SlideShare uma empresa Scribd logo

Política e Cultura de Segurança da Informação

Transferir como PPT, PDF
Bruno Oliveira
Bruno Oliveira

Apresentação realizada no Centro de Tecnologia Renato Archer (Campinas), em 2011, sobre aspectos de política e cultura de segurança da informação

Tecnologia
1 de 59
Bruno S. Oliveira Bolsista bruno.oliveira@cti.gov.br Tel.: +55 11 3746-6000 - Fax: +55 19 3746-6028 www.cti.gov.br
Política e Cultura de Segurança 26/01/2012 Bruno Silva de Oliveira– DSSI/CTI
Introdução • Conteúdo baseado na unidade do curso de especialização em Gestão da Segurança da Informação e Comunicações na Universidade de Brasília • Será usada a mesma organização de conteúdo das aulas, aproveitando em alguns pontos para acrescentar outros autores
Introdução • Autor do curso foi João Souza Neto • Doutor em Engenharia Elétrica pela UnB, Mestre e, Engenharia Eletrônica pelo Philips International Institute da Holanda • Professor do Mestrado em Gestão do Conhecimento e Tecnologia da Informação na UnB
Introdução • A apresentação seguirá a seguinte sequência: – Normas de Segurança da Informação – Governança de Segurança da Informação – Política de Segurança da Informação – Cultura de Segurança da Informação
NORMAS DE SEGURANÇA DA INFORMAÇÃO Neste capítulo, são apresentadas as principais normas de segurança da informação nacionais e internacionais. O objetivo deste capítulo é definir o contexto normativo sob o qual são elaborados, executados e gerenciados a governança de segurança da informação, a política de segurança da informação e o programa de conscientização em segurança da informação.
A Família de Normas ISO 27000 • Primeira norma com foco em segurança da informação: BS 7799 (British Standard Institute) • Em 2001, é publicada a versão brasileira NBR ISO 17799. • A segunda parte da norma (sistema de gestão das melhores práticas) se tornou a ISO 27001. • A primeira parte da norma (melhores práticas de segurança) se tornou a ISO 27002.
A Família de Normas ISO 27000 • Outras normas da família: – ISO 27005/2008 -> Gestão de Risco em SI – ISO 27006/2007 -> Auditoria e certificação de SI • A ISO 27001 é a única com certificação, mas a questão de definição do escopo para certificação, pode ser definido como uma falha da norma, porque possibilita que ocorra a situação da parte certificada da organização estar em ótima situação em SI e o restante estar em um nível inferior
ISO/IEC 13335 • A norma ISSO/IEC 13335 abrange técnicas para gerenciamento da segurança das tecnologias da informação e de comunicação • As funções de gerenciamento de segurança estão estruturadas conforme abaixo: – Visão geral (planejamento, implementação, operação e manutenção) – Condições ambientais e culturais – Gerenciamento de riscos
Common Criteria (ISO/IEC 15408) • Norma desenvolvida por diversos países para avaliar a segurança da tecnologia da informação. Logo tornou se a ISSO/IEC 15408 • O processo de avaliação dessa norma estabelece um nível de confiança, cujos requerimentos devem ser atendidos pela funcionalidade de segurança dos produtos de TI e pelas medidas de segurança aplicadas a esses produtos.
Common Criteria (ISO/IEC 15408) Parte 1: Introdução e Modelo Geral • A parte um da norma trata ainda dos pacotes e perfis de proteção, da avaliação dos resultados, da especificação dos alvos de segurança, da especificação dos perfis de proteção, dos requerimentos de segurança e da conformidade Parte 2: Componentes funcionais de segurança • A parte dois da norma é a base dos requisitos funcionais de segurança expressos no perfil de proteção ou no ativo de segurança.
Common Criteria (ISO/IEC 15408) Parte 3: Componentes de garantia de segurança • A parte três da norma trata dos componentes de garantia de segurança que estabelecem um caminho padrão para expressar os requisitos de segurança para os alvos de avaliação. Esta parte da norma foi desenvolvida para os clientes, desenvolvedores e avaliadores de segurança de produtos de TI.
GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO O governo da segurança da informação significa encarar a segurança adequada dos ativos de informação como um requisito não negociável de se estar no mercado.
Governaça de Segurança da Informação (ITGI, 2006) • Para o ITGI (IT Governance Institute) a governança de segurança da informação consiste na liderança, estruturas organizacionais e processos que protegem a informação. • O fator crítico para o sucesso dessa governança é a comunicação efetiva entre as partes interessadas baseada em relacionamentos construtivos, uma linguagem comum e a ação sinérgica das partes interessadas.
Governaça de Segurança da Informação (ITGI, 2006) Os 5 resultados básicos da governança de segurança da informação incluem: 1. O alinhamento estratégico da segurança da informação com a estratégia de negócios para apoiar os objetivos organizacionais; 2. A gestão de riscos por meio da execução de medidas apropriadas para gerir e mitigar riscos e reduzir impactos potenciais nos recursos da informação a um nível aceitável; 3. A gestão de recursos por meio da utilização de conhecimento em segurança da informação e da infra-estrutura de forma eficaz e eficiente; 4. A medição de desempenho por meio da medição, monitoramento, registro e divulgação de métricas de governança de segurança da informação para garantir o alcance dos objetivos organizacionais; 5. Entrega de valor pela otimização dos investimentos em segurança da informação em apoio aos objetivos organizacionais.
Governaça de Segurança da Informação (NIST, 2006) • O NIST (National Institute of Standards and Technology) define governança da segurança da informação como o processo de estabelecer e manter um framework e as estruturas e processos gerenciais que o suportam para prover garantia de que as estratégias de segurança da informação estão alinhadas e apóiam os objetivos de negócio.
Governaça de Segurança da Informação (NIST, 2006) Figura 1 – Componentes da Governança de Segurança da Informação (NIST, 2006)
CobiT • O CobiT (Control Objectives for Information and related Technology) é um guia, formulado como um framework, escrito para a auditoria e o controle da TI. • Ele foi desenvolvido pelo ITGI e pelo ISACA (Information Systems Audit and Control Association) e tem a missão de pesquisar, desenvolver, publicar e promover um framework de controle de governança de TI
CobiT Figura 2 – Áreas de Foco do CobiT 4.1 No formato de um diamante, a figura 2 mostra as 5 áreas de foco e a governança de TI no centro. Essa representação demonstra que as áreas de foco atuam na definição, implantação e execução da governança de TI
CobiT • Cada processo do CobiT é dividido em: – Descrição do Processo: descreve a identificação do processo, o que ele cobre, como ele satisfaz os requisitos de negócio da TI, no que ele foca e como é medido; – Objetivos de controle: descrevem cada objetivo de controle do processo; – Diretrizes de gerenciamento: mostram as entradas e saídas relacionadas aos processos, a tabela RACI (Responsible, Accountable, Consulted and Informed), a qual define a responsabilidade de cada função e os objetivos e métricas do processo; – Modelo de maturidade: descreve o nível de maturidade para o processo (0 - Não existente, 1 - Inicial, 2
Risk IT Framework • O Risk IT framework foi um uma iniciativa do ITGI para auxiliar as empresas na gestão dos riscos relacionados à TI e tem o intuito de ser um complemento do CobiT. • Estabelece boas práticas e provê um framework para a identificação, governo e gerência do risco da TI nas empresas.
Risk IT Framework Figura 3 – Tipos de Risco da TI
