Curso oficial iso 27002 versão 2013 foundation

3.833 visualizações

Publicada em

Material do Curso Oficial do ISO 27002 Foundation - Versão 2013 da EXIN.
By: http://www.pmgacademy.com

Publicada em: Educação
0 comentários
15 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.833
No SlideShare
0
A partir de incorporações
0
Número de incorporações
36
Ações
Compartilhamentos
0
Downloads
746
Comentários
0
Gostaram
15
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Curso oficial iso 27002 versão 2013 foundation

  1. 1. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO/IEC ® 27002:2013 Foundation
  2. 2. Módulo 1
  3. 3. Nível Foundation Prof. Adriano Martins Clique Aqui para Iniciar ISO/IEC ® 27002:2013 Foundation ESTE DOCUMENTO CONTÉM INFORMAÇÕES PROPRIETÁRIAS, PROTEGIDAS POR COPYRIGHT. TODOS OS DIREITOS RESERVADOS. NENHUMA PARTE DESTE DOCUMENTO PODE SER FOTOCOPIADA, REPRODUZIDA OU TRADUZIDA PARA OUTRO IDIOMA SEM CONSENTIMENTO DA PMG ACADEMY LTDA, BRASIL. © Copyright 2012 - 2013, PMG Academy. Todos os direitos reservados. www.pmgacademy.com
  4. 4. Executar todos os Simulados Dica para Questões e Simulados: Corrigir as questões que estão erradas e PRINCIPALMENTE as CORRETAS Assistir no mínimo 2 vezes o Treinamento Realizar os Exercícios no final de cada módulo Breve leitura dos Termos no Glossário Maior Aproveitamento Módulo 1
  5. 5. Programação Introdução Módulo 1 Informação, Objetivos de Negócios e Requisitos de Qualidade Módulo 2 Riscos e Ameaças Módulo 3 Ativos de Negócio e Incidentes de Segurança da Informação Módulo 4 Medidas Físicas Módulo 5 Medidas Técnicas (Segurança de TI) Módulo 6 Medidas Organizacionais Módulo 7 Legislação e Regulamentos Módulo 8 Simulados Módulo 9 Módulo 1
  6. 6. Sobre o EXIN www.exin-exams.com Módulo 1
  7. 7. Esquema de Qualificação ISO/IEC 27002:2013 Foundation Level Information Security Foundation based on ISO/IEC 27002 Advanced Level Information Security Management Advanced based on ISO/IEC 27002 Expert Level Information Security Management Expert based on ISO/IEC 27002 Módulo 1
  8. 8. Propósito do Curso Globalização TI: Ativo valioso Informação confiável Módulo 1
  9. 9. Público Alvo Qualquer pessoa na organização que manuseia informações. É também aplicável a proprietários de pequenas empresas a quem alguns conceitos básicos de Segurança da Informação são necessários. Este módulo pode ser um excelente ponto de partida para novos profissionais de segurança da informação. Módulo 1
  10. 10. Pré-Requisitos Módulo 1
  11. 11. Detalhes do Exame Múltipla escolha em computador ou impresso em papel 60 minutos 40 65 % (26 de 40) não não Nenhum Tipo de exame: Tempo destinado ao exame: Mínimo para aprovação: Número de questões: Com consulta: Equipamentos eletrônicos permitidos: Pré requisitos: Módulo 1
  12. 12. Formato do Exame Conteúdo 10% - Segurança da Informação 2,5% - O conceito de Informação 2,5% - Valor da Informação 5% - Aspectos de Confiabilidade 30% - Ameaças e Riscos 15% - Ameaças e Riscos 15% - O Relacionamento entre Ameaças, Riscos e Confiabilidade da Informação 10% - Abordagem e Organização 2,5% - Política de Segurança e Segurança da Organização 2,5% - Componentes da Segurança da Organização 5% - Gerenciamento de Incidentes 40% - Medidas 10% - Importância das Medidas 10% - Medidas de Seguranças Físicas 10% - Medidas de Segurança Técnica 10% - Medidas Organizacionais 10% - Legislação e Regulamentações Módulo 1
  13. 13. Visão Geral : Segurança Proteção Informação Mercadoria Valiosa Informação Desempenham Um papel Importante no Nosso tempo livre Conexão Risco e Segurança Medidas Físicas Técnicas Organizacionais Módulo 1
