SlideShare uma empresa Scribd logo
1 de 208
Baixar para ler offline
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento 
ISO/IEC ® 27002:2013 Foundation
Módulo 1
Nível 
Foundation 
Prof. Adriano Martins 
Clique Aqui para Iniciar 
ISO/IEC ® 27002:2013 Foundation 
ESTE DOCUMENTO CONTÉM INFORMAÇÕES PROPRIETÁRIAS, PROTEGIDAS POR COPYRIGHT. TODOS OS DIREITOS RESERVADOS. NENHUMA PARTE DESTE DOCUMENTO PODE SER FOTOCOPIADA, REPRODUZIDA OU TRADUZIDA PARA OUTRO IDIOMA SEM CONSENTIMENTO DA PMG ACADEMY LTDA, BRASIL. 
© Copyright 2012 - 2013, PMG Academy. Todos os direitos reservados. 
www.pmgacademy.com
Executar todos os Simulados 
Dica para Questões e Simulados: 
Corrigir as questões que estão erradas e PRINCIPALMENTE as CORRETAS 
Assistir no mínimo 2 vezes o Treinamento 
Realizar os Exercícios no final de cada módulo 
Breve leitura dos Termos no Glossário 
Maior Aproveitamento 
Módulo 1
Programação 
Introdução 
Módulo 1 
Informação, Objetivos de Negócios e Requisitos de Qualidade 
Módulo 2 
Riscos e Ameaças 
Módulo 3 
Ativos de Negócio e Incidentes de Segurança da Informação 
Módulo 4 
Medidas Físicas 
Módulo 5 
Medidas Técnicas (Segurança de TI) 
Módulo 6 
Medidas Organizacionais 
Módulo 7 
Legislação e Regulamentos 
Módulo 8 
Simulados 
Módulo 9 
Módulo 1
Sobre o EXIN 
www.exin-exams.com 
Módulo 1
Esquema de Qualificação ISO/IEC 27002:2013 
Foundation Level 
Information Security Foundation based on ISO/IEC 27002 
Advanced Level 
Information Security Management Advanced based on ISO/IEC 27002 
Expert Level 
Information Security Management Expert based on ISO/IEC 27002 
Módulo 1
Propósito do Curso 
Globalização 
TI: Ativo valioso 
Informação confiável 
Módulo 1
Público Alvo 
Qualquer pessoa na organização que manuseia informações. É 
também aplicável a proprietários de pequenas empresas a quem 
alguns conceitos básicos de Segurança da Informação são 
necessários. Este módulo pode ser um excelente ponto de partida 
para novos profissionais de segurança da informação. 
Módulo 1
Pré-Requisitos 
Módulo 1
Detalhes do Exame 
Múltipla escolha em computador ou impresso em papel 
60 minutos 
40 
65 % (26 de 40) 
não 
não 
Nenhum 
Tipo de exame: 
Tempo destinado ao exame: 
Mínimo para aprovação: 
Número de questões: 
Com consulta: 
Equipamentos eletrônicos permitidos: 
Pré requisitos: 
Módulo 1
Formato do Exame 
Conteúdo 
10% - Segurança da Informação 
2,5% - O conceito de Informação 
2,5% - Valor da Informação 
5% - Aspectos de Confiabilidade 
30% - Ameaças e Riscos 
15% - Ameaças e Riscos 
15% - O Relacionamento entre Ameaças, Riscos e Confiabilidade da Informação 
10% - Abordagem e Organização 
2,5% - Política de Segurança e Segurança da Organização 
2,5% - Componentes da Segurança da Organização 
5% - Gerenciamento de Incidentes 
40% - Medidas 
10% - Importância das Medidas 
10% - Medidas de Seguranças Físicas 
10% - Medidas de Segurança Técnica 
10% - Medidas Organizacionais 
10% - Legislação e Regulamentações 
Módulo 1
Visão Geral 
: 
Segurança 
Proteção 
Informação 
Mercadoria 
Valiosa 
Informação 
Desempenham 
Um papel 
Importante no 
Nosso tempo livre 
Conexão 
Risco e Segurança 
Medidas 
Físicas 
Técnicas 
Organizacionais 
Módulo 1
Introdução à Segurança da Informação 
A segurança da informação é a disciplina que concentra na qualidade (confiabilidade) 
Disponibilidade, Confidencialidade e Integridade 
Tríade 
Truque para execução da segurança da informação: 
Os requisitos de qualidade que uma organização pode ter para a informação; 
Os riscos para estes requisitos de qualidade; 
 As medidas que são necessárias para minimizar esses riscos; 
 Assegurar a continuidade da organização no caso de um desastre 
Módulo 1
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento de ITSM baseada na 
ISO/IEC ® 27002 Foundation
Módulo 2
O que veremos neste módulo? 
 Forma, Valor e Fator do Sistema de Informação 
 Tríade: Disponibilidade, Integridade e Confiabilidade 
 Arquitetura e Análise da Informação 
 Gestão da Informação 
Módulo 2
Introdução 
S.I. diz respeito à Garantia de Proteção aos Dados 
Dados ≠ Informações 
“... Ação de informar ou informar-se. / Notícia recebida ou comunicada; informe. / Espécie de investigação a que se precede para verificar um fato …” 
Módulo 2
Formas 
Imagens de vídeo 
Textos de documentos 
Palavras faladas 
Módulo 2
Sistema da Informação 
Combinação de meios, procedimentos, regras e pessoas que asseguram o fornecimento de informações para um processo operacional 
Servidores 
Telefone 
Armazenamento 
Cabos e wireless 
Estação de Trabalho 
Módulo 2
Exemplo 
Telefone móvel é seguro? 
Módulo 2
Valor da Informação 
Quem define o valor é o destinatário 
Dados ou informações? 
Dados 
Informações 
Sem significado 
Com significado 
Módulo 2
Informação como fator de produção 
Capital 
Mão de Obra 
Matéria-Prima 
Tecnologia 
Módulo 2
Módulo 2 
Disponibilidade, Integridade e Confiabilidade 
Pilares para uma análise de riscos, com base no CIA 
A importância da informação para os processos operacionais; 
A indispensabilidade das informações dentro dos processos operacionais; 
A recuperação da informação.
Disponibilidade 
Pontualidade. Os sistemas de informação estão disponíveis quando necessários; 
Robustez. Não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. 
Continuidade. O pessoal pode continuar a trabalhar no caso de um fracasso ou indisponibilidade; 
Módulo 2
Integridade 
Informação sem erros 
Informação atualizada 
“...o grau em que a informação está atualizada e sem erros...” 
Módulo 2
Exemplo 
Crimeware 
Módulo 2
Confidencialidade 
“...é o grau em que o acesso à informação é restrito a um grupo definido de pessoas autorizadas...” 
Privacidade 
Restrição de acesso 
Módulo 2
Reporte 
Arquitetura da Informação 
“... processo que demonstra como será feita a prestação de informação ...” 
Distribuição 
Encaminhamento 
Disponibilização 
Módulo 2
Exemplo 
Conexão física para a Internet dá aos hackers potencial acesso aos sistemas do avião 
Módulo 2
Análise da Informação 
Workflow 
Projetar um sistema baseado no seu Fluxo 
Em virtude do resultado da análise 
Módulo 2
Processos Operacionais e de Informações 
1 
Processo Primário 
Processo orientativo 
Processo de apoio 
Módulo 2
Gestão da Informação e a Informática 
Gestão da 
comunicação 
Formula e dirige a política relativa à prestação de informação 
Informática desenvolve 
Informações 
Módulo 2
Resumo 
Gestão da Informação 
Forma da Informação 
Sistema da Informação 
Valor da Informação 
Disponibilidade 
Integridade 
Confidencialidade 
Arquitetura da Informação 
Módulo 2
Teste 
Módulo 2
Clique acima em 
“Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com Official Course 
Treinamento ISO 27002 Foundation
Módulo 3
O que veremos neste módulo? 
 Análise de Riscos 
 Medidas de Redução de Riscos 
 Tipos de Ameaças 
 Tipos de Danos 
Módulo 3
Introdução 
Ameaça de roubo. Risco subjetivo ou objetivo? 
Mapeamento das ameaças 
Senha de acesso? 
Módulo 3
Na prática 
Um incêndio que pode iniciar em sua empresa. 
Um empregado que não trabalha no RH mas pode obter acesso às informações deste departamento. 
Alguém que se apresenta como um empregado e tenta obter informações interna da empresa. 
Sua empresa é atingido por uma falha de energia 
Um hacker consegue acessar a rede da empresa. 
Módulo 3
Gerenciamento de Riscos 
Gerenciamento de Riscos: 
Ameaça manifestada: torna-se um INCIDENTE 
Ameaça concretizada: Surge um RISCO, então... Medidas de segurança são tomadas 
CICLO CONTÍNUO 
Identificar 
Reduzir 
Examinar 
Módulo 3
Exemplo 
Módulo 3
Análise de Riscos 
Serve para: 
Objetivos 
Como ferramenta para Gestão de Riscos 
Determinar se as ameaças são relevantes 
Identificar riscos associados 
Garantir que as medidas de segurança sejam implantadas 
Evita gastos desnecessários em medidas de segurança 
Ajuda a conhecer os conceitos de segurança 
Avaliar corretamente os riscos 
Identificar os bens e os seus valores 
Determinar as vulnerabilidades e ameaças 
Determinar quais as ameaças se tornarão um risco 
Determinar um equilíbrio entre os custos 
Módulo 3
Tipo de Análise de Riscos: Quantitativo 
Baseado na probabilidade da ameaça tornar-se um incidente 
Baseado na perda financeira 
 Baseado no impacto 
Módulo 3
Exemplo 
Módulo 3
Tipo de Análise de Riscos: Qualitativo 
Baseado nas situações 
Baseado nos sentimentos 
 Baseado nos cenários 
Módulo 3
Medidas de Redução de Riscos 
Objetivo: 
Reduzir a chance do evento ocorrer 
Minimizar as consequências 
Através 
Prevenção 
Detecção 
Repressão 
Correção 
Seguros 
Aceitação 
Módulo 3
Tipos de Medidas de Segurança 
Ameaça 
Prevenção 
Seguro 
Aceitação 
Detecção 
Repressão 
Recuperação 
Risco 
Redução 
Incidente 
Módulo 3
Tipos de Ameaças 
Humanas 
Não-Humanas 
Módulo 3
Ameaça Humana 
Ameaça Externa: Hacker 
Funcionários Internos 
Engenharia Social 
Módulo 3
Ameaça Não-Humana 
Incêndios 
Relâmpagos 
Inundações 
Tempestades 
Catástrofes 
Módulo 3
Exemplo 
Módulo 3
Tipos de Danos 
 Danos diretos 
 Danos indiretos 
 ALE – Annual Loss Expectancy 
 SLE – Single Loss Expectancy 
Módulo 3
Exemplo 
Módulo 3
Tipos de Estratégia de Risco 
Aceitar 
Minimizar 
Sem incidentes 
Carregar o Risco 
Neutralizar o Risco 
Evitar o Risco 
Módulo 3
Diretrizes para implementar medidas de segurança 
Módulo 3
Exemplo 
Módulo 3
Resumo 
Diretrizes para implementação 
Gerenciamento de Riscos 
Análise de Riscos Quantitativo 
Análise de Riscos Qualitativo 
Medidas de Redução 
Tipo de Ameaça 
Tipo de Dano 
Tipo de Estratégia 
Módulo 3
Teste 
Módulo 3
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com Official Course 
