1
  14. 14. Introdução à Segurança da Informação A segurança da informação é a disciplina que concentra na qualidade (confiabilidade) Disponibilidade, Confidencialidade e Integridade Tríade Truque para execução da segurança da informação: Os requisitos de qualidade que uma organização pode ter para a informação; Os riscos para estes requisitos de qualidade;  As medidas que são necessárias para minimizar esses riscos;  Assegurar a continuidade da organização no caso de um desastre Módulo 1
  15. 15. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  16. 16. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento de ITSM baseada na ISO/IEC ® 27002 Foundation
  17. 17. Módulo 2
  18. 18. O que veremos neste módulo?  Forma, Valor e Fator do Sistema de Informação  Tríade: Disponibilidade, Integridade e Confiabilidade  Arquitetura e Análise da Informação  Gestão da Informação Módulo 2
  19. 19. Introdução S.I. diz respeito à Garantia de Proteção aos Dados Dados ≠ Informações “... Ação de informar ou informar-se. / Notícia recebida ou comunicada; informe. / Espécie de investigação a que se precede para verificar um fato …” Módulo 2
  20. 20. Formas Imagens de vídeo Textos de documentos Palavras faladas Módulo 2
  21. 21. Sistema da Informação Combinação de meios, procedimentos, regras e pessoas que asseguram o fornecimento de informações para um processo operacional Servidores Telefone Armazenamento Cabos e wireless Estação de Trabalho Módulo 2
  22. 22. Exemplo Telefone móvel é seguro? Módulo 2
  23. 23. Valor da Informação Quem define o valor é o destinatário Dados ou informações? Dados Informações Sem significado Com significado Módulo 2
  24. 24. Informação como fator de produção Capital Mão de Obra Matéria-Prima Tecnologia Módulo 2
  25. 25. Módulo 2 Disponibilidade, Integridade e Confiabilidade Pilares para uma análise de riscos, com base no CIA A importância da informação para os processos operacionais; A indispensabilidade das informações dentro dos processos operacionais; A recuperação da informação.
  26. 26. Disponibilidade Pontualidade. Os sistemas de informação estão disponíveis quando necessários; Robustez. Não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. Continuidade. O pessoal pode continuar a trabalhar no caso de um fracasso ou indisponibilidade; Módulo 2
  27. 27. Integridade Informação sem erros Informação atualizada “...o grau em que a informação está atualizada e sem erros...” Módulo 2
  28. 28. Exemplo Crimeware Módulo 2
  29. 29. Confidencialidade “...é o grau em que o acesso à informação é restrito a um grupo definido de pessoas autorizadas...” Privacidade Restrição de acesso Módulo 2
  30. 30. Reporte Arquitetura da Informação “... processo que demonstra como será feita a prestação de informação ...” Distribuição Encaminhamento Disponibilização Módulo 2
  31. 31. Exemplo Conexão física para a Internet dá aos hackers potencial acesso aos sistemas do avião Módulo 2
  32. 32. Análise da Informação Workflow Projetar um sistema baseado no seu Fluxo Em virtude do resultado da análise Módulo 2
  33. 33. Processos Operacionais e de Informações 1 Processo Primário Processo orientativo Processo de apoio Módulo 2
  34. 34. Gestão da Informação e a Informática Gestão da comunicação Formula e dirige a política relativa à prestação de informação Informática desenvolve Informações Módulo 2
  35. 35. Resumo Gestão da Informação Forma da Informação Sistema da Informação Valor da Informação Disponibilidade Integridade Confidencialidade Arquitetura da Informação Módulo 2
  36. 36. Teste Módulo 2
  37. 37. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  38. 38. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  39. 39. Módulo 3
  40. 40. O que veremos neste módulo?  Análise de Riscos  Medidas de Redução de Riscos  Tipos de Ameaças  Tipos de Danos Módulo 3