  14. 14. Introdução à Segurança da Informação A segurança da informação é a disciplina que concentra na qualidade (confiabilidade) Disponibilidade, Confidencialidade e Integridade Tríade Truque para execução da segurança da informação: Os requisitos de qualidade que uma organização pode ter para a informação; Os riscos para estes requisitos de qualidade;  As medidas que são necessárias para minimizar esses riscos;  Assegurar a continuidade da organização no caso de um desastre Módulo 1
  15. 15. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  16. 16. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento de ITSM baseada na ISO/IEC ® 27002 Foundation
  17. 17. Módulo 2
  18. 18. O que veremos neste módulo?  Forma, Valor e Fator do Sistema de Informação  Tríade: Disponibilidade, Integridade e Confiabilidade  Arquitetura e Análise da Informação  Gestão da Informação Módulo 2
  19. 19. Introdução S.I. diz respeito à Garantia de Proteção aos Dados Dados ≠ Informações “... Ação de informar ou informar-se. / Notícia recebida ou comunicada; informe. / Espécie de investigação a que se precede para verificar um fato …” Módulo 2
  20. 20. Formas Imagens de vídeo Textos de documentos Palavras faladas Módulo 2
  21. 21. Sistema da Informação Combinação de meios, procedimentos, regras e pessoas que asseguram o fornecimento de informações para um processo operacional Servidores Telefone Armazenamento Cabos e wireless Estação de Trabalho Módulo 2
  22. 22. Exemplo Telefone móvel é seguro? Módulo 2
  23. 23. Valor da Informação Quem define o valor é o destinatário Dados ou informações? Dados Informações Sem significado Com significado Módulo 2
  24. 24. Informação como fator de produção Capital Mão de Obra Matéria-Prima Tecnologia Módulo 2
  25. 25. Módulo 2 Disponibilidade, Integridade e Confiabilidade Pilares para uma análise de riscos, com base no CIA A importância da informação para os processos operacionais; A indispensabilidade das informações dentro dos processos operacionais; A recuperação da informação.
  26. 26. Disponibilidade Pontualidade. Os sistemas de informação estão disponíveis quando necessários; Robustez. Não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. Continuidade. O pessoal pode continuar a trabalhar no caso de um fracasso ou indisponibilidade; Módulo 2
  27. 27. Integridade Informação sem erros Informação atualizada “...o grau em que a informação está atualizada e sem erros...” Módulo 2
  28. 28. Exemplo Crimeware Módulo 2
  29. 29. Confidencialidade “...é o grau em que o acesso à informação é restrito a um grupo definido de pessoas autorizadas...” Privacidade Restrição de acesso Módulo 2
  30. 30. Reporte Arquitetura da Informação “... processo que demonstra como será feita a prestação de informação ...” Distribuição Encaminhamento Disponibilização Módulo 2
  31. 31. Exemplo Conexão física para a Internet dá aos hackers potencial acesso aos sistemas do avião Módulo 2
  32. 32. Análise da Informação Workflow Projetar um sistema baseado no seu Fluxo Em virtude do resultado da análise Módulo 2
  33. 33. Processos Operacionais e de Informações 1 Processo Primário Processo orientativo Processo de apoio Módulo 2
  34. 34. Gestão da Informação e a Informática Gestão da comunicação Formula e dirige a política relativa à prestação de informação Informática desenvolve Informações Módulo 2
  35. 35. Resumo Gestão da Informação Forma da Informação Sistema da Informação Valor da Informação Disponibilidade Integridade Confidencialidade Arquitetura da Informação Módulo 2
  36. 36. Teste Módulo 2
  37. 37. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  38. 38. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  39. 39. Módulo 3
  40. 40. O que veremos neste módulo?  Análise de Riscos  Medidas de Redução de Riscos  Tipos de Ameaças  Tipos de Danos Módulo 3
  41. 41. Introdução Ameaça de roubo. Risco subjetivo ou objetivo? Mapeamento das ameaças Senha de acesso? Módulo 3