Treinamento ISO 27002 Foundation
Módulo 4
O que veremos neste módulo? 
 Ativos de Negócios 
 Classificação dos Ativos 
 Gerenciamento de Incidente 
 Ciclo de Incidentes 
 Papéis 
Módulo 4
Introdução 
Processo de Segurança da Informação é Contínuo 
Deve ser apoiada pela Alta Administração 
Módulo 4
Quais são os ativos da empresa 
As informações que são gravadas sobre os bens da empresa são: 
 O tipo de ativo de negócio; 
 Proprietário do processo; 
 Localização do ativo; 
 O Formato do ativo; 
 A Classificação; 
 Valor do ativo para o negócio. 
Módulo 4
Gerenciamento de Ativos de Negócios 
Acordos 
Como lidar com os ativos 
Como as mudanças acontecem 
Quem inicia as mudanças e como são testadas 
Módulo 4
Acordos de como lidar com os ativos da empresa 
Quanto mais complexo o ativo, mais importante uma instrução de uso 
Módulo 4
O uso dos ativos de negócio 
Regras de utilização 
Módulo 4
Termos 
Designar (forma especial de categorização) 
Graduar (classificar a informação apropriadamente) 
Classificação (níveis de sensibilidade) 
Proprietário (responsável por um ativo de negócio) 
Módulo 4
Classificação 
Módulo 4
Gerenciamento de Incidentes de Segurança 
Incidentes de Segurança 
Reportar ao Service Desk 
Módulo 4
Reporte dos Incidentes de Segurança 
Os relatórios devem ser usados como: 
 Uma forma de aprender 
 Reporte de incidentes 
Os relatórios devem ser usados como: 
 Data e hora 
Nome da pessoa que reporta o incidente 
Localização (onde foi o incidente?) 
Qual é o problema? 
Qual é o efeito que o incidente causou? 
Como foi descoberto? 
Módulo 4
Exemplo 
Um procedimento contém instruções do que fazer diante de um incidente 
Incidentes de segurança 
Módulo 4
Reportando Fraquezas de Segurança 
Reportar fraquezas e deficiências, mais cedo possível 
Módulo 4
É importante que as informações pertinentes sejam coletadas e armazenadas 
Registro de Ruptura 
Módulo 4
Medidas no ciclo de vida do Incidente 
Redução 
Prevenção 
Detecção 
Repressão 
Correção 
Avaliação 
Ameaça 
Incidente 
Dano 
Recuperação 
Módulo 4
Papéis 
CISO 
ISO 
ISM 
Módulo 4
Resumo 
Ativos de Negócios 
Classificação dos Ativos 
Gerenciamento de Incidentes 
Ciclo de Vida dos Incidentes 
Papéis 
Módulo 4
Teste 
Módulo 4
Clique acima em 
“Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com 
Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento ISO 27002 Foundation
Módulo 5
O que veremos neste módulo? 
 Segurança Física 
 Anéis de Proteção 
 Alarmes 
 Proteção contra incêndio 
Módulo 5
Introdução 
Acesso mais restritivo 
Acesso mais liberado 
Empresa Privada: 
Empresa Pública: 
Módulo 5
Segurança Física 
Segurança física faz parte da segurança da informação, porque todos os ativos da empresa devem ser fisicamente protegidos 
Módulo 5
Equipamento 
Módulo 5
Cabeamento 
Cuidado com as interferências 
Proteção contra chiados e ruídos 
Fonte dupla de energia 
Módulo 5
Mídia de Armazenamento 
Mídias Convencionais 
Muitas impressoras podem armazenar informações em seu próprio disco rígido. 
Módulo 5
Anel Externo 
Anel Externo 
Arames Farpados 
Muros 
Estacionamento 
Cercas Vivas 
Riacho 
Módulo 5
Construções 
Portões 
Resistentes 
Vidros 
Blindados 
Impressão 
Digital 
Reconhecimento 
das mãos 
Biometria 
da IRIS 
Módulo 5
Gestão de Acesso 
Crachá ou RFID 
Gerenciamento eletrônico de acesso 
Medidas adicionais 
Guardas 
Módulo 5
Exemplo 
Em mais da metade das maternidades em Ohio, nos EUA, ambos, a mãe e a criança, colocam uma etiqueta RFID em forma de pulseira ou tornozeleira, desta forma, as mães esperam que seus filhos não sejam perdidos, raptados ou dados aos pais errados. 
Módulo 5
Espaço de Trabalho 
Proteção dos espaços de trabalho 
Detecção de Intruso 
Salas especiais 
Módulo 5
Detecção de Intruso 
O método mais comum e mais utilizado para detecção passiva de intrusos são os de infravermelho, onde movimentos aparentes são detectados quando há um objeto com uma temperatura 
Módulo5
Sala Especial – Parte I 
Sala de 
servidores 
Sistema de 
refrigeração 
Entrega e retirada 
segura 
Sala de armazenamento 
de materiais sensíveis 
Módulo 5
Sala Especial – Parte II 
Baterias e UPS 
Desumidificador 
Extintores de incêndio 
Módulo 5
Exemplo 
1 
2 
Módulo 5
Objeto 
O objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno. 
Armários à prova de fogo 
Cofres 
Módulo 5
Alarmes 
Detecção Infravermelho Passivo 
Câmeras 
Detecção de vibração 
Sensores de quebra de vidro 
Contatos magnéticos 
Módulo 5
Proteção contra Incêndio 
Módulo 5
Sinalização e Agentes Extintores 
Gases inertes 
 Espuma 
Pó 
 Água 
Areia 
Os vários agentes extintores de fogo são: 
Módulo 5
Resumo 
Agentes extintores 
Anel Externo 
Construções 
Espaço de Trabalho 
Objeto 
Alarmes 
Proteção contra incêndio 
Sinalização 
Módulo 5
Teste 
Módulo 5
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento de ITSM baseada na 
ISO/IEC ® 27002 Foundation
Módulo 6
O que veremos neste módulo? 
 Gerenciamento de Acesso Lógico 
 Requisitos de Segurança para SI 
 Criptografia 
 Política de Criptografia 
 Tipos de Sistemas de Criptografia 
 Segurança de Arquivos de Sistemas 
 Vazamento de Informação 
Módulo 6
Introdução 
Proteção dos dados 
As informações devem ser confiáveis 
Módulo 6
Gerenciamento Lógico de Acesso 
Controle de Acesso Discricionário (DAC).Com o Controle de Acesso Discricionário, a decisão de conceder o acesso à informação encontra-se com o próprio usuário. 
Controle de Acesso Obrigatório (MAC). O controle de acesso obrigatório é definido e organizado centralmente para que as pessoas tenham acesso aos sistemas de informação. 
Módulo 6
Exemplo 
Módulo 6
Requisitos de Segurança para SI 
Os requisitos de segurança precisam ser acordados e documentados na fase de Planejamento do Projeto. 
Deve fazer parte de um “Business Case” 
Implementar medidas de segurança na fase de concepção do projeto fica geralmente mais barato 
Mantenha um contrato com o fornecedor, indicando as exigências de segurança 
Módulo 6
Exemplo 
Módulo 6
Processamento Correto das Aplicações 
Sem perdas 
Sem erros 
Seguras 
Gerenciamento da validação dos dados que são inseridos no sistema, o processamento interno e a saída de dados ou informações 
Módulo 6
Exemplo 
Módulo 6
Validação dos dados de Entrada e Saída 
Dados de Entrada 
Dados de 
Saída 
Processa 
Módulo 6
Criptografia 
Análise Criptográfica serve para: 
 Desenvolver Algoritmos 
Quebrar Algoritmos de Inimigos 
Protege a Confidencialidade 
Protege a Autenticidade 
Protege a Integridade 
Módulo 6
Exemplo 
Módulo 6
A Política da Criptografia 
Deve conter: 
 Para que a organização usa a criptografia 
Que tipo de criptografia é utilizada 
Quais aplicações usam criptografia 
Controle e gestão de chaves 
Backup 
Controle 
Módulo 6
Gestão das Chaves 
São protegidas 
Quais pares foram emitidos? 
Para quem? 
Quando? 
Qual a validade? 
Módulo 6
Tipo de Sistemas de Criptografia 
Simétrico 
Assimétrico 
Oneway 
Módulo 6
Simétrica 
A raposa 
ataca o cão 
preguiçoso 
A raposa 
ataca o cão 
preguiçoso 
CRIPTO 
TEXTO 
TEXTO 
Dhl*7Ytt_) 
*ND6¨85L< 
P`=-_W2#D 
Criptografa 
Descriptografa 
Mesma chave 
(segredo compartilhado) 
Módulo 6
Assimétrica 
A raposa 
ataca o cão 
preguiçoso 
A raposa 
ataca o cão 
preguiçoso 
CRIPTO 
TEXTO 
TEXTO 
Dhl*7Ytt_) 
*ND6¨85L< 
P`=-_W2#D 
Criptografa 
Descriptografa 
Origem 
Destino 
Chave Pública 
Chave Privada 
Chave diferentes 
Módulo 6
Exemplo 
Companhia de Seguro 
Médico 
Certification 
Authority 
Solicita acesso 
Acesso concedido 
Módulo 6
Criptografia One-Way 
Função Hash 
TEXTO 
CRIPTO 
128 bits 
Chave 
128 bits 
128 bits 
Pode ser usado também para: 
 Checa dois valores 
 Valida apenas a integridade 
Módulo 6
Segurança do Sistema de Arquivos 
Gestão de Acesso aos Códigos-Fonte do Programa 
Segurança de Dados de Teste 
Segurança nos Processos de Desenvolvimento e Suporte 
Módulo 6
Vazamento de Informações 
Através de canais secretos de comunicação: 
Para manutenção 
Ou back door 
Exemplo atual: 
Módulo 6
Terceirização do Desenvolvimento de Sistemas 
c 
Supervisionado pelo contratante 
Avalie a obtenção de direitos de propriedade 
Verifique questões de segurança, como os canais ocultos 
Módulo 6
Resumo 
Gerenciamento de Acesso Lógico 
Requisitos de Segurança 
Criptografia 
Chaves Públicas 
Simétricas 
Assimétricas 
Política de Criptografia 
Tipos de Sistemas de Criptografia 
Segurança de Arquivos 
Vazamento de Informação 
Módulo 6
Teste 
Módulo 6
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Área de Aprendizagem 
www.pmgacademy.com 
Official Course 
Treinamento ISO 27002 Foundation
Módulo 7
O que veremos neste módulo? 
Política de Segurança 
Pessoal 
Gerenciamento de Continuidade de Negócio 
Gerenciamento da Comunicação e Processos Operacionais 
Módulo 7
Introdução 
Medidas Organizacionais 
ISO/IEC 27001 e 27002 
Desastres 
Comunicação 
Módulo 7
Política de Segurança da Informação 
A Política de Segurança da Informação deve ser aprovada pelo conselho administrativo e publicada à todos os interessados e envolvidos. 
Pode ser incluída no processo de admissão de um funcionário. 
Mantido na Intranet, por exemplo. 
Módulo 7
Hierarquia 
Módulo 7
Exemplo 
O Grupo Virgin Richard Branson, perdeu um CD contendo o nome de 3.000 clientes 
Módulo 7
Avaliando a Política de SI 
 Ter uma Política é uma coisa, cumpri-la é outra. 
 Uma Política contém: Procedimento, Política de Documento, Diretrizes, etc. 
Parte de um ISMS (Information Security Management System) 
Módulo 7
Modelo PDCA 
Plan 
Check 
Do 
Act 
Módulo 7
Os 18 domínios do ISO/IEC 27002:2013 