Risk IT Framework • Os tipos de risco podem ser: – Risco da entrega de serviço de TI, associado ao desempenho e a disponibilidade do serviço de TI e que pode destruir ou reduzir o valor da organização; – Risco da entrega da solução de TI, associado à contribuição da TI para soluções de negócio novas ou aprimoradas, usualmente na forma de projetos ou programas; e – Risco da realização dos benefícios da TI, associado às oportunidades (perdidas) de usar a tecnologia para melhorar a eficiência e a efetividade dos processos de negócio ou para usar a tecnologia como habilitadora de novas iniciativas de negócio. • É importante observar que o risco da TI sempre existe, seja ele reconhecido ou não pela organização
Risk IT Framework • Na figura 4, mostra-se que os componentes de Risk IT, estão divididos em três domínios, cada um com três processos: • Governança de risco: • Estabelecer e manter uma visão comum de risco • Integrar-se à gestão do risco corporativo; • Criar uma consciência do risco nas decisões de negócio. • Avaliação de risco: • Coletar dados; • Analisar o risco; • Manter o perfil de risco. • Resposta ao risco: • Articular o risco; • Gerenciar o risco; • Reagir aos eventos.
Risk IT Framework Figura 4 – Componentes do Risk IT
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Neste capítulo é abordada a necessidade de garantir a confiabilidade, integridade e disponibilidade da informação dentro da empresa
Política de Segurança • A política de SI (PSI) é a fundação da segurança de informação de uma organização. • Uma política adequada e efetiva contém informação suficiente sobre o que deve ser feito para proteger a informação e as pessoas de uma organização..
Política de Segurança • Etapas do processo de implementação de uma PSI envolvem: – Desenvolvimento: • definição dos requisitos corporativos da PSI e estabelecer padrões para documentação da política. – Aprovação: • gerenciar a transição da identificação das necessidades da política até a obtenção da autorização por meio de uma diretiva gerencial;
Política de Segurança – Implementação • solicitação e recepção ao apoio executivo e contar com o envolvimento das áreas de negócio, e desenvolver um programa de conscientização de segurança corporativo; – Conformidade • avaliação da conformidade e da efetividade da política estabelecida e ter ações corretivas para a não conformidade; – Manutenção • condução de revisões formais da política e estabelecer um processo de gestão de mudanças.
Política de Segurança • A PSI estabelece regras de alto nível para a proteção de recursos tecnológicos da organização e para os dados armazenados nesses recursos (SANS, 2001) • A norma NBR ISO/IEC 17799 define PSI como provedor de orientação e apoio da direção para a SI (ABNT, 2005) • A PSI é um conjunto de leis, regras e práticas que regulam como os ativos que incluem informações sensíveis são gerenciados, protegidos e distribuídos dentro da organização (ITSEC)
Política de Segurança • As características mais comuns em PSI são: – Definição dos requisitos dos controles de segurança da organização; – Definição do comportamento apropriado dos colaboradores e de outras partes interessadas; – Comunicação com toda a organização o consenso com respeito a requisitos e práticas de segurança;
Política de Segurança – Prover, para a gerência e outras partes interessadas, incluindo auditores, indicadores para a validação da maturidade em segurança da informação e medidas para a conformidade com o regulatório; – Definição das condições sob as quais o compartilhamento de informações e o acesso às aplicações de negócio são permitidas.
Política de Segurança • Entretanto, há muitos problemas que afetam a implantação das PSI : – Políticas desenvolvidas apenas para atender requisitos regulatórios e de auditoria, sem relação com as necessidades reais de segurança da organização nem com os requisitos de negócio; – Políticas desenvolvidas de forma isolada pelas equipes de segurança sem levar em consideração necessidades específicas de negócio; – Políticas muito genéricas para poder, efetivamente, direcionar a gestão da segurança da informação corporativa e a implementação dos controles;
Política de Segurança – Políticas que misturam política com padrões, normas e procedimentos; – Falhas da alta administração em demonstrar compromisso e apoio claros e explícitos; – Uso de linguagem e terminologia não apropriadas para o público alvo; e – Comunicação e conscientização deficientes da política e dos requisitos de conformidade.
Decreto n° 3505 – PSI da APF • O decreto Nº 3.505, de 13 de junho de 2000, institui a política de segurança da informação nos órgãos e entidades da Administração Pública Federal (Presidência da República, 2000). O decreto estabelece, no seu artigo 1º, que os pressupostos básicos da política são:
Decreto n° 3505 – PSI da APF I. assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição; II. proteção de assuntos que mereçam tratamento especial; III. capacitação dos segmentos das tecnologias sensíveis;
Decreto n° 3505 – PSI da APF IV. uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais; V. criação, desenvolvimento e manutenção de mentalidade de segurança da informação; VI. capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado;
Decreto n° 3505 – PSI da APF VII.conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
Decreto n° 3505 – PSI da APF • Como objetivos da política da informação, o decreto estabelece no seu artigo 3° I. dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis; II. eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;
Decreto n° 3505 – PSI da APF II. promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação; III. estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação; V. promover as ações necessárias à implementação e manutenção da segurança da informação; VI. VI. promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;
Decreto n° 3505 – PSI da APF VII. promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e VIII.assegurar a interoperabilidade entre os sistemas de segurança da informação.
Norma ABNT NBR ISSO/IEC 17799:2005 • A norma ABNT NBR ISO/IEC 17799 define a PSI • O objetivo da política é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. • A norma estabelece ainda que convém à direção estabelecer uma política clara, alinhada aos objetivos do negócio e demonstrar apoio e comprometimento com a SI • A norma preza pela criação de um documento da PSI aprovada pela direção e que seja publicada e comunicada a todos os funcionários
Norma ABNT NBR ISSO/IEC 17799:2005 • Nesse sentido, que o documento da política contenha declaraçõeconvém s relativas a: a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação; b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada aos objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
Norma ABNT NBR ISSO/IEC 17799:2005 d. breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo: 1. conformidade com a legislação e com requisitos regulamentares e contratuais; 2. requisitos de conscientização, treinamento e educação em segurança da informação; 3. gestão da continuidade do negócio; e 4. consequências das violações na política de segurança da informação.
Norma ABNT NBR ISSO/IEC 17799:2005 e. definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f. referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
Norma Complementar n°03/IN01/DSIC/GSIPR • A Norma Complementar nº 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (GSI, 2009).
Elaboração da POSIC • Quanto à elaboração da POSIC, a Norma Complementar estabelece: 1. Recomenda-se que, para a elaboração da POSIC, seja instituído um Grupo de Trabalho constituído por representantes dos diferentes setores do órgão ou entidade da APF como, por exemplo, segurança patrimonial, tecnologia da informação, recursos humanos, jurídico, financeiro e planejamento; 2. A elaboração da POSIC deve levar em consideração a natureza e finalidade do órgão ou entidade da APF, alinhando-se sempre que possível à sua missão e ao planejamento estratégico;