  41. 41. Introdução Ameaça de roubo. Risco subjetivo ou objetivo? Mapeamento das ameaças Senha de acesso? Módulo 3
  42. 42. Na prática Um incêndio que pode iniciar em sua empresa. Um empregado que não trabalha no RH mas pode obter acesso às informações deste departamento. Alguém que se apresenta como um empregado e tenta obter informações interna da empresa. Sua empresa é atingido por uma falha de energia Um hacker consegue acessar a rede da empresa. Módulo 3
  43. 43. Gerenciamento de Riscos Gerenciamento de Riscos: Ameaça manifestada: torna-se um INCIDENTE Ameaça concretizada: Surge um RISCO, então... Medidas de segurança são tomadas CICLO CONTÍNUO Identificar Reduzir Examinar Módulo 3
  44. 44. Exemplo Módulo 3
  45. 45. Análise de Riscos Serve para: Objetivos Como ferramenta para Gestão de Riscos Determinar se as ameaças são relevantes Identificar riscos associados Garantir que as medidas de segurança sejam implantadas Evita gastos desnecessários em medidas de segurança Ajuda a conhecer os conceitos de segurança Avaliar corretamente os riscos Identificar os bens e os seus valores Determinar as vulnerabilidades e ameaças Determinar quais as ameaças se tornarão um risco Determinar um equilíbrio entre os custos Módulo 3
  46. 46. Tipo de Análise de Riscos: Quantitativo Baseado na probabilidade da ameaça tornar-se um incidente Baseado na perda financeira  Baseado no impacto Módulo 3
  47. 47. Exemplo Módulo 3
  48. 48. Tipo de Análise de Riscos: Qualitativo Baseado nas situações Baseado nos sentimentos  Baseado nos cenários Módulo 3
  49. 49. Medidas de Redução de Riscos Objetivo: Reduzir a chance do evento ocorrer Minimizar as consequências Através Prevenção Detecção Repressão Correção Seguros Aceitação Módulo 3
  50. 50. Tipos de Medidas de Segurança Ameaça Prevenção Seguro Aceitação Detecção Repressão Recuperação Risco Redução Incidente Módulo 3
  51. 51. Tipos de Ameaças Humanas Não-Humanas Módulo 3
  52. 52. Ameaça Humana Ameaça Externa: Hacker Funcionários Internos Engenharia Social Módulo 3
  53. 53. Ameaça Não-Humana Incêndios Relâmpagos Inundações Tempestades Catástrofes Módulo 3
  54. 54. Exemplo Módulo 3
  55. 55. Tipos de Danos  Danos diretos  Danos indiretos  ALE – Annual Loss Expectancy  SLE – Single Loss Expectancy Módulo 3
  56. 56. Exemplo Módulo 3
  57. 57. Tipos de Estratégia de Risco Aceitar Minimizar Sem incidentes Carregar o Risco Neutralizar o Risco Evitar o Risco Módulo 3
  58. 58. Diretrizes para implementar medidas de segurança Módulo 3
  59. 59. Exemplo Módulo 3
  60. 60. Resumo Diretrizes para implementação Gerenciamento de Riscos Análise de Riscos Quantitativo Análise de Riscos Qualitativo Medidas de Redução Tipo de Ameaça Tipo de Dano Tipo de Estratégia Módulo 3
  61. 61. Teste Módulo 3
  62. 62. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  63. 63. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  64. 64. Módulo 4
  65. 65. O que veremos neste módulo?  Ativos de Negócios  Classificação dos Ativos  Gerenciamento de Incidente  Ciclo de Incidentes  Papéis Módulo 4
  66. 66. Introdução Processo de Segurança da Informação é Contínuo Deve ser apoiada pela Alta Administração Módulo 4
  67. 67. Quais são os ativos da empresa As informações que são gravadas sobre os bens da empresa são:  O tipo de ativo de negócio;  Proprietário do processo;  Localização do ativo;  O Formato do ativo;  A Classificação;  Valor do ativo para o negócio. Módulo 4
  68. 68. Gerenciamento de Ativos de Negócios Acordos Como lidar com os ativos Como as mudanças acontecem Quem inicia as mudanças e como são testadas Módulo 4
  69. 69. Acordos de como lidar com os ativos da empresa Quanto mais complexo o ativo, mais importante uma instrução de uso Módulo 4
  70. 70. O uso dos ativos de negócio Regras de utilização Módulo 4