1 – Escopo 
10 - Criptografia 
11 – Segurança Ambiental e Física 
12 – Segurança Operacional 
9 – Controle de Acesso 
4 – Estrutura da Norma 
2 -Referências Normativas 
3 – Termos e Definições 
5 - Políticas de Segurança da Informação 
13 – Segurança da Comunicação 
14 – Manutenção, Desenvolvimento e Aquisição de Sistemas 
0 - Introdução 
15 – Relacionamento com Fornecedores 
7 – Segurança de Recursos Humanos 
6 – Segurança da Informação Organizacional 
8 – Gerenciamento de Ativos 
16 – Gerenciamento de Incidentes de Segurança da Informação 
17 – Aspectos de Segurança da Informação do Gerenciamento de Continuidade de Negócio 
18 - Conformidade 
Módulo 7
Segurança dos Recursos Humanos 
Responsabilidades 
Contrato e Código de Conduta 
Antes 
Durante 
Depois 
Módulo 7
Acompanhamento da política de SI 
A política de segurança da informação é avaliada periodicamente e, se necessário, modificada. Para qualquer alteração na política deve se ter a permissão do conselho administrativo da empresa. 
Módulo 7
A Organização da Segurança da Informação 
Devem ser aceitos por todos 
Alta Direção devem dar exemplo 
Depende da natureza da empresa 
Definição de responsabilidades 
Módulo 7
Pessoal 
Patrimônio da empresa 
Todos são responsáveis pela empresa 
Conhecimento do código de conduta 
Definição de responsabilidades 
Penalidade e sanções frente à um incidente 
Rigorosos procedimentos de desligamento 
Módulo 7
Acordo de Não-Divulgação 
Trabalhos que exigem confidencialidade, exige-se um NDA assinado 
Módulo 7
Contratantes 
Os acordos escritos com o fornecedor, como uma agência de recrutamento, devem incluir sanções em caso de violações. 
Módulo 7
Arquivos Pessoais 
Dados como acordos assinados, declarações, perfil do cargo, contrato de trabalho, NDA, etc. 
Módulo 7
Conscientização da Segurança 
Cursos 
Sensibilização 
Documentação 
Conscientes 
Proteção contra Engenharia Social 
Módulo 7
Exemplo 
Módulo 7
Acesso 
Uso obrigatório de um crachá 
Registro de entrada e saída 
Visitantes são monitorados desde a recepção 
Módulo 7
Gerenciamento de Continuidade de Negócio 
BPC – Business Continuity Planning 
DRP – Disaster Recovery Planning 
Módulo 7
Continuidade 
Continuidade diz respeito à disponibilidade dos sistemas de informação no momento em que eles são necessários. 
Módulo 7
O que são Desastres? 
Placa de rede com defeito 
Uma inundação 
Falha em um sistema 
Falha de energia 
Alerta contra bomba 
Plano de evacuação 
Módulo 7
DRP 
DRP – Disaster Recovery Planning 
DRP: Existe agora um desastre e tenho que voltar a trabalhar; 
BCP: Nós tivemos um desastre e tenho que voltar à situação de como era antes do desastre. 
Módulo 7
Exemplo 
Módulo 7
Locais Alternativos 
Local Alternativo 
Ações e Considerações 
 Site Redundante: Para empresas que tem diversas localidades e um único Data Center 
 Hot Site sob demanda: Site Móvel 
Teste o BCP, já que as catástrofes não acontecem só com os outros 
Mudanças nos processo de negócios devem refletir no BCP 
Pessoas são ativos da empresa, consequentemente podem não estar mais disponíveis após um desastre 
Módulo 7
Gerenciando a Comunicação e os Processos Operacionais 
A fim de manter uma gestão e um controle eficaz da TI, é importante documentar os procedimentos para o funcionamento dos equipamentos 
Objetivo do processo é certificar que não haverá mal entendido quanto a maneira em que o equipamento tem que ser operado 
Módulo 7
Gestão de Mudanças 
Planejar antecipadamente 
Cada mudança tem uma consequência 
Definida como pequena, média e grande mudança 
Segregue as funções 
Módulo 7
Segregação de Funções 
Tarefas e responsabilidades devem ser separadas para evitar que alterações não autorizadas sejam executadas e alterações não intencionais ou evitar o uso indevido de ativos da organização 
Revisão deve ser realizada 
Determine o acesso à informação 
Tarefas são divididas 
Segregue as funções 
Módulo 7
Desenvolvimento, Teste, Homologação 
e Produção 
Ambientes para cada finalidade 
Módulo 7
Exemplo 
Módulo 7
Gestão de Serviços de Terceiros 
Nem todas as atividades importantes são feitas internamente 
Elaborar um bom contrato 
Estabeleça um SLA 
Valide através de uma auditoria 
Módulo 7
Exemplo 
1/3 
300 profissionais de TI 
33% 
47% 
Módulo 7
Proteção contra Phishing, Malware e Spam 
Malware é uma combinação de palavras suspeitas e programas indesejáveis, tais como vírus, worms, trojans e spyware. 
Phishing é uma forma de fraude na internet onde a vítima recebe um e-mail pedindo-lhe para verificar ou confirmar seus dados bancários 
Spam é um nome coletivo para mensagens indesejadas 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Internet Banking 
Módulo 7
Backup e Restore 
Estabeleça regularidade 
Teste 
Atendimento aos requisitos 
Armazene 
Módulo 7
Gerenciamento de Segurança de Rede 
Intranet 
VPN 
Extranet 
Módulo 7
Exemplo 
Módulo 7
Exemplo 
Módulo 7
Manuseio de Mídia 
 Publicação não autorizada 
Alteração 
Deleção ou destruição 
Interrupção das atividades empresariais 
Módulo 7
Exemplo 
Módulo 7
Equipamento Móvel 
Eles são mais do que apenas um hardware, eles também contêm software e dados. Muitos incidentes ocorrem envolvendo equipamentos móveis. 
Os procedimentos devem ser desenvolvidos para o armazenamento e manuseio de informações, a fim de protegê-lo contra a publicação não autorizada ou o uso indevido. O melhor método para isso é a classificação ou graduação 
Módulo 7
Troca de Informação 
Fazer acordos internos e externos 
Expectativas claramente documentadas 
Cuidados com as Mensagens Eletrônicas 
Cuidados com os Sistemas de Informações Empresariais 
Módulo 7
Exemplo 
Módulo 7
Serviços para e-commerce 
Proteção extra 
Confidencialidade e Integridade 
Módulo 7
Exemplo 
Módulo 7
Informações Publicamente Disponíveis 
Corretas, íntegras e seguras 
De empresas privadas e públicas 
Módulo 7
Resumo 
Política de Segurança 
Os domínios da ISO/IEC 
Pessoal e Segregação de Funções 
NDA 
Continuidade de Negócio (DRP e BCP) 
Gerenciamento de Mudanças 
Gerenciamento de Comunicação 
 Vírus, Malware, Phishing, Rootkit, Botnets, Spyware, Logic Bomb, Hoax, Trojan e Worm 
 Gerenciamento de Segurança 
Módulo 7
Teste 
Módulo 7
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course
Área de Aprendizagem 
www.pmgacademy.com Official Course 
Treinamento ISO 27002 Foundation
Módulo 8
O que veremos neste módulo? 
Observância dos Regulamentos Legais 
Conformidade 
Direitos de Propriedade Intelectual 
Proteger documentos comerciais 
Confidencialidade 
Prevenção do uso indevido 
Política e Padrões de Segurança 
Medidas de Controle e Auditoria 
Módulo 8
Introdução 
A legislação abrange as áreas de tributação, contabilidade, privacidade, financeiro e regulamentação para os bancos e empresas. 
Módulo 8
Observância dos regulamentos legais 
Cada empresa, deve observar a legislação local, regulamentos e obrigações contratuais, principalmente, onde serão executadas as operações comerciais, ou seja, em outros paises. 
Exigências legais podem variar bastante, particularmente na área da privacidade e, portanto, a maneira que se lidará com a informação, que pode ser privada e diferente. 
Módulo 8
Conformidade 
Rastreabilidade 
Obrigatoriedade 
Flexibilidade 
Tolerância 
Dedicação 
Módulo 8
Exemplo 
Módulo 8
Medidas para a Conformidade 
Política Interna contendo as legislações e as regulamentações nacionais 
Procedimentos para aplicação prática 
Análise de Riscos para assegurar os níveis de segurança 
Módulo 8
Direitos de Propriedades Intelectuais 
Publicar uma Política 
Conscientização e inclusão do DPI à Política 
Incluir os direitos de Uso 
Comprar softwares de fornecedores idôneos 
Respeitar a forma de licenciamento de código aberto 
Identificar e manter registro dos ativos 
Mantenha as licenças de uso dos programas 
Módulo 8
Exemplo 
Módulo 8
Proteção de Documentos Empresariais 
Documentos precisam ser protegidos contra perda, destruição e falsificação 
Os registros devem ser classificados de acordo com o tipo 
Prazo e meios de armazenamentos devem ser determinados 
Considere a perda de qualidade do armazenamento ao longo do tempo 
Estabeleça procedimentos para evitar a perda de informações 
Módulo 8
Confidencialidade 
Sob uma legislação 
Política de proteção 
Nomeação de um responsável 
Medidas técnicas de proteção 
Módulo 8
Exemplo 
Módulo 8
Prevenção do uso indevido dos recursos de TI 
Como os recursos são utilizados 
Monitore o uso 
Cumpra os regulamentos 
Código de conduta 
Veja a legislação do país 
Módulo 8
Exemplo 
Módulo 8
Política e Padrões de Segurança 
Conselho Administrativo 
Gerentes Funcionais 
Operacional 
Módulo 8
Medidas de Controle e Auditoria 
Está incluído na política? 
É observado na prática? 
Será que a medição esta sendo feita? 
Módulo 8
Exemplo 
Módulo 8
Auditoria de Sistema da Informação 
Envolve riscos 
Afeta a capacidade 
Cuidados com o exame de um item por duas pessoas destintas 
Emissão de notificação de auditoria 
Módulo 8
Proteção auxiliar utilizando os Sistemas de Informação 
Não importa como uma organização planejou a sua segurança, a segurança é tão forte quanto o elo mais fraco! 
• Medidas de segurança são válidas também para os auditores 
Módulo 8
Resumo 
Observância dos Regulamentos Legais 
Conformidade 
Direitos de Propriedade Intelectual 
Proteger Documentos Comerciais 
Confidencialidade 
Prevenção do Uso Indevido 
 Políticas e Padrões de Segurança 
 Medidas de Controle 
 Auditoria 
Módulo 8
Teste 
Módulo 8
Clique acima em “Sair da Atividade” 
Pronto para o próximo? 
www.pmgacademy.com Official Course