Elaboração da POSIC 3. Recomenda-se que, na elaboração da POSIC, sejam incluídos os seguintes itens: a) Escopo: neste item recomenda-se descrever o objetivo e a abrangência da Política de Segurança da Informação e Comunicações, definindo o limite no qual as ações de segurança da informação e comunicações serão desenvolvidas no órgão ou entidade da APF; b) Conceitos e definições: neste item recomenda-se relacionar todos os conceitos e suas definições a serem utilizados na Política de Segurança da Informação e Comunicações do órgão ou entidade da APF que possam gerar dificuldades de interpretações ou significados ambíguos; c) Referências legais e normativas: neste item recomenda-se relacionar as referências legais e normativas utilizadas para a elaboração da Política de Segurança da Informação e Comunicações do órgão ou entidade da APF; d) Princípios: neste item recomenda-se relacionar os princípios que regem a segurança da informação e comunicações no órgão ou entidade da APF;
Elaboração da POSIC e) Diretrizes Gerais: neste item recomenda-se estabelecer diretrizes sobre, no mínimo, os seguintes temas, considerando as Normas específicas vigentes no ordenamento jurídico: i. Tratamento da Informação; ii. Tratamento de Incidentes de Rede; iii. Gestão de Risco; iv. Gestão de Continuidade; v. Auditoria e Conformidade; vi. Controles de Acesso; vii. Uso de e-mail; viii. Acesso à Internet.
Elaboração da POSIC f) Penalidades: neste item identificam-se as consequências e penalidades para os casos de violação da Política de Segurança da Informação e Comunicações ou de quebra de segurança, devendo ser proposto um termo de responsabilidade; g) Competências e Responsabilidades: neste item recomendam-se os seguintes procedimentos: I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações; II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores públicos civis ou militares, conforme o caso, com as seguintes responsabilidades: i. Promover cultura de segurança da informação e comunicações; ii. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; iii. Propor recursos necessários às ações de segurança da informação e comunicações; iv. Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; v. Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações; vi. Manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações; vii. Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito do órgão ou entidade da APF.
Elaboração da POSIC III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou entidade da APF com as seguintes responsabilidades: i. Assessorar na implementação das ações de segurança da informação e comunicações no órgão ou entidade da APF; ii. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações; e iii. Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações, em conformidade com as legislações existentes sobre o tema. 4. POSIC precisa ser objetiva, simples, de fácil leitura e entendimento; 5. POSIC poderá ser complementada por Normas e Procedimentos que a referenciem.
CULTURA DE SEGURANÇA DA INFORMAÇÃO Cultura é um padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas. É espontânea e também é aprendida.
Cultura de SI • As organizações que confiam exclusivamente nos aspectos tecnológicos da segurança da informação, negligenciando o fator humano, particularmente os níveis de conscientização em segurança dos indivíduos que compõem a força de trabalho, estão descuidando de uma camada de proteção crucial. • Os controles técnicos de segurança da informação provêem controles preventivos e reativos e suportam a análise de dados e a tomada de decisão, mas nenhum deles oferece uma solução completa.
Programa Corporativo de Conscientização em Segurança da Informação (PCCSI) • Esse tipo de Programa depende de um forte apoio da alta administração e representa investimentos substanciais em tempo, dinheiro e outros recursos. • A construção de um Programa Corporativo de Conscientização em Segurança da Informação – PCCSI pode se dar em 6 etapas, que são:
1ª Etapa - Definição do escopo preliminar do projeto • Esse escopo provê o arcabouço para discussões detalhadas com as partes interessadas e deve ser descrito em termos de públicos-alvo e cronogramas. Os públicos-alvo podem ser empregados, fornecedores, parceiros e clientes, entre outros, e cada um deles fazendo uso diferente da informação. Quanto ao cronograma, deve-se trabalhar com um horizonte temporal de 2 a 3 anos, com marcos de revisão ao fim do período. 2ª Etapa – Engajamento do pessoal de negócio • Agendar reuniões com os líderes das unidades de negócio para identificar questões de segurança críticas para cada negócio. Apresente os benefícios do PCCSI para cada unidade de negócio específica, bem como os impactos que a concretização das ameaças pode causar.
3ª Etapa – Construção do Projeto PCCSI • Os objetivos do PCCSI devem ser claramente definidos, em linguagem de negócio e, a partir deles, devem ser definidas as ações, com indicadores e metas, para atingir os benefícios esperados. O Programa deve ser desenvolvido sob a forma de projeto e deve ser criado um Comitê, com a presença das partes interessadas, para direcionar e comunicar as ações gerenciais do Programa. 4ª Etapa – Implementação do PCCSI •Trabalhar a linguagem visual do Programa em alinhamento com a logomarca, cores, slogans e outros identificadores da organização. O primeiro treinamento de conscientização deve ser para o corpo gerencial, pois esse pessoal é essencial para garantir o apoio para as fases seguintes.
5ª Etapa – Medir e Otimizar • Usar o baseline da etapa 3 para avaliar os resultados do Programa. Avaliar o que está e o que não está funcionando, reconhecer o sucesso e corrigir as falhas e, depois, repetir o processo num ciclo de melhoria contínua. 6ª Etapa – Relatar o andamento do PCCSI •Durante o andamento do Programa, as partes interessadas devem ser regularmente informadas dos resultados alcançados. O relatório deve ser usado para reconhecer aqueles que apoiaram a iniciativa no passado e para encorajar a continuidade do apoio.
Orientações da OCDE • A OCDE (Organização para Cooperação e Desenvolvimento Econômico) publicou, em 2002, um guia para orientar o estabelecimento de um cultura de SI e tem como princípios: – Conscientização: todos os colaboradores devem estar conscientes da necessidade de segurança para os sistemas de informação e a rede de dados; – Responsabilidade: todos os colaboradores são responsáveis pela segurança dos sistemas de informação e da rede de dados; – Resposta: os colaboradores devem atuar de forma tempestiva e cooperativa para prevenir, detectar e responder a incidentes de segurança; – Ética: os colaboradores devem respeitar os legítimos interesses dos outros; – Democracia: a segurança dos sistemas de informação e da rede de dados devem ser compatíveis com os valores essenciais da sociedade democrática; – Avaliação de risco: os colaboradores devem conduzir avaliações de risco; – Projeto e implementação de segurança: os colaboradores devem incorporar a segurança como um elemento essencial dos sistemas de informação e da rede de dados; – Gestão da segurança: os colaboradores devem adotar uma abordagem de gestão de segurança; – Reavaliação: os colaboradores devem rever e reavaliar a segurança dos sistemas de informação e da rede de dados e fazer as modificações necessárias nas políticas, práticas, medidas e procedimentos.
Referências NETO, J. “Política e Cultura de Segurança”. Curso de Especialização em Gestão da Segurança da Informação e Comunicações. UnB – Universidade de Brasília. 2009 a 2011.

