En09 aula6-segurança da informação

689 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
689
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
17
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

En09 aula6-segurança da informação

  1. 1. BACHARELADO EMENGENHARIA DEPRODUÇÃOEN09Gestão da Tecnologia da InformaçãoProfa. Rachel de Camargo
  2. 2. SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS2
  3. 3. SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS3
  4. 4. SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS4
  5. 5. AGORA, BRINCADEIRAS ÀPARTE ... De onde vem a regulamentação para a gestão desegurança da informação? Para que serve a gestão de segurança dainformação? O quanto a empresa deve investir nisso? Que dimensões a segurança da informaçãoengloba?5
  6. 6. A SEGURANÇA DA INFORMAÇÃO ÉNORMATIZADAISO 27001:2006 – SGSI Sistemas de Gestão da Segurança daInformaçãoISO 27002:2007 Boas práticas de Gestão da Segurançada InformaçãoISO 27005:2008 Gestão de Risco em Segurança daInformação6
  7. 7. ISO 27001 - SGSI Requisitos plenamente compreendidos Estabelecimento de uma Política de Segurança Controles para Gerência de Riscos ao Negócio Melhoria contínua baseada em medições efetivas Exemplos: Requisitos: “Incidentes de SegInfo nãodevem comprometer significativamente asituação financeira nem a imagem dacorporação” Expectativas: “Se um incidente ocorrer,deve haver uma equipe de resposta àIncidentes pronta e apta a minimizar osimpactos decorrentes”
  8. 8. ESTRUTURA DOS PROCESSOSSGSI  Política, objetivos, processos eprocedimentos do SGSI Foco na Gestão do nível de risco Atendimento das políticas eobjetivos globais da organização Política Controles Processos Procedimentos Métrica – política eobjetivos dos controles Resultados criticamenteanalisados pela Direção Orientação porresultados Reação porinformações deimpropriedade doSGSI com osobjetivos eexpectativasdefinidos
  9. 9. REQUISITOS DE UM SGSI Assegurar a seleção de controles adequados à proteçãodos ativos da informação. Termos relevantes: Ativo - Elemento de valor para a organização (Físicos,Tecnológicos, Humanos, Informação). Atributos da Informação - Disponibilidade (acessível sobdemanda por alguém autorizado); Confidencialidade (vedaracesso a alguém não-autorizado); Integridade (exatidão ecompleteza da informação).9
  10. 10. REQUISITOS DE UM SGSI Atributos Adicionais - Autenticidade (genuinidade dainformação, ligada a sua origem); Responsabilidade(identificação de autoria e credenciamento para criação emodificação); Não-repúdio (garantia de não negação dacriação ou alteração da informação, durante o ciclo de vida dainformação); Confiabilidade (grau de certeza da veracidade eprecisão de uma informação); Legalidade (grau deconformidade da informação com aspectos legais e donegócio).10
  11. 11. REQUISITOS DE UM SGSI Evento de SegInfo - Ocorrência identificada de um estado desistema, serviço ou rede, indicando: uma possível violaçãoda política de segurança; falha de controles ; ou umasituação previamente desconhecida, que possa serrelevante para a segurança da informação. Incidente de SegInfo - Um ou mais eventos de segurançaindesejados ou inesperados, que tenham uma grandeprobabilidade de comprometer as operações do negócioe ameaçar a segurança da informação. Declaração de Aplicabilidade – associada ao nível de riscopresente no negócio. O risco pode ser entendido como aprobabilidade de ocorrência de um Incidente de SegInfo.11
  12. 12. COMO MONTAR UMPLANO DE SGSI EFICAZ?1. Definir escopo2. Definir política que:a. Inclua uma Estrutura para SegInfob. Esteja alinhada com o negócioc. Estabeleça critérios para avaliação de riscosd. Seja aprovada pela Direção3. Definir abordagem de análise/avaliação de riscos4. Identificar/analisar/avaliar/tratar riscos5. Selecionar objetivos de controles6. Obter aceitação da direção para os riscos residuais7. Obter aprovação da direção para operar o SGSI8. Elaborar a declaração de aplicabilidade 12
  13. 13. ISO 27002 (17799)BOAS PRÁTICASFontes de requisitos para SegInfo: Identificação de ameaças, vulnerabilidades e seusimpactos. Legislação que a corporação, parceiros, clientes eprovedores tem que cumprir, bem como a cultura Requisitos do negócioAnálise e avaliação dos riscos: Gastos com controles devem ser balanceados com osdanos causados ao negócio pelos incidentes desegurança. Repetição periódica. Controles devem ser escolhidos visando reduzir o riscoa um patamar aceitável.13
  14. 14. ISO 27002 (17799)BOAS PRÁTICAS Controles Essenciais (ponto de vista legal): Proteção de Dados e Privacidade das Informaçõespessoais Proteção dos Registros Organizacionais Direitos de Propriedade Intelectual Controles Práticos para SegInfo: Documento da Política de SegInfo Atribuição de Responsabilidades Conscientização, educação e treinamento Processamento Correto das Aplicações Gestão de Vulnerabilidades Técnicas Gestão da Continuidade do Negócio Gestão de Incidentes e Melhorias 14
  15. 15. ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO Partes Externas – Manter a SegInfo quando háacesso, processamento, comunicação ougerência externa. Identificação dos riscos: No relacionamento com o Cliente –Os requisitos de SegInfopara este segmento devem ser considerados antes de seconceder o acesso aos ativos ou informações daorganização. Nos acordos com terceiros –Os acordos com terceiros devemcobrir todos os requisitos de SegInfo relevantes.15
  16. 16.  Gestão de Ativos - Alcançar e manter a proteçãoadequada dos ativos da organização: Inventário dos Ativos – Inventário com clara identificação deveser estruturado e mantido. Proprietário dos Ativos – Associação dos recursos deprocessamento da informação com um responsável (pessoaou organismo). Uso Aceitável dos Ativos – Regras para o uso das informaçõese de ativos. Classificação da Informação – Assegurar que a informaçãotenha um nível adequado de proteção.ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO16