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Plano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TIPlano de Continuidade de dos Serviços de TI
Plano de Continuidade de dos Serviços de TI
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
 
Segurança Cibernética
Segurança CibernéticaSegurança Cibernética
Segurança Cibernética
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
ISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process OverviewISO27001: Implementation & Certification Process Overview
ISO27001: Implementation & Certification Process Overview
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 
Checklist lgpd
Checklist lgpdChecklist lgpd
Checklist lgpd
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
 

Destaque

Ligação, permuta, mapas genéticos 2010
Ligação, permuta, mapas genéticos 2010Ligação, permuta, mapas genéticos 2010
Ligação, permuta, mapas genéticos 2010
UERGS
 
FunçãO Do 1º E 2º Grau Autor Antonio Carlos Carneiro Barroso
FunçãO Do 1º  E 2º Grau Autor Antonio Carlos Carneiro BarrosoFunçãO Do 1º  E 2º Grau Autor Antonio Carlos Carneiro Barroso
FunçãO Do 1º E 2º Grau Autor Antonio Carlos Carneiro Barroso
Antonio Carneiro
 
Cirugia preprotesica
Cirugia preprotesicaCirugia preprotesica
Cirugia preprotesica
ilivamo
 

Destaque (20)

Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Técnicas para o Desenvolvimento de Cronogramas
Técnicas para o Desenvolvimento de CronogramasTécnicas para o Desenvolvimento de Cronogramas
Técnicas para o Desenvolvimento de Cronogramas
 
Ligação, permuta, mapas genéticos 2010
Ligação, permuta, mapas genéticos 2010Ligação, permuta, mapas genéticos 2010
Ligação, permuta, mapas genéticos 2010
 
Snc 2º ano - 2012
Snc   2º ano - 2012Snc   2º ano - 2012
Snc 2º ano - 2012
 
Plano de Negócios Hinode 2014
Plano de Negócios Hinode 2014Plano de Negócios Hinode 2014
Plano de Negócios Hinode 2014
 
Usos del misoprostol adriana moncayo
Usos del misoprostol   adriana moncayoUsos del misoprostol   adriana moncayo
Usos del misoprostol adriana moncayo
 
Acto administrativo Modulo II
Acto administrativo   Modulo IIActo administrativo   Modulo II
Acto administrativo Modulo II
 
Certificação ITIL e Curso ITIL Virtual
Certificação ITIL e Curso ITIL VirtualCertificação ITIL e Curso ITIL Virtual
Certificação ITIL e Curso ITIL Virtual
 
Marketing na Igreja
Marketing na IgrejaMarketing na Igreja
Marketing na Igreja
 
VisãO Geral da Filosofia
VisãO Geral da FilosofiaVisãO Geral da Filosofia
VisãO Geral da Filosofia
 
Ferramentas de Gerência de Projetos
Ferramentas de Gerência de ProjetosFerramentas de Gerência de Projetos
Ferramentas de Gerência de Projetos
 
Hebreus, FeníCios E Persas 1
Hebreus, FeníCios E Persas 1Hebreus, FeníCios E Persas 1
Hebreus, FeníCios E Persas 1
 
FunçãO Do 1º E 2º Grau Autor Antonio Carlos Carneiro Barroso
FunçãO Do 1º  E 2º Grau Autor Antonio Carlos Carneiro BarrosoFunçãO Do 1º  E 2º Grau Autor Antonio Carlos Carneiro Barroso
FunçãO Do 1º E 2º Grau Autor Antonio Carlos Carneiro Barroso
 
Conhecimentos bancários curso completo Slides com Questões
Conhecimentos bancários   curso completo Slides com QuestõesConhecimentos bancários   curso completo Slides com Questões
Conhecimentos bancários curso completo Slides com Questões
 
Hipertension JNC VII
Hipertension JNC VIIHipertension JNC VII
Hipertension JNC VII
 
Timeline e historia do design
Timeline e historia do designTimeline e historia do design
Timeline e historia do design
 
AULA DE TRIGONOMETRIA
AULA DE TRIGONOMETRIAAULA DE TRIGONOMETRIA
AULA DE TRIGONOMETRIA
 
Cirugia preprotesica
Cirugia preprotesicaCirugia preprotesica
Cirugia preprotesica
 
VegetaçãO Brasileira - Ensino Fundamental 4º e 5º ano
VegetaçãO Brasileira - Ensino Fundamental 4º e 5º anoVegetaçãO Brasileira - Ensino Fundamental 4º e 5º ano
VegetaçãO Brasileira - Ensino Fundamental 4º e 5º ano
 
Caderno plan. 1º ano
Caderno plan. 1º anoCaderno plan. 1º ano
Caderno plan. 1º ano
 

Semelhante a Curso oficial iso 27002 versão 2013 foundation

Semelhante a Curso oficial iso 27002 versão 2013 foundation (20)

ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Antebellumsec201 fundamentosdeseguranadainformao-130301170538-phpapp02
Antebellumsec201 fundamentosdeseguranadainformao-130301170538-phpapp02Antebellumsec201 fundamentosdeseguranadainformao-130301170538-phpapp02
Antebellumsec201 fundamentosdeseguranadainformao-130301170538-phpapp02
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...Tcc  vulnerabilidade humana – recomendação para conscientização do aspecto hu...
Tcc vulnerabilidade humana – recomendação para conscientização do aspecto hu...
 