Recomendados

Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 

Recomendados

Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2Catia Marques
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
ITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosITIL Security - Uma Visão de Segurança por Processos
ITIL Security - Uma Visão de Segurança por ProcessosRafael Maia
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 

Mais conteúdo relacionado

Mais procurados

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Fernando Palma
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoFabiano Da Ventura
 

Mais procurados (20)

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 

Semelhante a Política e Cultura de Segurança da Informação

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Luzia Dourado
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Tadeu Marcos Fortes Leite
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Augusto Seixas
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de tilcumaio
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Fabio Marques, PMP
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kAldson Diego
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1Vicente Willians Nunes
 

Semelhante a Política e Cultura de Segurança da Informação (20)

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Cobit2
Cobit2Cobit2
Cobit2
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1
 

Mais de Bruno Oliveira

Construtivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da LiteraturaConstrutivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da LiteraturaBruno Oliveira
 
Visão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiroVisão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiroBruno Oliveira
 
Meio Ambiente com IoT na USP
Meio Ambiente com IoT na USPMeio Ambiente com IoT na USP
Meio Ambiente com IoT na USPBruno Oliveira
 
Explorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacaoExplorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacaoBruno Oliveira
 
Pensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitivaPensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitivaBruno Oliveira
 
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiroProjeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiroBruno Oliveira
 
Computação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicaçõesComputação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicaçõesBruno Oliveira
 
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...Bruno Oliveira
 
Revisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na EducaçãoRevisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na EducaçãoBruno Oliveira
 
Monografia Computação na Névoa
Monografia Computação na NévoaMonografia Computação na Névoa
Monografia Computação na NévoaBruno Oliveira
 
Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)Bruno Oliveira
 
Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)Bruno Oliveira
 
Modelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmicoModelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmicoBruno Oliveira
 