  71. 71. Termos Designar (forma especial de categorização) Graduar (classificar a informação apropriadamente) Classificação (níveis de sensibilidade) Proprietário (responsável por um ativo de negócio) Módulo 4
  72. 72. Classificação Módulo 4
  73. 73. Gerenciamento de Incidentes de Segurança Incidentes de Segurança Reportar ao Service Desk Módulo 4
  74. 74. Reporte dos Incidentes de Segurança Os relatórios devem ser usados como:  Uma forma de aprender  Reporte de incidentes Os relatórios devem ser usados como:  Data e hora Nome da pessoa que reporta o incidente Localização (onde foi o incidente?) Qual é o problema? Qual é o efeito que o incidente causou? Como foi descoberto? Módulo 4
  75. 75. Exemplo Um procedimento contém instruções do que fazer diante de um incidente Incidentes de segurança Módulo 4
  76. 76. Reportando Fraquezas de Segurança Reportar fraquezas e deficiências, mais cedo possível Módulo 4
  77. 77. É importante que as informações pertinentes sejam coletadas e armazenadas Registro de Ruptura Módulo 4
  78. 78. Medidas no ciclo de vida do Incidente Redução Prevenção Detecção Repressão Correção Avaliação Ameaça Incidente Dano Recuperação Módulo 4
  79. 79. Papéis CISO ISO ISM Módulo 4
  80. 80. Resumo Ativos de Negócios Classificação dos Ativos Gerenciamento de Incidentes Ciclo de Vida dos Incidentes Papéis Módulo 4
  81. 81. Teste Módulo 4
  82. 82. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  83. 83. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  84. 84. Módulo 5
  85. 85. O que veremos neste módulo?  Segurança Física  Anéis de Proteção  Alarmes  Proteção contra incêndio Módulo 5
  86. 86. Introdução Acesso mais restritivo Acesso mais liberado Empresa Privada: Empresa Pública: Módulo 5
  87. 87. Segurança Física Segurança física faz parte da segurança da informação, porque todos os ativos da empresa devem ser fisicamente protegidos Módulo 5
  88. 88. Equipamento Módulo 5
  89. 89. Cabeamento Cuidado com as interferências Proteção contra chiados e ruídos Fonte dupla de energia Módulo 5
  90. 90. Mídia de Armazenamento Mídias Convencionais Muitas impressoras podem armazenar informações em seu próprio disco rígido. Módulo 5
  91. 91. Anel Externo Anel Externo Arames Farpados Muros Estacionamento Cercas Vivas Riacho Módulo 5
  92. 92. Construções Portões Resistentes Vidros Blindados Impressão Digital Reconhecimento das mãos Biometria da IRIS Módulo 5
  93. 93. Gestão de Acesso Crachá ou RFID Gerenciamento eletrônico de acesso Medidas adicionais Guardas Módulo 5
  94. 94. Exemplo Em mais da metade das maternidades em Ohio, nos EUA, ambos, a mãe e a criança, colocam uma etiqueta RFID em forma de pulseira ou tornozeleira, desta forma, as mães esperam que seus filhos não sejam perdidos, raptados ou dados aos pais errados. Módulo 5
  95. 95. Espaço de Trabalho Proteção dos espaços de trabalho Detecção de Intruso Salas especiais Módulo 5
  96. 96. Detecção de Intruso O método mais comum e mais utilizado para detecção passiva de intrusos são os de infravermelho, onde movimentos aparentes são detectados quando há um objeto com uma temperatura Módulo5
  97. 97. Sala Especial – Parte I Sala de servidores Sistema de refrigeração Entrega e retirada segura Sala de armazenamento de materiais sensíveis Módulo 5
  98. 98. Sala Especial – Parte II Baterias e UPS Desumidificador Extintores de incêndio Módulo 5
  99. 99. Exemplo 1 2 Módulo 5
  100. 100. Objeto O objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno. Armários à prova de fogo Cofres Módulo 5
  101. 101. Alarmes Detecção Infravermelho Passivo Câmeras Detecção de vibração Sensores de quebra de vidro Contatos magnéticos Módulo 5
  102. 102. Proteção contra Incêndio Módulo 5
  103. 103. Sinalização e Agentes Extintores Gases inertes  Espuma Pó  Água Areia Os vários agentes extintores de fogo são: Módulo 5