Como diminuir resistências engajando gestores e usuários no seu projeto senha...
Como diminuir resistências engajando gestores e usuários no seu projeto senha...Como diminuir resistências engajando gestores e usuários no seu projeto senha...
Como diminuir resistências engajando gestores e usuários no seu projeto senha...
 
Segurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptxSegurança e Riscos em TI.pptx
Segurança e Riscos em TI.pptx
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Gesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abiptiGesiti seguranca,inovacao-e-sociedade abipti
Gesiti seguranca,inovacao-e-sociedade abipti
 
Palestra
PalestraPalestra
Palestra
 
Analise de risco
Analise de riscoAnalise de risco
Analise de risco
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Pain points
Pain pointsPain points
Pain points
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança CibernéticaAspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Introdução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptxIntrodução Segurança e Auditoria.pptx
Introdução Segurança e Auditoria.pptx
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Jose
JoseJose
Jose
 

Mais de Adriano Martins Antonio

Mais de Adriano Martins Antonio (7)

Curso completo veri sm foundation (1)
Curso completo veri sm foundation (1)Curso completo veri sm foundation (1)
Curso completo veri sm foundation (1)
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPO
 
Slide do curso upgrade itil v3 - 2011
Slide do curso upgrade itil v3  - 2011Slide do curso upgrade itil v3  - 2011
Slide do curso upgrade itil v3 - 2011
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
 
Cloud computing foundation
Cloud computing foundationCloud computing foundation
Cloud computing foundation
 
Material Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXINMaterial Oficial Completo do Curso ITMP - EXIN
Material Oficial Completo do Curso ITMP - EXIN
 
Curso Completo Online preparatório do COBIT 4.1 Foundation
Curso Completo Online preparatório do COBIT 4.1 FoundationCurso Completo Online preparatório do COBIT 4.1 Foundation
Curso Completo Online preparatório do COBIT 4.1 Foundation
 

Último

Aspectos históricos da educação dos surdos.pptx
Aspectos históricos da educação dos surdos.pptxAspectos históricos da educação dos surdos.pptx
Aspectos históricos da educação dos surdos.pptx
profbrunogeo95
 
Regulamento do Festival de Teatro Negro - FESTIAFRO 2024 - 10ª edição - CEI...
Regulamento do Festival de Teatro Negro -  FESTIAFRO 2024 - 10ª edição -  CEI...Regulamento do Festival de Teatro Negro -  FESTIAFRO 2024 - 10ª edição -  CEI...
Regulamento do Festival de Teatro Negro - FESTIAFRO 2024 - 10ª edição - CEI...
Eró Cunha
 

Último (20)

Aspectos históricos da educação dos surdos.pptx
Aspectos históricos da educação dos surdos.pptxAspectos históricos da educação dos surdos.pptx
Aspectos históricos da educação dos surdos.pptx
 
Regulamento do Festival de Teatro Negro - FESTIAFRO 2024 - 10ª edição - CEI...
Regulamento do Festival de Teatro Negro -  FESTIAFRO 2024 - 10ª edição -  CEI...Regulamento do Festival de Teatro Negro -  FESTIAFRO 2024 - 10ª edição -  CEI...
Regulamento do Festival de Teatro Negro - FESTIAFRO 2024 - 10ª edição - CEI...
 
Histogramas.pptx...............................
Histogramas.pptx...............................Histogramas.pptx...............................
Histogramas.pptx...............................
 
Nós Propomos! Sertã 2024 - Geografia C - 12º ano
Nós Propomos! Sertã 2024 - Geografia C - 12º anoNós Propomos! Sertã 2024 - Geografia C - 12º ano
Nós Propomos! Sertã 2024 - Geografia C - 12º ano
 
Periodo da escravidAo O Brasil tem seu corpo na América e sua alma na África
Periodo da escravidAo O Brasil tem seu corpo na América e sua alma na ÁfricaPeriodo da escravidAo O Brasil tem seu corpo na América e sua alma na África
Periodo da escravidAo O Brasil tem seu corpo na América e sua alma na África
 
Religiosidade de Assaré - Prof. Francisco Leite
Religiosidade de Assaré - Prof. Francisco LeiteReligiosidade de Assaré - Prof. Francisco Leite
Religiosidade de Assaré - Prof. Francisco Leite
 
Sequência didática Carona 1º Encontro.pptx
Sequência didática Carona 1º Encontro.pptxSequência didática Carona 1º Encontro.pptx
Sequência didática Carona 1º Encontro.pptx
 
Formação T.2 do Modulo I da Formação HTML & CSS
Formação T.2 do Modulo I da Formação HTML & CSSFormação T.2 do Modulo I da Formação HTML & CSS
Formação T.2 do Modulo I da Formação HTML & CSS
 
Slides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptx
Slides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptxSlides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptx
Slides Lição 7, CPAD, O Perigo Da Murmuração, 2Tr24.pptx
 
Power Point sobre as etapas do Desenvolvimento infantil
Power Point sobre as etapas do Desenvolvimento infantilPower Point sobre as etapas do Desenvolvimento infantil
Power Point sobre as etapas do Desenvolvimento infantil
 
UFCD_8291_Preparação e confeção de peixes e mariscos_índice.pdf
UFCD_8291_Preparação e confeção de peixes e mariscos_índice.pdfUFCD_8291_Preparação e confeção de peixes e mariscos_índice.pdf
UFCD_8291_Preparação e confeção de peixes e mariscos_índice.pdf
 
QUESTÃO 4 Os estudos das competências pessoais é de extrema importância, pr...
QUESTÃO 4   Os estudos das competências pessoais é de extrema importância, pr...QUESTÃO 4   Os estudos das competências pessoais é de extrema importância, pr...
QUESTÃO 4 Os estudos das competências pessoais é de extrema importância, pr...
 
[2.3.3] 100%_CN7_CAP_[FichaAvaliacao3].docx
[2.3.3] 100%_CN7_CAP_[FichaAvaliacao3].docx[2.3.3] 100%_CN7_CAP_[FichaAvaliacao3].docx
[2.3.3] 100%_CN7_CAP_[FichaAvaliacao3].docx
 
transcrição fonética para aulas de língua
transcrição fonética para aulas de línguatranscrição fonética para aulas de língua
transcrição fonética para aulas de língua
 
Tema de redação - A prática do catfish e seus perigos.pdf
Tema de redação - A prática do catfish e seus perigos.pdfTema de redação - A prática do catfish e seus perigos.pdf
Tema de redação - A prática do catfish e seus perigos.pdf
 
5. EJEMPLOS DE ESTRUCTURASQUINTO GRADO.pptx
5. EJEMPLOS DE ESTRUCTURASQUINTO GRADO.pptx5. EJEMPLOS DE ESTRUCTURASQUINTO GRADO.pptx
5. EJEMPLOS DE ESTRUCTURASQUINTO GRADO.pptx
 
Dados espaciais em R - 2023 - UFABC - Geoprocessamento
Dados espaciais em R - 2023 - UFABC - GeoprocessamentoDados espaciais em R - 2023 - UFABC - Geoprocessamento
Dados espaciais em R - 2023 - UFABC - Geoprocessamento
 
O que é, de facto, a Educação de Infância
O que é, de facto, a Educação de InfânciaO que é, de facto, a Educação de Infância
O que é, de facto, a Educação de Infância
 
UFCD_10659_Ficheiros de recursos educativos_índice .pdf
UFCD_10659_Ficheiros de recursos educativos_índice .pdfUFCD_10659_Ficheiros de recursos educativos_índice .pdf
UFCD_10659_Ficheiros de recursos educativos_índice .pdf
 
Poema - Maio Laranja
Poema - Maio Laranja Poema - Maio Laranja
Poema - Maio Laranja
 