Alocação dinâmica em C
Alocação dinâmica em CAlocação dinâmica em C
Alocação dinâmica em CBruno Oliveira
 
Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)Bruno Oliveira
 
Labirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafosLabirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafosBruno Oliveira
 
Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...Bruno Oliveira
 

Mais de Bruno Oliveira (20)

Construtivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da LiteraturaConstrutivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da Literatura
 
Visão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiroVisão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiro
 
Meio Ambiente com IoT na USP
Meio Ambiente com IoT na USPMeio Ambiente com IoT na USP
Meio Ambiente com IoT na USP
 
Wear Pay
Wear PayWear Pay
Wear Pay
 
Explorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacaoExplorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacao
 
Pensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitivaPensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitiva
 
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiroProjeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
 
Computação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicaçõesComputação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicações
 
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
 
Revisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na EducaçãoRevisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na Educação
 
Monografia Computação na Névoa
Monografia Computação na NévoaMonografia Computação na Névoa
Monografia Computação na Névoa
 
BC - Feedbacks
BC - FeedbacksBC - Feedbacks
BC - Feedbacks
 
Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)
 
Humaniza tecnocare
Humaniza tecnocareHumaniza tecnocare
Humaniza tecnocare
 
Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)
 
Modelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmicoModelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmico
 
Alocação dinâmica em C
Alocação dinâmica em CAlocação dinâmica em C
Alocação dinâmica em C
 
Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)
 
Labirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafosLabirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafos
 
Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...
 