  42. 42. Na prática Um incêndio que pode iniciar em sua empresa. Um empregado que não trabalha no RH mas pode obter acesso às informações deste departamento. Alguém que se apresenta como um empregado e tenta obter informações interna da empresa. Sua empresa é atingido por uma falha de energia Um hacker consegue acessar a rede da empresa. Módulo 3
  43. 43. Gerenciamento de Riscos Gerenciamento de Riscos: Ameaça manifestada: torna-se um INCIDENTE Ameaça concretizada: Surge um RISCO, então... Medidas de segurança são tomadas CICLO CONTÍNUO Identificar Reduzir Examinar Módulo 3
  44. 44. Exemplo Módulo 3
  45. 45. Análise de Riscos Serve para: Objetivos Como ferramenta para Gestão de Riscos Determinar se as ameaças são relevantes Identificar riscos associados Garantir que as medidas de segurança sejam implantadas Evita gastos desnecessários em medidas de segurança Ajuda a conhecer os conceitos de segurança Avaliar corretamente os riscos Identificar os bens e os seus valores Determinar as vulnerabilidades e ameaças Determinar quais as ameaças se tornarão um risco Determinar um equilíbrio entre os custos Módulo 3
  46. 46. Tipo de Análise de Riscos: Quantitativo Baseado na probabilidade da ameaça tornar-se um incidente Baseado na perda financeira  Baseado no impacto Módulo 3
  47. 47. Exemplo Módulo 3
  48. 48. Tipo de Análise de Riscos: Qualitativo Baseado nas situações Baseado nos sentimentos  Baseado nos cenários Módulo 3
  49. 49. Medidas de Redução de Riscos Objetivo: Reduzir a chance do evento ocorrer Minimizar as consequências Através Prevenção Detecção Repressão Correção Seguros Aceitação Módulo 3
  50. 50. Tipos de Medidas de Segurança Ameaça Prevenção Seguro Aceitação Detecção Repressão Recuperação Risco Redução Incidente Módulo 3
  51. 51. Tipos de Ameaças Humanas Não-Humanas Módulo 3
  52. 52. Ameaça Humana Ameaça Externa: Hacker Funcionários Internos Engenharia Social Módulo 3
  53. 53. Ameaça Não-Humana Incêndios Relâmpagos Inundações Tempestades Catástrofes Módulo 3
  54. 54. Exemplo Módulo 3
  55. 55. Tipos de Danos  Danos diretos  Danos indiretos  ALE – Annual Loss Expectancy  SLE – Single Loss Expectancy Módulo 3
  56. 56. Exemplo Módulo 3
  57. 57. Tipos de Estratégia de Risco Aceitar Minimizar Sem incidentes Carregar o Risco Neutralizar o Risco Evitar o Risco Módulo 3
  58. 58. Diretrizes para implementar medidas de segurança Módulo 3
  59. 59. Exemplo Módulo 3
  60. 60. Resumo Diretrizes para implementação Gerenciamento de Riscos Análise de Riscos Quantitativo Análise de Riscos Qualitativo Medidas de Redução Tipo de Ameaça Tipo de Dano Tipo de Estratégia Módulo 3
  61. 61. Teste Módulo 3
  62. 62. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  63. 63. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  64. 64. Módulo 4
  65. 65. O que veremos neste módulo?  Ativos de Negócios  Classificação dos Ativos  Gerenciamento de Incidente  Ciclo de Incidentes  Papéis Módulo 4
  66. 66. Introdução Processo de Segurança da Informação é Contínuo Deve ser apoiada pela Alta Administração Módulo 4
  67. 67. Quais são os ativos da empresa As informações que são gravadas sobre os bens da empresa são:  O tipo de ativo de negócio;  Proprietário do processo;  Localização do ativo;  O Formato do ativo;  A Classificação;  Valor do ativo para o negócio. Módulo 4
  68. 68. Gerenciamento de Ativos de Negócios Acordos Como lidar com os ativos Como as mudanças acontecem Quem inicia as mudanças e como são testadas Módulo 4
  69. 69. Acordos de como lidar com os ativos da empresa Quanto mais complexo o ativo, mais importante uma instrução de uso Módulo 4
  70. 70. O uso dos ativos de negócio Regras de utilização Módulo 4