Curso oficial iso 27002 versão 2013 foundation

  • 1. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO/IEC ® 27002:2013 Foundation
  • 3. Nível Foundation Prof. Adriano Martins Clique Aqui para Iniciar ISO/IEC ® 27002:2013 Foundation ESTE DOCUMENTO CONTÉM INFORMAÇÕES PROPRIETÁRIAS, PROTEGIDAS POR COPYRIGHT. TODOS OS DIREITOS RESERVADOS. NENHUMA PARTE DESTE DOCUMENTO PODE SER FOTOCOPIADA, REPRODUZIDA OU TRADUZIDA PARA OUTRO IDIOMA SEM CONSENTIMENTO DA PMG ACADEMY LTDA, BRASIL. © Copyright 2012 - 2013, PMG Academy. Todos os direitos reservados. www.pmgacademy.com
  • 4. Executar todos os Simulados Dica para Questões e Simulados: Corrigir as questões que estão erradas e PRINCIPALMENTE as CORRETAS Assistir no mínimo 2 vezes o Treinamento Realizar os Exercícios no final de cada módulo Breve leitura dos Termos no Glossário Maior Aproveitamento Módulo 1
  • 5. Programação Introdução Módulo 1 Informação, Objetivos de Negócios e Requisitos de Qualidade Módulo 2 Riscos e Ameaças Módulo 3 Ativos de Negócio e Incidentes de Segurança da Informação Módulo 4 Medidas Físicas Módulo 5 Medidas Técnicas (Segurança de TI) Módulo 6 Medidas Organizacionais Módulo 7 Legislação e Regulamentos Módulo 8 Simulados Módulo 9 Módulo 1
  • 6. Sobre o EXIN www.exin-exams.com Módulo 1
  • 7. Esquema de Qualificação ISO/IEC 27002:2013 Foundation Level Information Security Foundation based on ISO/IEC 27002 Advanced Level Information Security Management Advanced based on ISO/IEC 27002 Expert Level Information Security Management Expert based on ISO/IEC 27002 Módulo 1
  • 8. Propósito do Curso Globalização TI: Ativo valioso Informação confiável Módulo 1
  • 9. Público Alvo Qualquer pessoa na organização que manuseia informações. É também aplicável a proprietários de pequenas empresas a quem alguns conceitos básicos de Segurança da Informação são necessários. Este módulo pode ser um excelente ponto de partida para novos profissionais de segurança da informação. Módulo 1
  • 11. Detalhes do Exame Múltipla escolha em computador ou impresso em papel 60 minutos 40 65 % (26 de 40) não não Nenhum Tipo de exame: Tempo destinado ao exame: Mínimo para aprovação: Número de questões: Com consulta: Equipamentos eletrônicos permitidos: Pré requisitos: Módulo 1
  • 12. Formato do Exame Conteúdo 10% - Segurança da Informação 2,5% - O conceito de Informação 2,5% - Valor da Informação 5% - Aspectos de Confiabilidade 30% - Ameaças e Riscos 15% - Ameaças e Riscos 15% - O Relacionamento entre Ameaças, Riscos e Confiabilidade da Informação 10% - Abordagem e Organização 2,5% - Política de Segurança e Segurança da Organização 2,5% - Componentes da Segurança da Organização 5% - Gerenciamento de Incidentes 40% - Medidas 10% - Importância das Medidas 10% - Medidas de Seguranças Físicas 10% - Medidas de Segurança Técnica 10% - Medidas Organizacionais 10% - Legislação e Regulamentações Módulo 1
  • 13. Visão Geral : Segurança Proteção Informação Mercadoria Valiosa Informação Desempenham Um papel Importante no Nosso tempo livre Conexão Risco e Segurança Medidas Físicas Técnicas Organizacionais Módulo 1
  • 14. Introdução à Segurança da Informação A segurança da informação é a disciplina que concentra na qualidade (confiabilidade) Disponibilidade, Confidencialidade e Integridade Tríade Truque para execução da segurança da informação: Os requisitos de qualidade que uma organização pode ter para a informação; Os riscos para estes requisitos de qualidade;  As medidas que são necessárias para minimizar esses riscos;  Assegurar a continuidade da organização no caso de um desastre Módulo 1
  • 15. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 16. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento de ITSM baseada na ISO/IEC ® 27002 Foundation
  • 18. O que veremos neste módulo?  Forma, Valor e Fator do Sistema de Informação  Tríade: Disponibilidade, Integridade e Confiabilidade  Arquitetura e Análise da Informação  Gestão da Informação Módulo 2
  • 19. Introdução S.I. diz respeito à Garantia de Proteção aos Dados Dados ≠ Informações “... Ação de informar ou informar-se. / Notícia recebida ou comunicada; informe. / Espécie de investigação a que se precede para verificar um fato …” Módulo 2
  • 20. Formas Imagens de vídeo Textos de documentos Palavras faladas Módulo 2
  • 21. Sistema da Informação Combinação de meios, procedimentos, regras e pessoas que asseguram o fornecimento de informações para um processo operacional Servidores Telefone Armazenamento Cabos e wireless Estação de Trabalho Módulo 2
  • 22. Exemplo Telefone móvel é seguro? Módulo 2
  • 23. Valor da Informação Quem define o valor é o destinatário Dados ou informações? Dados Informações Sem significado Com significado Módulo 2
  • 24. Informação como fator de produção Capital Mão de Obra Matéria-Prima Tecnologia Módulo 2
  • 25. Módulo 2 Disponibilidade, Integridade e Confiabilidade Pilares para uma análise de riscos, com base no CIA A importância da informação para os processos operacionais; A indispensabilidade das informações dentro dos processos operacionais; A recuperação da informação.
  • 26. Disponibilidade Pontualidade. Os sistemas de informação estão disponíveis quando necessários; Robustez. Não há capacidade suficiente para permitir que todos os funcionários trabalhem nos sistemas de informação. Continuidade. O pessoal pode continuar a trabalhar no caso de um fracasso ou indisponibilidade; Módulo 2
  • 27. Integridade Informação sem erros Informação atualizada “...o grau em que a informação está atualizada e sem erros...” Módulo 2
  • 29. Confidencialidade “...é o grau em que o acesso à informação é restrito a um grupo definido de pessoas autorizadas...” Privacidade Restrição de acesso Módulo 2
  • 30. Reporte Arquitetura da Informação “... processo que demonstra como será feita a prestação de informação ...” Distribuição Encaminhamento Disponibilização Módulo 2
  • 31. Exemplo Conexão física para a Internet dá aos hackers potencial acesso aos sistemas do avião Módulo 2
  • 32. Análise da Informação Workflow Projetar um sistema baseado no seu Fluxo Em virtude do resultado da análise Módulo 2
  • 33. Processos Operacionais e de Informações 1 Processo Primário Processo orientativo Processo de apoio Módulo 2
  • 34. Gestão da Informação e a Informática Gestão da comunicação Formula e dirige a política relativa à prestação de informação Informática desenvolve Informações Módulo 2
  • 35. Resumo Gestão da Informação Forma da Informação Sistema da Informação Valor da Informação Disponibilidade Integridade Confidencialidade Arquitetura da Informação Módulo 2
  • 37. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 38. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  • 40. O que veremos neste módulo?  Análise de Riscos  Medidas de Redução de Riscos  Tipos de Ameaças  Tipos de Danos Módulo 3
  • 41. Introdução Ameaça de roubo. Risco subjetivo ou objetivo? Mapeamento das ameaças Senha de acesso? Módulo 3
  • 42. Na prática Um incêndio que pode iniciar em sua empresa. Um empregado que não trabalha no RH mas pode obter acesso às informações deste departamento. Alguém que se apresenta como um empregado e tenta obter informações interna da empresa. Sua empresa é atingido por uma falha de energia Um hacker consegue acessar a rede da empresa. Módulo 3
  • 43. Gerenciamento de Riscos Gerenciamento de Riscos: Ameaça manifestada: torna-se um INCIDENTE Ameaça concretizada: Surge um RISCO, então... Medidas de segurança são tomadas CICLO CONTÍNUO Identificar Reduzir Examinar Módulo 3
  • 45. Análise de Riscos Serve para: Objetivos Como ferramenta para Gestão de Riscos Determinar se as ameaças são relevantes Identificar riscos associados Garantir que as medidas de segurança sejam implantadas Evita gastos desnecessários em medidas de segurança Ajuda a conhecer os conceitos de segurança Avaliar corretamente os riscos Identificar os bens e os seus valores Determinar as vulnerabilidades e ameaças Determinar quais as ameaças se tornarão um risco Determinar um equilíbrio entre os custos Módulo 3
  • 46. Tipo de Análise de Riscos: Quantitativo Baseado na probabilidade da ameaça tornar-se um incidente Baseado na perda financeira  Baseado no impacto Módulo 3
  • 48. Tipo de Análise de Riscos: Qualitativo Baseado nas situações Baseado nos sentimentos  Baseado nos cenários Módulo 3
  • 49. Medidas de Redução de Riscos Objetivo: Reduzir a chance do evento ocorrer Minimizar as consequências Através Prevenção Detecção Repressão Correção Seguros Aceitação Módulo 3
  • 50. Tipos de Medidas de Segurança Ameaça Prevenção Seguro Aceitação Detecção Repressão Recuperação Risco Redução Incidente Módulo 3
  • 51. Tipos de Ameaças Humanas Não-Humanas Módulo 3
  • 52. Ameaça Humana Ameaça Externa: Hacker Funcionários Internos Engenharia Social Módulo 3
  • 53. Ameaça Não-Humana Incêndios Relâmpagos Inundações Tempestades Catástrofes Módulo 3
  • 55. Tipos de Danos  Danos diretos  Danos indiretos  ALE – Annual Loss Expectancy  SLE – Single Loss Expectancy Módulo 3
  • 57. Tipos de Estratégia de Risco Aceitar Minimizar Sem incidentes Carregar o Risco Neutralizar o Risco Evitar o Risco Módulo 3
  • 58. Diretrizes para implementar medidas de segurança Módulo 3
  • 60. Resumo Diretrizes para implementação Gerenciamento de Riscos Análise de Riscos Quantitativo Análise de Riscos Qualitativo Medidas de Redução Tipo de Ameaça Tipo de Dano Tipo de Estratégia Módulo 3