  104. 104. Resumo Agentes extintores Anel Externo Construções Espaço de Trabalho Objeto Alarmes Proteção contra incêndio Sinalização Módulo 5
  105. 105. Teste Módulo 5
  106. 106. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  107. 107. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento de ITSM baseada na ISO/IEC ® 27002 Foundation
  108. 108. Módulo 6
  109. 109. O que veremos neste módulo?  Gerenciamento de Acesso Lógico  Requisitos de Segurança para SI  Criptografia  Política de Criptografia  Tipos de Sistemas de Criptografia  Segurança de Arquivos de Sistemas  Vazamento de Informação Módulo 6
  110. 110. Introdução Proteção dos dados As informações devem ser confiáveis Módulo 6
  111. 111. Gerenciamento Lógico de Acesso Controle de Acesso Discricionário (DAC).Com o Controle de Acesso Discricionário, a decisão de conceder o acesso à informação encontra-se com o próprio usuário. Controle de Acesso Obrigatório (MAC). O controle de acesso obrigatório é definido e organizado centralmente para que as pessoas tenham acesso aos sistemas de informação. Módulo 6
  112. 112. Exemplo Módulo 6
  113. 113. Requisitos de Segurança para SI Os requisitos de segurança precisam ser acordados e documentados na fase de Planejamento do Projeto. Deve fazer parte de um “Business Case” Implementar medidas de segurança na fase de concepção do projeto fica geralmente mais barato Mantenha um contrato com o fornecedor, indicando as exigências de segurança Módulo 6
  114. 114. Exemplo Módulo 6
  115. 115. Processamento Correto das Aplicações Sem perdas Sem erros Seguras Gerenciamento da validação dos dados que são inseridos no sistema, o processamento interno e a saída de dados ou informações Módulo 6
  116. 116. Exemplo Módulo 6
  117. 117. Validação dos dados de Entrada e Saída Dados de Entrada Dados de Saída Processa Módulo 6
  118. 118. Criptografia Análise Criptográfica serve para:  Desenvolver Algoritmos Quebrar Algoritmos de Inimigos Protege a Confidencialidade Protege a Autenticidade Protege a Integridade Módulo 6
  119. 119. Exemplo Módulo 6
  120. 120. A Política da Criptografia Deve conter:  Para que a organização usa a criptografia Que tipo de criptografia é utilizada Quais aplicações usam criptografia Controle e gestão de chaves Backup Controle Módulo 6
  121. 121. Gestão das Chaves São protegidas Quais pares foram emitidos? Para quem? Quando? Qual a validade? Módulo 6
  122. 122. Tipo de Sistemas de Criptografia Simétrico Assimétrico Oneway Módulo 6
  123. 123. Simétrica A raposa ataca o cão preguiçoso A raposa ataca o cão preguiçoso CRIPTO TEXTO TEXTO Dhl*7Ytt_) *ND6¨85L< P`=-_W2#D Criptografa Descriptografa Mesma chave (segredo compartilhado) Módulo 6
  124. 124. Assimétrica A raposa ataca o cão preguiçoso A raposa ataca o cão preguiçoso CRIPTO TEXTO TEXTO Dhl*7Ytt_) *ND6¨85L< P`=-_W2#D Criptografa Descriptografa Origem Destino Chave Pública Chave Privada Chave diferentes Módulo 6
  125. 125. Exemplo Companhia de Seguro Médico Certification Authority Solicita acesso Acesso concedido Módulo 6
  126. 126. Criptografia One-Way Função Hash TEXTO CRIPTO 128 bits Chave 128 bits 128 bits Pode ser usado também para:  Checa dois valores  Valida apenas a integridade Módulo 6
  127. 127. Segurança do Sistema de Arquivos Gestão de Acesso aos Códigos-Fonte do Programa Segurança de Dados de Teste Segurança nos Processos de Desenvolvimento e Suporte Módulo 6
  128. 128. Vazamento de Informações Através de canais secretos de comunicação: Para manutenção Ou back door Exemplo atual: Módulo 6
  129. 129. Terceirização do Desenvolvimento de Sistemas c Supervisionado pelo contratante Avalie a obtenção de direitos de propriedade Verifique questões de segurança, como os canais ocultos Módulo 6