Política e Cultura de Segurança da Informação

  • 1. Bruno S. Oliveira Bolsista bruno.oliveira@cti.gov.br Tel.: +55 11 3746-6000 - Fax: +55 19 3746-6028 www.cti.gov.br
  • 2. Política e Cultura de Segurança 26/01/2012 Bruno Silva de Oliveira– DSSI/CTI
  • 3. Introdução • Conteúdo baseado na unidade do curso de especialização em Gestão da Segurança da Informação e Comunicações na Universidade de Brasília • Será usada a mesma organização de conteúdo das aulas, aproveitando em alguns pontos para acrescentar outros autores
  • 4. Introdução • Autor do curso foi João Souza Neto • Doutor em Engenharia Elétrica pela UnB, Mestre e, Engenharia Eletrônica pelo Philips International Institute da Holanda • Professor do Mestrado em Gestão do Conhecimento e Tecnologia da Informação na UnB
  • 5. Introdução • A apresentação seguirá a seguinte sequência: – Normas de Segurança da Informação – Governança de Segurança da Informação – Política de Segurança da Informação – Cultura de Segurança da Informação
  • 6. NORMAS DE SEGURANÇA DA INFORMAÇÃO Neste capítulo, são apresentadas as principais normas de segurança da informação nacionais e internacionais. O objetivo deste capítulo é definir o contexto normativo sob o qual são elaborados, executados e gerenciados a governança de segurança da informação, a política de segurança da informação e o programa de conscientização em segurança da informação.
  • 7. A Família de Normas ISO 27000 • Primeira norma com foco em segurança da informação: BS 7799 (British Standard Institute) • Em 2001, é publicada a versão brasileira NBR ISO 17799. • A segunda parte da norma (sistema de gestão das melhores práticas) se tornou a ISO 27001. • A primeira parte da norma (melhores práticas de segurança) se tornou a ISO 27002.
  • 8. A Família de Normas ISO 27000 • Outras normas da família: – ISO 27005/2008 -> Gestão de Risco em SI – ISO 27006/2007 -> Auditoria e certificação de SI • A ISO 27001 é a única com certificação, mas a questão de definição do escopo para certificação, pode ser definido como uma falha da norma, porque possibilita que ocorra a situação da parte certificada da organização estar em ótima situação em SI e o restante estar em um nível inferior
  • 9. ISO/IEC 13335 • A norma ISSO/IEC 13335 abrange técnicas para gerenciamento da segurança das tecnologias da informação e de comunicação • As funções de gerenciamento de segurança estão estruturadas conforme abaixo: – Visão geral (planejamento, implementação, operação e manutenção) – Condições ambientais e culturais – Gerenciamento de riscos
  • 10. Common Criteria (ISO/IEC 15408) • Norma desenvolvida por diversos países para avaliar a segurança da tecnologia da informação. Logo tornou se a ISSO/IEC 15408 • O processo de avaliação dessa norma estabelece um nível de confiança, cujos requerimentos devem ser atendidos pela funcionalidade de segurança dos produtos de TI e pelas medidas de segurança aplicadas a esses produtos.
  • 11. Common Criteria (ISO/IEC 15408) Parte 1: Introdução e Modelo Geral • A parte um da norma trata ainda dos pacotes e perfis de proteção, da avaliação dos resultados, da especificação dos alvos de segurança, da especificação dos perfis de proteção, dos requerimentos de segurança e da conformidade Parte 2: Componentes funcionais de segurança • A parte dois da norma é a base dos requisitos funcionais de segurança expressos no perfil de proteção ou no ativo de segurança.
  • 12. Common Criteria (ISO/IEC 15408) Parte 3: Componentes de garantia de segurança • A parte três da norma trata dos componentes de garantia de segurança que estabelecem um caminho padrão para expressar os requisitos de segurança para os alvos de avaliação. Esta parte da norma foi desenvolvida para os clientes, desenvolvedores e avaliadores de segurança de produtos de TI.
  • 13. GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO O governo da segurança da informação significa encarar a segurança adequada dos ativos de informação como um requisito não negociável de se estar no mercado.
  • 14. Governaça de Segurança da Informação (ITGI, 2006) • Para o ITGI (IT Governance Institute) a governança de segurança da informação consiste na liderança, estruturas organizacionais e processos que protegem a informação. • O fator crítico para o sucesso dessa governança é a comunicação efetiva entre as partes interessadas baseada em relacionamentos construtivos, uma linguagem comum e a ação sinérgica das partes interessadas.
  • 15. Governaça de Segurança da Informação (ITGI, 2006) Os 5 resultados básicos da governança de segurança da informação incluem: 1. O alinhamento estratégico da segurança da informação com a estratégia de negócios para apoiar os objetivos organizacionais; 2. A gestão de riscos por meio da execução de medidas apropriadas para gerir e mitigar riscos e reduzir impactos potenciais nos recursos da informação a um nível aceitável; 3. A gestão de recursos por meio da utilização de conhecimento em segurança da informação e da infra-estrutura de forma eficaz e eficiente; 4. A medição de desempenho por meio da medição, monitoramento, registro e divulgação de métricas de governança de segurança da informação para garantir o alcance dos objetivos organizacionais; 5. Entrega de valor pela otimização dos investimentos em segurança da informação em apoio aos objetivos organizacionais.
  • 16. Governaça de Segurança da Informação (NIST, 2006) • O NIST (National Institute of Standards and Technology) define governança da segurança da informação como o processo de estabelecer e manter um framework e as estruturas e processos gerenciais que o suportam para prover garantia de que as estratégias de segurança da informação estão alinhadas e apóiam os objetivos de negócio.
  • 17. Governaça de Segurança da Informação (NIST, 2006) Figura 1 – Componentes da Governança de Segurança da Informação (NIST, 2006)
  • 18. CobiT • O CobiT (Control Objectives for Information and related Technology) é um guia, formulado como um framework, escrito para a auditoria e o controle da TI. • Ele foi desenvolvido pelo ITGI e pelo ISACA (Information Systems Audit and Control Association) e tem a missão de pesquisar, desenvolver, publicar e promover um framework de controle de governança de TI
  • 19. CobiT Figura 2 – Áreas de Foco do CobiT 4.1 No formato de um diamante, a figura 2 mostra as 5 áreas de foco e a governança de TI no centro. Essa representação demonstra que as áreas de foco atuam na definição, implantação e execução da governança de TI
  • 20. CobiT • Cada processo do CobiT é dividido em: – Descrição do Processo: descreve a identificação do processo, o que ele cobre, como ele satisfaz os requisitos de negócio da TI, no que ele foca e como é medido; – Objetivos de controle: descrevem cada objetivo de controle do processo; – Diretrizes de gerenciamento: mostram as entradas e saídas relacionadas aos processos, a tabela RACI (Responsible, Accountable, Consulted and Informed), a qual define a responsabilidade de cada função e os objetivos e métricas do processo; – Modelo de maturidade: descreve o nível de maturidade para o processo (0 - Não existente, 1 - Inicial, 2
  • 21. Risk IT Framework • O Risk IT framework foi um uma iniciativa do ITGI para auxiliar as empresas na gestão dos riscos relacionados à TI e tem o intuito de ser um complemento do CobiT. • Estabelece boas práticas e provê um framework para a identificação, governo e gerência do risco da TI nas empresas.
  • 22. Risk IT Framework Figura 3 – Tipos de Risco da TI