  • 62. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 63. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  • 65. O que veremos neste módulo?  Ativos de Negócios  Classificação dos Ativos  Gerenciamento de Incidente  Ciclo de Incidentes  Papéis Módulo 4
  • 66. Introdução Processo de Segurança da Informação é Contínuo Deve ser apoiada pela Alta Administração Módulo 4
  • 67. Quais são os ativos da empresa As informações que são gravadas sobre os bens da empresa são:  O tipo de ativo de negócio;  Proprietário do processo;  Localização do ativo;  O Formato do ativo;  A Classificação;  Valor do ativo para o negócio. Módulo 4
  • 68. Gerenciamento de Ativos de Negócios Acordos Como lidar com os ativos Como as mudanças acontecem Quem inicia as mudanças e como são testadas Módulo 4
  • 69. Acordos de como lidar com os ativos da empresa Quanto mais complexo o ativo, mais importante uma instrução de uso Módulo 4
  • 70. O uso dos ativos de negócio Regras de utilização Módulo 4
  • 71. Termos Designar (forma especial de categorização) Graduar (classificar a informação apropriadamente) Classificação (níveis de sensibilidade) Proprietário (responsável por um ativo de negócio) Módulo 4
  • 73. Gerenciamento de Incidentes de Segurança Incidentes de Segurança Reportar ao Service Desk Módulo 4
  • 74. Reporte dos Incidentes de Segurança Os relatórios devem ser usados como:  Uma forma de aprender  Reporte de incidentes Os relatórios devem ser usados como:  Data e hora Nome da pessoa que reporta o incidente Localização (onde foi o incidente?) Qual é o problema? Qual é o efeito que o incidente causou? Como foi descoberto? Módulo 4
  • 75. Exemplo Um procedimento contém instruções do que fazer diante de um incidente Incidentes de segurança Módulo 4
  • 76. Reportando Fraquezas de Segurança Reportar fraquezas e deficiências, mais cedo possível Módulo 4
  • 77. É importante que as informações pertinentes sejam coletadas e armazenadas Registro de Ruptura Módulo 4
  • 78. Medidas no ciclo de vida do Incidente Redução Prevenção Detecção Repressão Correção Avaliação Ameaça Incidente Dano Recuperação Módulo 4
  • 79. Papéis CISO ISO ISM Módulo 4
  • 80. Resumo Ativos de Negócios Classificação dos Ativos Gerenciamento de Incidentes Ciclo de Vida dos Incidentes Papéis Módulo 4
  • 82. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 83. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  • 85. O que veremos neste módulo?  Segurança Física  Anéis de Proteção  Alarmes  Proteção contra incêndio Módulo 5
  • 86. Introdução Acesso mais restritivo Acesso mais liberado Empresa Privada: Empresa Pública: Módulo 5
  • 87. Segurança Física Segurança física faz parte da segurança da informação, porque todos os ativos da empresa devem ser fisicamente protegidos Módulo 5
  • 89. Cabeamento Cuidado com as interferências Proteção contra chiados e ruídos Fonte dupla de energia Módulo 5
  • 90. Mídia de Armazenamento Mídias Convencionais Muitas impressoras podem armazenar informações em seu próprio disco rígido. Módulo 5
  • 91. Anel Externo Anel Externo Arames Farpados Muros Estacionamento Cercas Vivas Riacho Módulo 5
  • 92. Construções Portões Resistentes Vidros Blindados Impressão Digital Reconhecimento das mãos Biometria da IRIS Módulo 5
  • 93. Gestão de Acesso Crachá ou RFID Gerenciamento eletrônico de acesso Medidas adicionais Guardas Módulo 5
  • 94. Exemplo Em mais da metade das maternidades em Ohio, nos EUA, ambos, a mãe e a criança, colocam uma etiqueta RFID em forma de pulseira ou tornozeleira, desta forma, as mães esperam que seus filhos não sejam perdidos, raptados ou dados aos pais errados. Módulo 5
  • 95. Espaço de Trabalho Proteção dos espaços de trabalho Detecção de Intruso Salas especiais Módulo 5
  • 96. Detecção de Intruso O método mais comum e mais utilizado para detecção passiva de intrusos são os de infravermelho, onde movimentos aparentes são detectados quando há um objeto com uma temperatura Módulo5
  • 97. Sala Especial – Parte I Sala de servidores Sistema de refrigeração Entrega e retirada segura Sala de armazenamento de materiais sensíveis Módulo 5
  • 98. Sala Especial – Parte II Baterias e UPS Desumidificador Extintores de incêndio Módulo 5
  • 99. Exemplo 1 2 Módulo 5
  • 100. Objeto O objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno. Armários à prova de fogo Cofres Módulo 5
  • 101. Alarmes Detecção Infravermelho Passivo Câmeras Detecção de vibração Sensores de quebra de vidro Contatos magnéticos Módulo 5
  • 103. Sinalização e Agentes Extintores Gases inertes  Espuma Pó  Água Areia Os vários agentes extintores de fogo são: Módulo 5
  • 104. Resumo Agentes extintores Anel Externo Construções Espaço de Trabalho Objeto Alarmes Proteção contra incêndio Sinalização Módulo 5
  • 106. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 107. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento de ITSM baseada na ISO/IEC ® 27002 Foundation
  • 109. O que veremos neste módulo?  Gerenciamento de Acesso Lógico  Requisitos de Segurança para SI  Criptografia  Política de Criptografia  Tipos de Sistemas de Criptografia  Segurança de Arquivos de Sistemas  Vazamento de Informação Módulo 6
  • 110. Introdução Proteção dos dados As informações devem ser confiáveis Módulo 6
  • 111. Gerenciamento Lógico de Acesso Controle de Acesso Discricionário (DAC).Com o Controle de Acesso Discricionário, a decisão de conceder o acesso à informação encontra-se com o próprio usuário. Controle de Acesso Obrigatório (MAC). O controle de acesso obrigatório é definido e organizado centralmente para que as pessoas tenham acesso aos sistemas de informação. Módulo 6
  • 113. Requisitos de Segurança para SI Os requisitos de segurança precisam ser acordados e documentados na fase de Planejamento do Projeto. Deve fazer parte de um “Business Case” Implementar medidas de segurança na fase de concepção do projeto fica geralmente mais barato Mantenha um contrato com o fornecedor, indicando as exigências de segurança Módulo 6
  • 115. Processamento Correto das Aplicações Sem perdas Sem erros Seguras Gerenciamento da validação dos dados que são inseridos no sistema, o processamento interno e a saída de dados ou informações Módulo 6
  • 117. Validação dos dados de Entrada e Saída Dados de Entrada Dados de Saída Processa Módulo 6
  • 118. Criptografia Análise Criptográfica serve para:  Desenvolver Algoritmos Quebrar Algoritmos de Inimigos Protege a Confidencialidade Protege a Autenticidade Protege a Integridade Módulo 6
  • 120. A Política da Criptografia Deve conter:  Para que a organização usa a criptografia Que tipo de criptografia é utilizada Quais aplicações usam criptografia Controle e gestão de chaves Backup Controle Módulo 6
  • 121. Gestão das Chaves São protegidas Quais pares foram emitidos? Para quem? Quando? Qual a validade? Módulo 6
  • 122. Tipo de Sistemas de Criptografia Simétrico Assimétrico Oneway Módulo 6
  • 123. Simétrica A raposa ataca o cão preguiçoso A raposa ataca o cão preguiçoso CRIPTO TEXTO TEXTO Dhl*7Ytt_) *ND6¨85L< P`=-_W2#D Criptografa Descriptografa Mesma chave (segredo compartilhado) Módulo 6
  • 124. Assimétrica A raposa ataca o cão preguiçoso A raposa ataca o cão preguiçoso CRIPTO TEXTO TEXTO Dhl*7Ytt_) *ND6¨85L< P`=-_W2#D Criptografa Descriptografa Origem Destino Chave Pública Chave Privada Chave diferentes Módulo 6
  • 125. Exemplo Companhia de Seguro Médico Certification Authority Solicita acesso Acesso concedido Módulo 6
  • 126. Criptografia One-Way Função Hash TEXTO CRIPTO 128 bits Chave 128 bits 128 bits Pode ser usado também para:  Checa dois valores  Valida apenas a integridade Módulo 6
  • 127. Segurança do Sistema de Arquivos Gestão de Acesso aos Códigos-Fonte do Programa Segurança de Dados de Teste Segurança nos Processos de Desenvolvimento e Suporte Módulo 6
  • 128. Vazamento de Informações Através de canais secretos de comunicação: Para manutenção Ou back door Exemplo atual: Módulo 6
  • 129. Terceirização do Desenvolvimento de Sistemas c Supervisionado pelo contratante Avalie a obtenção de direitos de propriedade Verifique questões de segurança, como os canais ocultos Módulo 6
  • 130. Resumo Gerenciamento de Acesso Lógico Requisitos de Segurança Criptografia Chaves Públicas Simétricas Assimétricas Política de Criptografia Tipos de Sistemas de Criptografia Segurança de Arquivos Vazamento de Informação Módulo 6
  • 132. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 133. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  • 135. O que veremos neste módulo? Política de Segurança Pessoal Gerenciamento de Continuidade de Negócio Gerenciamento da Comunicação e Processos Operacionais Módulo 7
  • 136. Introdução Medidas Organizacionais ISO/IEC 27001 e 27002 Desastres Comunicação Módulo 7
  • 137. Política de Segurança da Informação A Política de Segurança da Informação deve ser aprovada pelo conselho administrativo e publicada à todos os interessados e envolvidos. Pode ser incluída no processo de admissão de um funcionário. Mantido na Intranet, por exemplo. Módulo 7
  • 139. Exemplo O Grupo Virgin Richard Branson, perdeu um CD contendo o nome de 3.000 clientes Módulo 7
  • 140. Avaliando a Política de SI  Ter uma Política é uma coisa, cumpri-la é outra.  Uma Política contém: Procedimento, Política de Documento, Diretrizes, etc. Parte de um ISMS (Information Security Management System) Módulo 7
  • 141. Modelo PDCA Plan Check Do Act Módulo 7