  71. 71. Termos Designar (forma especial de categorização) Graduar (classificar a informação apropriadamente) Classificação (níveis de sensibilidade) Proprietário (responsável por um ativo de negócio) Módulo 4
  72. 72. Classificação Módulo 4
  73. 73. Gerenciamento de Incidentes de Segurança Incidentes de Segurança Reportar ao Service Desk Módulo 4
  74. 74. Reporte dos Incidentes de Segurança Os relatórios devem ser usados como:  Uma forma de aprender  Reporte de incidentes Os relatórios devem ser usados como:  Data e hora Nome da pessoa que reporta o incidente Localização (onde foi o incidente?) Qual é o problema? Qual é o efeito que o incidente causou? Como foi descoberto? Módulo 4
  75. 75. Exemplo Um procedimento contém instruções do que fazer diante de um incidente Incidentes de segurança Módulo 4
  76. 76. Reportando Fraquezas de Segurança Reportar fraquezas e deficiências, mais cedo possível Módulo 4
  77. 77. É importante que as informações pertinentes sejam coletadas e armazenadas Registro de Ruptura Módulo 4
  78. 78. Medidas no ciclo de vida do Incidente Redução Prevenção Detecção Repressão Correção Avaliação Ameaça Incidente Dano Recuperação Módulo 4
  79. 79. Papéis CISO ISO ISM Módulo 4
  80. 80. Resumo Ativos de Negócios Classificação dos Ativos Gerenciamento de Incidentes Ciclo de Vida dos Incidentes Papéis Módulo 4
  81. 81. Teste Módulo 4
  82. 82. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  83. 83. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  84. 84. Módulo 5
  85. 85. O que veremos neste módulo?  Segurança Física  Anéis de Proteção  Alarmes  Proteção contra incêndio Módulo 5
  86. 86. Introdução Acesso mais restritivo Acesso mais liberado Empresa Privada: Empresa Pública: Módulo 5
  87. 87. Segurança Física Segurança física faz parte da segurança da informação, porque todos os ativos da empresa devem ser fisicamente protegidos Módulo 5
  88. 88. Equipamento Módulo 5
  89. 89. Cabeamento Cuidado com as interferências Proteção contra chiados e ruídos Fonte dupla de energia Módulo 5
  90. 90. Mídia de Armazenamento Mídias Convencionais Muitas impressoras podem armazenar informações em seu próprio disco rígido. Módulo 5
  91. 91. Anel Externo Anel Externo Arames Farpados Muros Estacionamento Cercas Vivas Riacho Módulo 5
  92. 92. Construções Portões Resistentes Vidros Blindados Impressão Digital Reconhecimento das mãos Biometria da IRIS Módulo 5
  93. 93. Gestão de Acesso Crachá ou RFID Gerenciamento eletrônico de acesso Medidas adicionais Guardas Módulo 5
  94. 94. Exemplo Em mais da metade das maternidades em Ohio, nos EUA, ambos, a mãe e a criança, colocam uma etiqueta RFID em forma de pulseira ou tornozeleira, desta forma, as mães esperam que seus filhos não sejam perdidos, raptados ou dados aos pais errados. Módulo 5
  95. 95. Espaço de Trabalho Proteção dos espaços de trabalho Detecção de Intruso Salas especiais Módulo 5
  96. 96. Detecção de Intruso O método mais comum e mais utilizado para detecção passiva de intrusos são os de infravermelho, onde movimentos aparentes são detectados quando há um objeto com uma temperatura Módulo5
  97. 97. Sala Especial – Parte I Sala de servidores Sistema de refrigeração Entrega e retirada segura Sala de armazenamento de materiais sensíveis Módulo 5
  98. 98. Sala Especial – Parte II Baterias e UPS Desumidificador Extintores de incêndio Módulo 5
  99. 99. Exemplo 1 2 Módulo 5
  100. 100. Objeto O objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno. Armários à prova de fogo Cofres Módulo 5
  101. 101. Alarmes Detecção Infravermelho Passivo Câmeras Detecção de vibração Sensores de quebra de vidro Contatos magnéticos Módulo 5
  102. 102. Proteção contra Incêndio Módulo 5
  103. 103. Sinalização e Agentes Extintores Gases inertes  Espuma Pó  Água Areia Os vários agentes extintores de fogo são: Módulo 5