  17. 17.  Segurança em Recursos Humanos: Antes da Contratação – Assegurar que todos entendamsuas responsabilidades e estejam de acordo com papéisdefinidos, reduzindo risco de roubo, fraude ou mau uso derecursos. Durante a Contratação – Assegurar que todos estejampermanentemente conscientes dos aspectos deSegInfo, estando assim aptos a apoiar a política deSegInfo e reduzir riscos. Encerramento ou Mudança da Contratação –Assegurarque todos que deixam o vínculo com a organização ofaçam de forma ordenada.ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO17
  18. 18.  Segurança Física e do Ambiente: Áreas Seguras – Prevenir acesso físico não-autorizado. Segurança de Equipamentos – Impedir perdas, danos,furto ou comprometimento de ativos e interrupção dasatividades da organização. Gerenciamento das Operações e Comunicações: Procedimentos e Responsabilidades operacionais –Garantir a operação correta dos recursos deprocessamento da informação. Gerenciamento de Serviços Terceirizados –Implementaro nível de SegInfo e garantir o cumprimento dosacordos de entrega de serviços. Planejamento e Aceitação de Sistemas – Minimizar orisco de falhas em sistemas. Proteção contra códigos maliciosos e códigos móveis –Proteger a integridade do software e da informação.ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO18
  19. 19.  Gerenciamento das Operações e Comunicações(continuação): Cópias de Segurança – Manter a integridade e adisponibilidade da informação e dos recursos deprocessamento da informação. Gerenciamento da Segurança em Redes – Garantir aproteção das informações em redes e a proteção dainfraestrutura de suporte. Manuseio de Mídias – Prevenir divulgação não-autorizada, modificação, remoção ou destruição deativos e interrupções das atividades do negócio. Troca de Informações – Manter a SegInfo nas trocas deinformações internas e externas. Serviços de Comércio Eletrônico – Garantir asegurança de serviços de comércio eletrônico e suautilização segura. Monitoramento – Detectar atividades não autorizadasde processamento de informação.ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO19
  20. 20. ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO Controle de Acessos Requisitos de Negócio para Controle de Acesso – Controlar oacesso à informação. Gerenciamento de Acesso do Usuário – Assegurar acesso aousuário autorizado e prevenir o acesso não autorizado. Responsabilidades dos Usuários – Prevenir acesso nãoautorizado e evitar o comprometimento ou roubo dainformação e seus recursos. Controle de Acesso à Rede – Prevenir o acesso nãoautorizado. Controle do Acesso ao Sistema Operacional – Preveniracesso não autorizado. Controle do Acesso à Aplicação e à Informação – Preveniracesso à informação contida nos sistemas. Computação Móvel e Trabalho Remoto – Garantia dasegurança.20
  21. 21. ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO Aquisição, Desenvolvimento e Manutenção de Sistemas deInformação Requisitos de Segurança de Sistemas de Informação – Garantira integração da segurança em Sistemas de Informação. Processamento correto de aplicações – Prevenir ocorrência deerros, perdas, modificação não autorizada ou mau uso dasinformações. Controles Criptográficos – Proteger a confidencialidade, aautenticidade ou a integridade. Segurança dos Arquivos do Sistema – Garantir a segurança dearquivos do sistema. Segurança em Processos de Desenvolvimento e de Suporte –Manter a segurança de aplicativos e da informação. Gestão de Vulnerabilidades Técnicas – Reduzir riscosresultantes da exploração de vulnerabilidades técnicasconhecidas.21
  22. 22. ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO Gestão de Incidentes de Segurança da Informação Notificação de Fragilidades e Eventos de Segurança daInformação – Assegurar que fragilidades e eventos deSegInfo sejam comunicados, visando a ação corretiva emtempo hábil. Gestão de Incidentes de Segurança da Informação emelhorias – Assegurar um enfoque consistente e efetivo.22
  23. 23. ORGANIZANDO A QUESTÃO DASEGURANÇA DA INFORMAÇÃO Gestão da Continuidade do Negócio Aspectos da Gestão da Continuidade do Negócio,relativos à SegInfo – Não permitir a interrupção dasatividades do negócio, proteger os processos críticoscontra efeitos de falhas ou desastres e assegurar suaretomada em tempo hábil. Conformidade Conformidade com Requisitos Legais – Evitar violação dequalquer requisito legal. Conformidade com Normas e Políticas de SegInfo eConformidade Técnica – Garantir conformidade dossistemas com as políticas e normas organizacionais. Considerações quanto à Auditoria de Sistemas –Maximizar a eficácia e minimizar a interferência noprocesso de auditoria.23
  24. 24. ISO 27005:2008
  25. 25. VIVENCIANDO ... A última etapa do processo de análise das políticas deTecnologia da Informação na empresa selecionada pelogrupo diz respeito à Gestão da Segurança da Informação.Nesse aspecto, cabe ao grupo: Identificar se há, formalmente, uma política de SegInfo em vigorna empresa. Verificar quantos profissionais se envolvem nessa área, e de quetipo (pessoal de informática, administrativo, terceiros?). Ainda que não exista um plano formal de SegInfo, exemplifiqueações de SegInfo com relação: À proteção de dados e privacidade das informações pessoais. À proteção dos registros organizacionais. Aos direitos de propriedade intelectual. Que ações de melhoria podem ser propostas para um ganho deefetividade nas políticas de SegInfo desta empresa. 25

×