  • 142. Os 18 domínios do ISO/IEC 27002:2013 1 – Escopo 10 - Criptografia 11 – Segurança Ambiental e Física 12 – Segurança Operacional 9 – Controle de Acesso 4 – Estrutura da Norma 2 -Referências Normativas 3 – Termos e Definições 5 - Políticas de Segurança da Informação 13 – Segurança da Comunicação 14 – Manutenção, Desenvolvimento e Aquisição de Sistemas 0 - Introdução 15 – Relacionamento com Fornecedores 7 – Segurança de Recursos Humanos 6 – Segurança da Informação Organizacional 8 – Gerenciamento de Ativos 16 – Gerenciamento de Incidentes de Segurança da Informação 17 – Aspectos de Segurança da Informação do Gerenciamento de Continuidade de Negócio 18 - Conformidade Módulo 7
  • 143. Segurança dos Recursos Humanos Responsabilidades Contrato e Código de Conduta Antes Durante Depois Módulo 7
  • 144. Acompanhamento da política de SI A política de segurança da informação é avaliada periodicamente e, se necessário, modificada. Para qualquer alteração na política deve se ter a permissão do conselho administrativo da empresa. Módulo 7
  • 145. A Organização da Segurança da Informação Devem ser aceitos por todos Alta Direção devem dar exemplo Depende da natureza da empresa Definição de responsabilidades Módulo 7
  • 146. Pessoal Patrimônio da empresa Todos são responsáveis pela empresa Conhecimento do código de conduta Definição de responsabilidades Penalidade e sanções frente à um incidente Rigorosos procedimentos de desligamento Módulo 7
  • 147. Acordo de Não-Divulgação Trabalhos que exigem confidencialidade, exige-se um NDA assinado Módulo 7
  • 148. Contratantes Os acordos escritos com o fornecedor, como uma agência de recrutamento, devem incluir sanções em caso de violações. Módulo 7
  • 149. Arquivos Pessoais Dados como acordos assinados, declarações, perfil do cargo, contrato de trabalho, NDA, etc. Módulo 7
  • 150. Conscientização da Segurança Cursos Sensibilização Documentação Conscientes Proteção contra Engenharia Social Módulo 7
  • 152. Acesso Uso obrigatório de um crachá Registro de entrada e saída Visitantes são monitorados desde a recepção Módulo 7
  • 153. Gerenciamento de Continuidade de Negócio BPC – Business Continuity Planning DRP – Disaster Recovery Planning Módulo 7
  • 154. Continuidade Continuidade diz respeito à disponibilidade dos sistemas de informação no momento em que eles são necessários. Módulo 7
  • 155. O que são Desastres? Placa de rede com defeito Uma inundação Falha em um sistema Falha de energia Alerta contra bomba Plano de evacuação Módulo 7
  • 156. DRP DRP – Disaster Recovery Planning DRP: Existe agora um desastre e tenho que voltar a trabalhar; BCP: Nós tivemos um desastre e tenho que voltar à situação de como era antes do desastre. Módulo 7
  • 158. Locais Alternativos Local Alternativo Ações e Considerações  Site Redundante: Para empresas que tem diversas localidades e um único Data Center  Hot Site sob demanda: Site Móvel Teste o BCP, já que as catástrofes não acontecem só com os outros Mudanças nos processo de negócios devem refletir no BCP Pessoas são ativos da empresa, consequentemente podem não estar mais disponíveis após um desastre Módulo 7
  • 159. Gerenciando a Comunicação e os Processos Operacionais A fim de manter uma gestão e um controle eficaz da TI, é importante documentar os procedimentos para o funcionamento dos equipamentos Objetivo do processo é certificar que não haverá mal entendido quanto a maneira em que o equipamento tem que ser operado Módulo 7
  • 160. Gestão de Mudanças Planejar antecipadamente Cada mudança tem uma consequência Definida como pequena, média e grande mudança Segregue as funções Módulo 7
  • 161. Segregação de Funções Tarefas e responsabilidades devem ser separadas para evitar que alterações não autorizadas sejam executadas e alterações não intencionais ou evitar o uso indevido de ativos da organização Revisão deve ser realizada Determine o acesso à informação Tarefas são divididas Segregue as funções Módulo 7
  • 162. Desenvolvimento, Teste, Homologação e Produção Ambientes para cada finalidade Módulo 7
  • 164. Gestão de Serviços de Terceiros Nem todas as atividades importantes são feitas internamente Elaborar um bom contrato Estabeleça um SLA Valide através de uma auditoria Módulo 7
  • 165. Exemplo 1/3 300 profissionais de TI 33% 47% Módulo 7
  • 166. Proteção contra Phishing, Malware e Spam Malware é uma combinação de palavras suspeitas e programas indesejáveis, tais como vírus, worms, trojans e spyware. Phishing é uma forma de fraude na internet onde a vítima recebe um e-mail pedindo-lhe para verificar ou confirmar seus dados bancários Spam é um nome coletivo para mensagens indesejadas Módulo 7
  • 171. Backup e Restore Estabeleça regularidade Teste Atendimento aos requisitos Armazene Módulo 7
  • 172. Gerenciamento de Segurança de Rede Intranet VPN Extranet Módulo 7
  • 175. Manuseio de Mídia  Publicação não autorizada Alteração Deleção ou destruição Interrupção das atividades empresariais Módulo 7
  • 177. Equipamento Móvel Eles são mais do que apenas um hardware, eles também contêm software e dados. Muitos incidentes ocorrem envolvendo equipamentos móveis. Os procedimentos devem ser desenvolvidos para o armazenamento e manuseio de informações, a fim de protegê-lo contra a publicação não autorizada ou o uso indevido. O melhor método para isso é a classificação ou graduação Módulo 7
  • 178. Troca de Informação Fazer acordos internos e externos Expectativas claramente documentadas Cuidados com as Mensagens Eletrônicas Cuidados com os Sistemas de Informações Empresariais Módulo 7
  • 180. Serviços para e-commerce Proteção extra Confidencialidade e Integridade Módulo 7
  • 182. Informações Publicamente Disponíveis Corretas, íntegras e seguras De empresas privadas e públicas Módulo 7
  • 183. Resumo Política de Segurança Os domínios da ISO/IEC Pessoal e Segregação de Funções NDA Continuidade de Negócio (DRP e BCP) Gerenciamento de Mudanças Gerenciamento de Comunicação  Vírus, Malware, Phishing, Rootkit, Botnets, Spyware, Logic Bomb, Hoax, Trojan e Worm  Gerenciamento de Segurança Módulo 7
  • 185. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course
  • 186. Área de Aprendizagem www.pmgacademy.com Official Course Treinamento ISO 27002 Foundation
  • 188. O que veremos neste módulo? Observância dos Regulamentos Legais Conformidade Direitos de Propriedade Intelectual Proteger documentos comerciais Confidencialidade Prevenção do uso indevido Política e Padrões de Segurança Medidas de Controle e Auditoria Módulo 8
  • 189. Introdução A legislação abrange as áreas de tributação, contabilidade, privacidade, financeiro e regulamentação para os bancos e empresas. Módulo 8
  • 190. Observância dos regulamentos legais Cada empresa, deve observar a legislação local, regulamentos e obrigações contratuais, principalmente, onde serão executadas as operações comerciais, ou seja, em outros paises. Exigências legais podem variar bastante, particularmente na área da privacidade e, portanto, a maneira que se lidará com a informação, que pode ser privada e diferente. Módulo 8
  • 191. Conformidade Rastreabilidade Obrigatoriedade Flexibilidade Tolerância Dedicação Módulo 8
  • 193. Medidas para a Conformidade Política Interna contendo as legislações e as regulamentações nacionais Procedimentos para aplicação prática Análise de Riscos para assegurar os níveis de segurança Módulo 8
  • 194. Direitos de Propriedades Intelectuais Publicar uma Política Conscientização e inclusão do DPI à Política Incluir os direitos de Uso Comprar softwares de fornecedores idôneos Respeitar a forma de licenciamento de código aberto Identificar e manter registro dos ativos Mantenha as licenças de uso dos programas Módulo 8
  • 196. Proteção de Documentos Empresariais Documentos precisam ser protegidos contra perda, destruição e falsificação Os registros devem ser classificados de acordo com o tipo Prazo e meios de armazenamentos devem ser determinados Considere a perda de qualidade do armazenamento ao longo do tempo Estabeleça procedimentos para evitar a perda de informações Módulo 8
  • 197. Confidencialidade Sob uma legislação Política de proteção Nomeação de um responsável Medidas técnicas de proteção Módulo 8
  • 199. Prevenção do uso indevido dos recursos de TI Como os recursos são utilizados Monitore o uso Cumpra os regulamentos Código de conduta Veja a legislação do país Módulo 8
  • 201. Política e Padrões de Segurança Conselho Administrativo Gerentes Funcionais Operacional Módulo 8
  • 202. Medidas de Controle e Auditoria Está incluído na política? É observado na prática? Será que a medição esta sendo feita? Módulo 8
  • 204. Auditoria de Sistema da Informação Envolve riscos Afeta a capacidade Cuidados com o exame de um item por duas pessoas destintas Emissão de notificação de auditoria Módulo 8
  • 205. Proteção auxiliar utilizando os Sistemas de Informação Não importa como uma organização planejou a sua segurança, a segurança é tão forte quanto o elo mais fraco! • Medidas de segurança são válidas também para os auditores Módulo 8
  • 206. Resumo Observância dos Regulamentos Legais Conformidade Direitos de Propriedade Intelectual Proteger Documentos Comerciais Confidencialidade Prevenção do Uso Indevido  Políticas e Padrões de Segurança  Medidas de Controle  Auditoria Módulo 8
  • 208. Clique acima em “Sair da Atividade” Pronto para o próximo? www.pmgacademy.com Official Course