  • 23. Risk IT Framework • Os tipos de risco podem ser: – Risco da entrega de serviço de TI, associado ao desempenho e a disponibilidade do serviço de TI e que pode destruir ou reduzir o valor da organização; – Risco da entrega da solução de TI, associado à contribuição da TI para soluções de negócio novas ou aprimoradas, usualmente na forma de projetos ou programas; e – Risco da realização dos benefícios da TI, associado às oportunidades (perdidas) de usar a tecnologia para melhorar a eficiência e a efetividade dos processos de negócio ou para usar a tecnologia como habilitadora de novas iniciativas de negócio. • É importante observar que o risco da TI sempre existe, seja ele reconhecido ou não pela organização
  • 24. Risk IT Framework • Na figura 4, mostra-se que os componentes de Risk IT, estão divididos em três domínios, cada um com três processos: • Governança de risco: • Estabelecer e manter uma visão comum de risco • Integrar-se à gestão do risco corporativo; • Criar uma consciência do risco nas decisões de negócio. • Avaliação de risco: • Coletar dados; • Analisar o risco; • Manter o perfil de risco. • Resposta ao risco: • Articular o risco; • Gerenciar o risco; • Reagir aos eventos.
  • 25. Risk IT Framework Figura 4 – Componentes do Risk IT
  • 26. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Neste capítulo é abordada a necessidade de garantir a confiabilidade, integridade e disponibilidade da informação dentro da empresa
  • 27. Política de Segurança • A política de SI (PSI) é a fundação da segurança de informação de uma organização. • Uma política adequada e efetiva contém informação suficiente sobre o que deve ser feito para proteger a informação e as pessoas de uma organização..
  • 28. Política de Segurança • Etapas do processo de implementação de uma PSI envolvem: – Desenvolvimento: • definição dos requisitos corporativos da PSI e estabelecer padrões para documentação da política. – Aprovação: • gerenciar a transição da identificação das necessidades da política até a obtenção da autorização por meio de uma diretiva gerencial;
  • 29. Política de Segurança – Implementação • solicitação e recepção ao apoio executivo e contar com o envolvimento das áreas de negócio, e desenvolver um programa de conscientização de segurança corporativo; – Conformidade • avaliação da conformidade e da efetividade da política estabelecida e ter ações corretivas para a não conformidade; – Manutenção • condução de revisões formais da política e estabelecer um processo de gestão de mudanças.
  • 30. Política de Segurança • A PSI estabelece regras de alto nível para a proteção de recursos tecnológicos da organização e para os dados armazenados nesses recursos (SANS, 2001) • A norma NBR ISO/IEC 17799 define PSI como provedor de orientação e apoio da direção para a SI (ABNT, 2005) • A PSI é um conjunto de leis, regras e práticas que regulam como os ativos que incluem informações sensíveis são gerenciados, protegidos e distribuídos dentro da organização (ITSEC)
  • 31. Política de Segurança • As características mais comuns em PSI são: – Definição dos requisitos dos controles de segurança da organização; – Definição do comportamento apropriado dos colaboradores e de outras partes interessadas; – Comunicação com toda a organização o consenso com respeito a requisitos e práticas de segurança;
  • 32. Política de Segurança – Prover, para a gerência e outras partes interessadas, incluindo auditores, indicadores para a validação da maturidade em segurança da informação e medidas para a conformidade com o regulatório; – Definição das condições sob as quais o compartilhamento de informações e o acesso às aplicações de negócio são permitidas.
  • 33. Política de Segurança • Entretanto, há muitos problemas que afetam a implantação das PSI : – Políticas desenvolvidas apenas para atender requisitos regulatórios e de auditoria, sem relação com as necessidades reais de segurança da organização nem com os requisitos de negócio; – Políticas desenvolvidas de forma isolada pelas equipes de segurança sem levar em consideração necessidades específicas de negócio; – Políticas muito genéricas para poder, efetivamente, direcionar a gestão da segurança da informação corporativa e a implementação dos controles;
  • 34. Política de Segurança – Políticas que misturam política com padrões, normas e procedimentos; – Falhas da alta administração em demonstrar compromisso e apoio claros e explícitos; – Uso de linguagem e terminologia não apropriadas para o público alvo; e – Comunicação e conscientização deficientes da política e dos requisitos de conformidade.
  • 35. Decreto n° 3505 – PSI da APF • O decreto Nº 3.505, de 13 de junho de 2000, institui a política de segurança da informação nos órgãos e entidades da Administração Pública Federal (Presidência da República, 2000). O decreto estabelece, no seu artigo 1º, que os pressupostos básicos da política são:
  • 36. Decreto n° 3505 – PSI da APF I. assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição; II. proteção de assuntos que mereçam tratamento especial; III. capacitação dos segmentos das tecnologias sensíveis;
  • 37. Decreto n° 3505 – PSI da APF IV. uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais; V. criação, desenvolvimento e manutenção de mentalidade de segurança da informação; VI. capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado;
  • 38. Decreto n° 3505 – PSI da APF VII.conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
  • 39. Decreto n° 3505 – PSI da APF • Como objetivos da política da informação, o decreto estabelece no seu artigo 3° I. dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis; II. eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;
  • 40. Decreto n° 3505 – PSI da APF II. promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação; III. estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação; V. promover as ações necessárias à implementação e manutenção da segurança da informação; VI. VI. promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;
  • 41. Decreto n° 3505 – PSI da APF VII. promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e VIII.assegurar a interoperabilidade entre os sistemas de segurança da informação.
  • 42. Norma ABNT NBR ISSO/IEC 17799:2005 • A norma ABNT NBR ISO/IEC 17799 define a PSI • O objetivo da política é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. • A norma estabelece ainda que convém à direção estabelecer uma política clara, alinhada aos objetivos do negócio e demonstrar apoio e comprometimento com a SI • A norma preza pela criação de um documento da PSI aprovada pela direção e que seja publicada e comunicada a todos os funcionários
  • 43. Norma ABNT NBR ISSO/IEC 17799:2005 • Nesse sentido, que o documento da política contenha declaraçõeconvém s relativas a: a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação; b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada aos objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
  • 44. Norma ABNT NBR ISSO/IEC 17799:2005 d. breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo: 1. conformidade com a legislação e com requisitos regulamentares e contratuais; 2. requisitos de conscientização, treinamento e educação em segurança da informação; 3. gestão da continuidade do negócio; e 4. consequências das violações na política de segurança da informação.
  • 45. Norma ABNT NBR ISSO/IEC 17799:2005 e. definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f. referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
  • 46. Norma Complementar n°03/IN01/DSIC/GSIPR • A Norma Complementar nº 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (GSI, 2009).
  • 47. Elaboração da POSIC • Quanto à elaboração da POSIC, a Norma Complementar estabelece: 1. Recomenda-se que, para a elaboração da POSIC, seja instituído um Grupo de Trabalho constituído por representantes dos diferentes setores do órgão ou entidade da APF como, por exemplo, segurança patrimonial, tecnologia da informação, recursos humanos, jurídico, financeiro e planejamento; 2. A elaboração da POSIC deve levar em consideração a natureza e finalidade do órgão ou entidade da APF, alinhando-se sempre que possível à sua missão e ao planejamento estratégico;