  104. 104. Resumo Agentes extintores Anel Externo Construções Espaço de Trabalho Objeto Alarmes Proteção contra incêndio Sinalização Módulo 5
  105. 105. Teste Módulo 5
  106. 106. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  107. 107. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento de ITSM baseada na ISO/IEC ® 27002 Foundation
  108. 108. Módulo 6
  109. 109. O que veremos neste módulo?  Gerenciamento de Acesso Lógico  Requisitos de Segurança para SI  Criptografia  Política de Criptografia  Tipos de Sistemas de Criptografia  Segurança de Arquivos de Sistemas  Vazamento de Informação Módulo 6
  110. 110. Introdução Proteção dos dados As informações devem ser confiáveis Módulo 6
  111. 111. Gerenciamento Lógico de Acesso Controle de Acesso Discricionário (DAC).Com o Controle de Acesso Discricionário, a decisão de conceder o acesso à informação encontra-se com o próprio usuário. Controle de Acesso Obrigatório (MAC). O controle de acesso obrigatório é definido e organizado centralmente para que as pessoas tenham acesso aos sistemas de informação. Módulo 6
  112. 112. Exemplo Módulo 6
  113. 113. Requisitos de Segurança para SI Os requisitos de segurança precisam ser acordados e documentados na fase de Planejamento do Projeto. Deve fazer parte de um “Business Case” Implementar medidas de segurança na fase de concepção do projeto fica geralmente mais barato Mantenha um contrato com o fornecedor, indicando as exigências de segurança Módulo 6
  114. 114. Exemplo Módulo 6
  115. 115. Processamento Correto das Aplicações Sem perdas Sem erros Seguras Gerenciamento da validação dos dados que são inseridos no sistema, o processamento interno e a saída de dados ou informações Módulo 6
  116. 116. Exemplo Módulo 6
  117. 117. Validação dos dados de Entrada e Saída Dados de Entrada Dados de Saída Processa Módulo 6
  118. 118. Criptografia Análise Criptográfica serve para:  Desenvolver Algoritmos Quebrar Algoritmos de Inimigos Protege a Confidencialidade Protege a Autenticidade Protege a Integridade Módulo 6
  119. 119. Exemplo Módulo 6
  120. 120. A Política da Criptografia Deve conter:  Para que a organização usa a criptografia Que tipo de criptografia é utilizada Quais aplicações usam criptografia Controle e gestão de chaves Backup Controle Módulo 6
  121. 121. Gestão das Chaves São protegidas Quais pares foram emitidos? Para quem? Quando? Qual a validade? Módulo 6
  122. 122. Tipo de Sistemas de Criptografia Simétrico Assimétrico Oneway Módulo 6
  123. 123. Simétrica A raposa ataca o cão preguiçoso A raposa ataca o cão preguiçoso CRIPTO TEXTO TEXTO Dhl*7Ytt_) *ND6¨85L< P`=-_W2#D Criptografa Descriptografa Mesma chave (segredo compartilhado) Módulo 6
  124. 124. Assimétrica A raposa ataca o cão preguiçoso A raposa ataca o cão preguiçoso CRIPTO TEXTO TEXTO Dhl*7Ytt_) *ND6¨85L< P`=-_W2#D Criptografa Descriptografa Origem Destino Chave Pública Chave Privada Chave diferentes Módulo 6
  125. 125. Exemplo Companhia de Seguro Médico Certification Authority Solicita acesso Acesso concedido Módulo 6
  126. 126. Criptografia One-Way Função Hash TEXTO CRIPTO 128 bits Chave 128 bits 128 bits Pode ser usado também para:  Checa dois valores  Valida apenas a integridade Módulo 6
  127. 127. Segurança do Sistema de Arquivos Gestão de Acesso aos Códigos-Fonte do Programa Segurança de Dados de Teste Segurança nos Processos de Desenvolvimento e Suporte Módulo 6
  128. 128. Vazamento de Informações Através de canais secretos de comunicação: Para manutenção Ou back door Exemplo atual: Módulo 6
  129. 129. Terceirização do Desenvolvimento de Sistemas c Supervisionado pelo contratante Avalie a obtenção de direitos de propriedade Verifique questões de segurança, como os canais ocultos Módulo 6