  130. 130. Resumo Gerenciamento de Acesso Lógico Requisitos de Segurança Criptografia Chaves Públicas Simétricas Assimétricas Política de Criptografia Tipos de Sistemas de Criptografia Segurança de Arquivos Vazamento de Informação Módulo 6
  131. 131. Teste Módulo 6
  132. 132. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  133. 133. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  134. 134. Módulo 7
  135. 135. O que veremos neste módulo? Política de Segurança Pessoal Gerenciamento de Continuidade de Negócio Gerenciamento da Comunicação e Processos Operacionais Módulo 7
  136. 136. Introdução Medidas Organizacionais ISO/IEC 27001 e 27002 Desastres Comunicação Módulo 7
  137. 137. Política de Segurança da Informação A Política de Segurança da Informação deve ser aprovada pelo conselho administrativo e publicada à todos os interessados e envolvidos. Pode ser incluída no processo de admissão de um funcionário. Mantido na Intranet, por exemplo. Módulo 7
  138. 138. Hierarquia Módulo 7
  139. 139. Exemplo O Grupo Virgin Richard Branson, perdeu um CD contendo o nome de 3.000 clientes Módulo 7
  140. 140. Avaliando a Política de SI  Ter uma Política é uma coisa, cumpri-la é outra.  Uma Política contém: Procedimento, Política de Documento, Diretrizes, etc. Parte de um ISMS (Information Security Management System) Módulo 7
  141. 141. Modelo PDCA Plan Check Do Act Módulo 7
  142. 142. Os 18 domínios do ISO/IEC 27002:2013 1 – Escopo 10 - Criptografia 11 – Segurança Ambiental e Física 12 – Segurança Operacional 9 – Controle de Acesso 4 – Estrutura da Norma 2 -Referências Normativas 3 – Termos e Definições 5 - Políticas de Segurança da Informação 13 – Segurança da Comunicação 14 – Manutenção, Desenvolvimento e Aquisição de Sistemas 0 - Introdução 15 – Relacionamento com Fornecedores 7 – Segurança de Recursos Humanos 6 – Segurança da Informação Organizacional 8 – Gerenciamento de Ativos 16 – Gerenciamento de Incidentes de Segurança da Informação 17 – Aspectos de Segurança da Informação do Gerenciamento de Continuidade de Negócio 18 - Conformidade Módulo 7
  143. 143. Segurança dos Recursos Humanos Responsabilidades Contrato e Código de Conduta Antes Durante Depois Módulo 7
  144. 144. Acompanhamento da política de SI A política de segurança da informação é avaliada periodicamente e, se necessário, modificada. Para qualquer alteração na política deve se ter a permissão do conselho administrativo da empresa. Módulo 7
  145. 145. A Organização da Segurança da Informação Devem ser aceitos por todos Alta Direção devem dar exemplo Depende da natureza da empresa Definição de responsabilidades Módulo 7
  146. 146. Pessoal Patrimônio da empresa Todos são responsáveis pela empresa Conhecimento do código de conduta Definição de responsabilidades Penalidade e sanções frente à um incidente Rigorosos procedimentos de desligamento Módulo 7
  147. 147. Acordo de Não-Divulgação Trabalhos que exigem confidencialidade, exige-se um NDA assinado Módulo 7
  148. 148. Contratantes Os acordos escritos com o fornecedor, como uma agência de recrutamento, devem incluir sanções em caso de violações. Módulo 7
  149. 149. Arquivos Pessoais Dados como acordos assinados, declarações, perfil do cargo, contrato de trabalho, NDA, etc. Módulo 7
  150. 150. Conscientização da Segurança Cursos Sensibilização Documentação Conscientes Proteção contra Engenharia Social Módulo 7
  151. 151. Exemplo Módulo 7
  152. 152. Acesso Uso obrigatório de um crachá Registro de entrada e saída Visitantes são monitorados desde a recepção Módulo 7
  153. 153. Gerenciamento de Continuidade de Negócio BPC – Business Continuity Planning DRP – Disaster Recovery Planning Módulo 7
  154. 154. Continuidade Continuidade diz respeito à disponibilidade dos sistemas de informação no momento em que eles são necessários. Módulo 7