  • 48. Elaboração da POSIC 3. Recomenda-se que, na elaboração da POSIC, sejam incluídos os seguintes itens: a) Escopo: neste item recomenda-se descrever o objetivo e a abrangência da Política de Segurança da Informação e Comunicações, definindo o limite no qual as ações de segurança da informação e comunicações serão desenvolvidas no órgão ou entidade da APF; b) Conceitos e definições: neste item recomenda-se relacionar todos os conceitos e suas definições a serem utilizados na Política de Segurança da Informação e Comunicações do órgão ou entidade da APF que possam gerar dificuldades de interpretações ou significados ambíguos; c) Referências legais e normativas: neste item recomenda-se relacionar as referências legais e normativas utilizadas para a elaboração da Política de Segurança da Informação e Comunicações do órgão ou entidade da APF; d) Princípios: neste item recomenda-se relacionar os princípios que regem a segurança da informação e comunicações no órgão ou entidade da APF;
  • 49. Elaboração da POSIC e) Diretrizes Gerais: neste item recomenda-se estabelecer diretrizes sobre, no mínimo, os seguintes temas, considerando as Normas específicas vigentes no ordenamento jurídico: i. Tratamento da Informação; ii. Tratamento de Incidentes de Rede; iii. Gestão de Risco; iv. Gestão de Continuidade; v. Auditoria e Conformidade; vi. Controles de Acesso; vii. Uso de e-mail; viii. Acesso à Internet.
  • 50. Elaboração da POSIC f) Penalidades: neste item identificam-se as consequências e penalidades para os casos de violação da Política de Segurança da Informação e Comunicações ou de quebra de segurança, devendo ser proposto um termo de responsabilidade; g) Competências e Responsabilidades: neste item recomendam-se os seguintes procedimentos: I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações; II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores públicos civis ou militares, conforme o caso, com as seguintes responsabilidades: i. Promover cultura de segurança da informação e comunicações; ii. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; iii. Propor recursos necessários às ações de segurança da informação e comunicações; iv. Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; v. Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações; vi. Manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações; vii. Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito do órgão ou entidade da APF.
  • 51. Elaboração da POSIC III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou entidade da APF com as seguintes responsabilidades: i. Assessorar na implementação das ações de segurança da informação e comunicações no órgão ou entidade da APF; ii. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações; e iii. Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações, em conformidade com as legislações existentes sobre o tema. 4. POSIC precisa ser objetiva, simples, de fácil leitura e entendimento; 5. POSIC poderá ser complementada por Normas e Procedimentos que a referenciem.
  • 52. CULTURA DE SEGURANÇA DA INFORMAÇÃO Cultura é um padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas. É espontânea e também é aprendida.
  • 53. Cultura de SI • As organizações que confiam exclusivamente nos aspectos tecnológicos da segurança da informação, negligenciando o fator humano, particularmente os níveis de conscientização em segurança dos indivíduos que compõem a força de trabalho, estão descuidando de uma camada de proteção crucial. • Os controles técnicos de segurança da informação provêem controles preventivos e reativos e suportam a análise de dados e a tomada de decisão, mas nenhum deles oferece uma solução completa.
  • 54. Programa Corporativo de Conscientização em Segurança da Informação (PCCSI) • Esse tipo de Programa depende de um forte apoio da alta administração e representa investimentos substanciais em tempo, dinheiro e outros recursos. • A construção de um Programa Corporativo de Conscientização em Segurança da Informação – PCCSI pode se dar em 6 etapas, que são:
  • 55. 1ª Etapa - Definição do escopo preliminar do projeto • Esse escopo provê o arcabouço para discussões detalhadas com as partes interessadas e deve ser descrito em termos de públicos-alvo e cronogramas. Os públicos-alvo podem ser empregados, fornecedores, parceiros e clientes, entre outros, e cada um deles fazendo uso diferente da informação. Quanto ao cronograma, deve-se trabalhar com um horizonte temporal de 2 a 3 anos, com marcos de revisão ao fim do período. 2ª Etapa – Engajamento do pessoal de negócio • Agendar reuniões com os líderes das unidades de negócio para identificar questões de segurança críticas para cada negócio. Apresente os benefícios do PCCSI para cada unidade de negócio específica, bem como os impactos que a concretização das ameaças pode causar.
  • 56. 3ª Etapa – Construção do Projeto PCCSI • Os objetivos do PCCSI devem ser claramente definidos, em linguagem de negócio e, a partir deles, devem ser definidas as ações, com indicadores e metas, para atingir os benefícios esperados. O Programa deve ser desenvolvido sob a forma de projeto e deve ser criado um Comitê, com a presença das partes interessadas, para direcionar e comunicar as ações gerenciais do Programa. 4ª Etapa – Implementação do PCCSI •Trabalhar a linguagem visual do Programa em alinhamento com a logomarca, cores, slogans e outros identificadores da organização. O primeiro treinamento de conscientização deve ser para o corpo gerencial, pois esse pessoal é essencial para garantir o apoio para as fases seguintes.
  • 57. 5ª Etapa – Medir e Otimizar • Usar o baseline da etapa 3 para avaliar os resultados do Programa. Avaliar o que está e o que não está funcionando, reconhecer o sucesso e corrigir as falhas e, depois, repetir o processo num ciclo de melhoria contínua. 6ª Etapa – Relatar o andamento do PCCSI •Durante o andamento do Programa, as partes interessadas devem ser regularmente informadas dos resultados alcançados. O relatório deve ser usado para reconhecer aqueles que apoiaram a iniciativa no passado e para encorajar a continuidade do apoio.
  • 58. Orientações da OCDE • A OCDE (Organização para Cooperação e Desenvolvimento Econômico) publicou, em 2002, um guia para orientar o estabelecimento de um cultura de SI e tem como princípios: – Conscientização: todos os colaboradores devem estar conscientes da necessidade de segurança para os sistemas de informação e a rede de dados; – Responsabilidade: todos os colaboradores são responsáveis pela segurança dos sistemas de informação e da rede de dados; – Resposta: os colaboradores devem atuar de forma tempestiva e cooperativa para prevenir, detectar e responder a incidentes de segurança; – Ética: os colaboradores devem respeitar os legítimos interesses dos outros; – Democracia: a segurança dos sistemas de informação e da rede de dados devem ser compatíveis com os valores essenciais da sociedade democrática; – Avaliação de risco: os colaboradores devem conduzir avaliações de risco; – Projeto e implementação de segurança: os colaboradores devem incorporar a segurança como um elemento essencial dos sistemas de informação e da rede de dados; – Gestão da segurança: os colaboradores devem adotar uma abordagem de gestão de segurança; – Reavaliação: os colaboradores devem rever e reavaliar a segurança dos sistemas de informação e da rede de dados e fazer as modificações necessárias nas políticas, práticas, medidas e procedimentos.
  • 59. Referências NETO, J. “Política e Cultura de Segurança”. Curso de Especialização em Gestão da Segurança da Informação e Comunicações. UnB – Universidade de Brasília. 2009 a 2011.