  130. 130. Resumo Gerenciamento de Acesso Lógico Requisitos de Segurança Criptografia Chaves Públicas Simétricas Assimétricas Política de Criptografia Tipos de Sistemas de Criptografia Segurança de Arquivos Vazamento de Informação Módulo 6
  131. 131. Teste Módulo 6
  132. 132. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  133. 133. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  134. 134. Módulo 7
  135. 135. O que veremos neste módulo? Política de Segurança Pessoal Gerenciamento de Continuidade de Negócio Gerenciamento da Comunicação e Processos Operacionais Módulo 7
  136. 136. Introdução Medidas Organizacionais ISO/IEC 27001 e 27002 Desastres Comunicação Módulo 7
  137. 137. Política de Segurança da Informação A Política de Segurança da Informação deve ser aprovada pelo conselho administrativo e publicada à todos os interessados e envolvidos. Pode ser incluída no processo de admissão de um funcionário. Mantido na Intranet, por exemplo. Módulo 7
  138. 138. Hierarquia Módulo 7
  139. 139. Exemplo O Grupo Virgin Richard Branson, perdeu um CD contendo o nome de 3.000 clientes Módulo 7
  140. 140. Avaliando a Política de SI  Ter uma Política é uma coisa, cumpri-la é outra.  Uma Política contém: Procedimento, Política de Documento, Diretrizes, etc. Parte de um ISMS (Information Security Management System) Módulo 7
  141. 141. Modelo PDCA Plan Check Do Act Módulo 7
  142. 142. Os 18 domínios do ISO/IEC 27002:2013 1 – Escopo 10 - Criptografia 11 – Segurança Ambiental e Física 12 – Segurança Operacional 9 – Controle de Acesso 4 – Estrutura da Norma 2 -Referências Normativas 3 – Termos e Definições 5 - Políticas de Segurança da Informação 13 – Segurança da Comunicação 14 – Manutenção, Desenvolvimento e Aquisição de Sistemas 0 - Introdução 15 – Relacionamento com Fornecedores 7 – Segurança de Recursos Humanos 6 – Segurança da Informação Organizacional 8 – Gerenciamento de Ativos 16 – Gerenciamento de Incidentes de Segurança da Informação 17 – Aspectos de Segurança da Informação do Gerenciamento de Continuidade de Negócio 18 - Conformidade Módulo 7
  143. 143. Segurança dos Recursos Humanos Responsabilidades Contrato e Código de Conduta Antes Durante Depois Módulo 7
  144. 144. Acompanhamento da política de SI A política de segurança da informação é avaliada periodicamente e, se necessário, modificada. Para qualquer alteração na política deve se ter a permissão do conselho administrativo da empresa. Módulo 7
  145. 145. A Organização da Segurança da Informação Devem ser aceitos por todos Alta Direção devem dar exemplo Depende da natureza da empresa Definição de responsabilidades Módulo 7
  146. 146. Pessoal Patrimônio da empresa Todos são responsáveis pela empresa Conhecimento do código de conduta Definição de responsabilidades Penalidade e sanções frente à um incidente Rigorosos procedimentos de desligamento Módulo 7
  147. 147. Acordo de Não-Divulgação Trabalhos que exigem confidencialidade, exige-se um NDA assinado Módulo 7
  148. 148. Contratantes Os acordos escritos com o fornecedor, como uma agência de recrutamento, devem incluir sanções em caso de violações. Módulo 7
  149. 149. Arquivos Pessoais Dados como acordos assinados, declarações, perfil do cargo, contrato de trabalho, NDA, etc. Módulo 7
  150. 150. Conscientização da Segurança Cursos Sensibilização Documentação Conscientes Proteção contra Engenharia Social Módulo 7
  151. 151. Exemplo Módulo 7
  152. 152. Acesso Uso obrigatório de um crachá Registro de entrada e saída Visitantes são monitorados desde a recepção Módulo 7
  153. 153. Gerenciamento de Continuidade de Negócio BPC – Business Continuity Planning DRP – Disaster Recovery Planning Módulo 7
  154. 154. Continuidade Continuidade diz respeito à disponibilidade dos sistemas de informação no momento em que eles são necessários. Módulo 7