  155. 155. O que são Desastres? Placa de rede com defeito Uma inundação Falha em um sistema Falha de energia Alerta contra bomba Plano de evacuação Módulo 7
  156. 156. DRP DRP – Disaster Recovery Planning DRP: Existe agora um desastre e tenho que voltar a trabalhar; BCP: Nós tivemos um desastre e tenho que voltar à situação de como era antes do desastre. Módulo 7
  157. 157. Exemplo Módulo 7
  158. 158. Locais Alternativos Local Alternativo Ações e Considerações  Site Redundante: Para empresas que tem diversas localidades e um único Data Center  Hot Site sob demanda: Site Móvel Teste o BCP, já que as catástrofes não acontecem só com os outros Mudanças nos processo de negócios devem refletir no BCP Pessoas são ativos da empresa, consequentemente podem não estar mais disponíveis após um desastre Módulo 7
  159. 159. Gerenciando a Comunicação e os Processos Operacionais A fim de manter uma gestão e um controle eficaz da TI, é importante documentar os procedimentos para o funcionamento dos equipamentos Objetivo do processo é certificar que não haverá mal entendido quanto a maneira em que o equipamento tem que ser operado Módulo 7
  160. 160. Gestão de Mudanças Planejar antecipadamente Cada mudança tem uma consequência Definida como pequena, média e grande mudança Segregue as funções Módulo 7
  161. 161. Segregação de Funções Tarefas e responsabilidades devem ser separadas para evitar que alterações não autorizadas sejam executadas e alterações não intencionais ou evitar o uso indevido de ativos da organização Revisão deve ser realizada Determine o acesso à informação Tarefas são divididas Segregue as funções Módulo 7
  162. 162. Desenvolvimento, Teste, Homologação e Produção Ambientes para cada finalidade Módulo 7
  163. 163. Exemplo Módulo 7
  164. 164. Gestão de Serviços de Terceiros Nem todas as atividades importantes são feitas internamente Elaborar um bom contrato Estabeleça um SLA Valide através de uma auditoria Módulo 7
  165. 165. Exemplo 1/3 300 profissionais de TI 33% 47% Módulo 7
  166. 166. Proteção contra Phishing, Malware e Spam Malware é uma combinação de palavras suspeitas e programas indesejáveis, tais como vírus, worms, trojans e spyware. Phishing é uma forma de fraude na internet onde a vítima recebe um e-mail pedindo-lhe para verificar ou confirmar seus dados bancários Spam é um nome coletivo para mensagens indesejadas Módulo 7
  167. 167. Exemplo Módulo 7
  168. 168. Exemplo Módulo 7
  169. 169. Exemplo Módulo 7
  170. 170. Exemplo Internet Banking Módulo 7
  171. 171. Backup e Restore Estabeleça regularidade Teste Atendimento aos requisitos Armazene Módulo 7
  172. 172. Gerenciamento de Segurança de Rede Intranet VPN Extranet Módulo 7
  173. 173. Exemplo Módulo 7
  174. 174. Exemplo Módulo 7
  175. 175. Manuseio de Mídia  Publicação não autorizada Alteração Deleção ou destruição Interrupção das atividades empresariais Módulo 7
  176. 176. Exemplo Módulo 7
  177. 177. Equipamento Móvel Eles são mais do que apenas um hardware, eles também contêm software e dados. Muitos incidentes ocorrem envolvendo equipamentos móveis. Os procedimentos devem ser desenvolvidos para o armazenamento e manuseio de informações, a fim de protegê-lo contra a publicação não autorizada ou o uso indevido. O melhor método para isso é a classificação ou graduação Módulo 7
  178. 178. Troca de Informação Fazer acordos internos e externos Expectativas claramente documentadas Cuidados com as Mensagens Eletrônicas Cuidados com os Sistemas de Informações Empresariais Módulo 7
  179. 179. Exemplo Módulo 7
  180. 180. Serviços para e-commerce Proteção extra Confidencialidade e Integridade Módulo 7
  181. 181. Exemplo Módulo 7
  182. 182. Informações Publicamente Disponíveis Corretas, íntegras e seguras De empresas privadas e públicas Módulo 7
  183. 183. Resumo Política de Segurança Os domínios da ISO/IEC Pessoal e Segregação de Funções NDA Continuidade de Negócio (DRP e BCP) Gerenciamento de Mudanças Gerenciamento de Comunicação  Vírus, Malware, Phishing, Rootkit, Botnets, Spyware, Logic Bomb, Hoax, Trojan e Worm  Gerenciamento de Segurança Módulo 7
  184. 184. Teste Módulo 7
  185. 185. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  186. 186. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  187. 187. Módulo 8
  188. 188. O que veremos neste módulo? Observância dos Regulamentos Legais Conformidade Direitos de Propriedade Intelectual Proteger documentos comerciais Confidencialidade Prevenção do uso indevido Política e Padrões de Segurança Medidas de Controle e Auditoria Módulo 8
  189. 189. Introdução A legislação abrange as áreas de tributação, contabilidade, privacidade, financeiro e regulamentação para os bancos e empresas. Módulo 8
  190. 190. Observância dos regulamentos legais Cada empresa, deve observar a legislação local, regulamentos e obrigações contratuais, principalmente, onde serão executadas as operações comerciais, ou seja, em outros paises. Exigências legais podem variar bastante, particularmente na área da privacidade e, portanto, a maneira que se lidará com a informação, que pode ser privada e diferente. Módulo 8
  191. 191. Conformidade Rastreabilidade Obrigatoriedade Flexibilidade Tolerância Dedicação Módulo 8
  192. 192. Exemplo Módulo 8
  193. 193. Medidas para a Conformidade Política Interna contendo as legislações e as regulamentações nacionais Procedimentos para aplicação prática Análise de Riscos para assegurar os níveis de segurança Módulo 8
  194. 194. Direitos de Propriedades Intelectuais Publicar uma Política Conscientização e inclusão do DPI à Política Incluir os direitos de Uso Comprar softwares de fornecedores idôneos Respeitar a forma de licenciamento de código aberto Identificar e manter registro dos ativos Mantenha as licenças de uso dos programas Módulo 8
  195. 195. Exemplo Módulo 8
  196. 196. Proteção de Documentos Empresariais Documentos precisam ser protegidos contra perda, destruição e falsificação Os registros devem ser classificados de acordo com o tipo Prazo e meios de armazenamentos devem ser determinados Considere a perda de qualidade do armazenamento ao longo do tempo Estabeleça procedimentos para evitar a perda de informações Módulo 8
  197. 197. Confidencialidade Sob uma legislação Política de proteção Nomeação de um responsável Medidas técnicas de proteção Módulo 8
  198. 198. Exemplo Módulo 8
  199. 199. Prevenção do uso indevido dos recursos de TI Como os recursos são utilizados Monitore o uso Cumpra os regulamentos Código de conduta Veja a legislação do país Módulo 8
  200. 200. Exemplo Módulo 8
  201. 201. Política e Padrões de Segurança Conselho Administrativo Gerentes Funcionais Operacional Módulo 8
  202. 202. Medidas de Controle e Auditoria Está incluído na política? É observado na prática? Será que a medição esta sendo feita? Módulo 8
  203. 203. Exemplo Módulo 8
  204. 204. Auditoria de Sistema da Informação Envolve riscos Afeta a capacidade Cuidados com o exame de um item por duas pessoas destintas Emissão de notificação de auditoria Módulo 8
  205. 205. Proteção auxiliar utilizando os Sistemas de Informação Não importa como uma organização planejou a sua segurança, a segurança é tão forte quanto o elo mais fraco! • Medidas de segurança são válidas também para os auditores Módulo 8
  206. 206. Resumo Observância dos Regulamentos Legais Conformidade Direitos de Propriedade Intelectual Proteger Documentos Comerciais Confidencialidade Prevenção do Uso Indevido  Políticas e Padrões de Segurança  Medidas de Controle  Auditoria Módulo 8
  207. 207. Teste Módulo 8
  208. 208. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course

×