  155. 155. O que são Desastres? Placa de rede com defeito Uma inundação Falha em um sistema Falha de energia Alerta contra bomba Plano de evacuação Módulo 7
  156. 156. DRP DRP – Disaster Recovery Planning DRP: Existe agora um desastre e tenho que voltar a trabalhar; BCP: Nós tivemos um desastre e tenho que voltar à situação de como era antes do desastre. Módulo 7
  157. 157. Exemplo Módulo 7
  158. 158. Locais Alternativos Local Alternativo Ações e Considerações  Site Redundante: Para empresas que tem diversas localidades e um único Data Center  Hot Site sob demanda: Site Móvel Teste o BCP, já que as catástrofes não acontecem só com os outros Mudanças nos processo de negócios devem refletir no BCP Pessoas são ativos da empresa, consequentemente podem não estar mais disponíveis após um desastre Módulo 7
  159. 159. Gerenciando a Comunicação e os Processos Operacionais A fim de manter uma gestão e um controle eficaz da TI, é importante documentar os procedimentos para o funcionamento dos equipamentos Objetivo do processo é certificar que não haverá mal entendido quanto a maneira em que o equipamento tem que ser operado Módulo 7
  160. 160. Gestão de Mudanças Planejar antecipadamente Cada mudança tem uma consequência Definida como pequena, média e grande mudança Segregue as funções Módulo 7
  161. 161. Segregação de Funções Tarefas e responsabilidades devem ser separadas para evitar que alterações não autorizadas sejam executadas e alterações não intencionais ou evitar o uso indevido de ativos da organização Revisão deve ser realizada Determine o acesso à informação Tarefas são divididas Segregue as funções Módulo 7
  162. 162. Desenvolvimento, Teste, Homologação e Produção Ambientes para cada finalidade Módulo 7
  163. 163. Exemplo Módulo 7
  164. 164. Gestão de Serviços de Terceiros Nem todas as atividades importantes são feitas internamente Elaborar um bom contrato Estabeleça um SLA Valide através de uma auditoria Módulo 7
  165. 165. Exemplo 1/3 300 profissionais de TI 33% 47% Módulo 7
  166. 166. Proteção contra Phishing, Malware e Spam Malware é uma combinação de palavras suspeitas e programas indesejáveis, tais como vírus, worms, trojans e spyware. Phishing é uma forma de fraude na internet onde a vítima recebe um e-mail pedindo-lhe para verificar ou confirmar seus dados bancários Spam é um nome coletivo para mensagens indesejadas Módulo 7
  167. 167. Exemplo Módulo 7
  168. 168. Exemplo Módulo 7
  169. 169. Exemplo Módulo 7
  170. 170. Exemplo Internet Banking Módulo 7
  171. 171. Backup e Restore Estabeleça regularidade Teste Atendimento aos requisitos Armazene Módulo 7
  172. 172. Gerenciamento de Segurança de Rede Intranet VPN Extranet Módulo 7
  173. 173. Exemplo Módulo 7
  174. 174. Exemplo Módulo 7
  175. 175. Manuseio de Mídia  Publicação não autorizada Alteração Deleção ou destruição Interrupção das atividades empresariais Módulo 7
  176. 176. Exemplo Módulo 7
  177. 177. Equipamento Móvel Eles são mais do que apenas um hardware, eles também contêm software e dados. Muitos incidentes ocorrem envolvendo equipamentos móveis. Os procedimentos devem ser desenvolvidos para o armazenamento e manuseio de informações, a fim de protegê-lo contra a publicação não autorizada ou o uso indevido. O melhor método para isso é a classificação ou graduação Módulo 7
  178. 178. Troca de Informação Fazer acordos internos e externos Expectativas claramente documentadas Cuidados com as Mensagens Eletrônicas Cuidados com os Sistemas de Informações Empresariais Módulo 7
  179. 179. Exemplo Módulo 7
  180. 180. Serviços para e-commerce Proteção extra Confidencialidade e Integridade Módulo 7
  181. 181. Exemplo Módulo 7
  182. 182. Informações Publicamente Disponíveis Corretas, íntegras e seguras De empresas privadas e públicas Módulo 7
  183. 183. Resumo Política de Segurança Os domínios da ISO/IEC Pessoal e Segregação de Funções NDA Continuidade de Negócio (DRP e BCP) Gerenciamento de Mudanças Gerenciamento de Comunicação  Vírus, Malware, Phishing, Rootkit, Botnets, Spyware, Logic Bomb, Hoax, Trojan e Worm  Gerenciamento de Segurança Módulo 7
  184. 184. Teste Módulo 7
  185. 185. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  186. 186. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  187. 187. Módulo 8
  188. 188. O que veremos neste módulo? Observância dos Regulamentos Legais Conformidade Direitos de Propriedade Intelectual Proteger documentos comerciais Confidencialidade Prevenção do uso indevido Política e Padrões de Segurança Medidas de Controle e Auditoria Módulo 8
  189. 189. Introdução A legislação abrange as áreas de tributação, contabilidade, privacidade, financeiro e regulamentação para os bancos e empresas. Módulo 8
  190. 190. Observância dos regulamentos legais Cada empresa, deve observar a legislação local, regulamentos e obrigações contratuais, principalmente, onde serão executadas as operações comerciais, ou seja, em outros paises. Exigências legais podem variar bastante, particularmente na área da privacidade e, portanto, a maneira que se lidará com a informação, que pode ser privada e diferente. Módulo 8
  191. 191. Conformidade Rastreabilidade Obrigatoriedade Flexibilidade Tolerância Dedicação Módulo 8
  192. 192. Exemplo Módulo 8
  193. 193. Medidas para a Conformidade Política Interna contendo as legislações e as regulamentações nacionais Procedimentos para aplicação prática Análise de Riscos para assegurar os níveis de segurança Módulo 8
  194. 194. Direitos de Propriedades Intelectuais Publicar uma Política Conscientização e inclusão do DPI à Política Incluir os direitos de Uso Comprar softwares de fornecedores idôneos Respeitar a forma de licenciamento de código aberto Identificar e manter registro dos ativos Mantenha as licenças de uso dos programas Módulo 8
  195. 195. Exemplo Módulo 8
  196. 196. Proteção de Documentos Empresariais Documentos precisam ser protegidos contra perda, destruição e falsificação Os registros devem ser classificados de acordo com o tipo Prazo e meios de armazenamentos devem ser determinados Considere a perda de qualidade do armazenamento ao longo do tempo Estabeleça procedimentos para evitar a perda de informações Módulo 8
  197. 197. Confidencialidade Sob uma legislação Política de proteção Nomeação de um responsável Medidas técnicas de proteção Módulo 8
  198. 198. Exemplo Módulo 8
  199. 199. Prevenção do uso indevido dos recursos de TI Como os recursos são utilizados Monitore o uso Cumpra os regulamentos Código de conduta Veja a legislação do país Módulo 8
  200. 200. Exemplo Módulo 8
  201. 201. Política e Padrões de Segurança Conselho Administrativo Gerentes Funcionais Operacional Módulo 8
  202. 202. Medidas de Controle e Auditoria Está incluído na política? É observado na prática? Será que a medição esta sendo feita? Módulo 8
  203. 203. Exemplo Módulo 8
  204. 204. Auditoria de Sistema da Informação Envolve riscos Afeta a capacidade Cuidados com o exame de um item por duas pessoas destintas Emissão de notificação de auditoria Módulo 8
  205. 205. Proteção auxiliar utilizando os Sistemas de Informação Não importa como uma organização planejou a sua segurança, a segurança é tão forte quanto o elo mais fraco! • Medidas de segurança são válidas também para os auditores Módulo 8
  206. 206. Resumo Observância dos Regulamentos Legais Conformidade Direitos de Propriedade Intelectual Proteger Documentos Comerciais Confidencialidade Prevenção do Uso Indevido  Políticas e Padrões de Segurança  Medidas de Controle  Auditoria Módulo 8
  207. 207. Teste Módulo 8
  208. 208. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course

×