SlideShare uma empresa Scribd logo
Memória de Aula 05:
Segurança e Auditoria de Sistemas

Prof. Paulo Rangel, MSc.
CURSO:
CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS
DISCIPLINA:
043004 - SEGURANCA E AUDITORIA DE SISTEMAS
TUTOR:
PROF. PAULO SÉRGIO RANGEL GARCIA, MSc.
CONTEUDO:
Organizando a segurança – Modelo de Gestão Corporativa de Segurança – Comitês de Segurança.

Prof. Paulo Rangel, MSc.
Introdução
 As organizações necessitam implantar um processo de

segurança da informação.
 Que deve ser considerado como um dos ativos
intangíveis de proteção de valor.
 Ativos tangíveis são os bens físicos ou bens financeiros
 Os ativos intangíveis são aqueles que não podem ser
materializados, mas que existem e possuem valor, por
exemplo: Marcas, Patentes, Capital Humano, etc.
Introdução
 Bens Tangíveis e Intangíveis possuem valor:
Introdução
 Intangíveis

Por exemplo: Marcas Globais
Introdução
 Intangíveis
Introdução
 Os bens intangíveis possuem
valor:
Introdução
 Os ativos intangíveis podem ser divididos em

aqueles que geram valor e aqueles que protegem o
valor.
Exemplos de ativo intangíveis de
proteção de valor:
 Gestão de Riscos
Exemplos de ativo intangíveis de
proteção de valor:
 Governança Corporativa
Exemplos de ativo intangíveis de
proteção de valor:
 Segurança da Informação
Introdução
 Os bens intangíveis possuem valor e devem ser

protegidos:
Convém que a direção estabeleça uma clara orientação da politica, alinhada com os
objetivos de negócio e demonstre apoio e comprometimento com a segurança da
informação por meio da publicação e manutenção de uma política de segurança da
informação para toda a organização.

NBR ISO/IEC 27002:2005
Motivação
 Legislações:

 Setor Financeiro
 Normas do

Banco Central

 Normas da CVM
Motivação
 Normas e Acordos Internacionais
 Acordos da Basiléia

Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
Motivação
 Normas e Acordos Internacionais
 Lei Sarbanes Oxley (SOX)
Motivação
 Normas e Acordos Internacionais

 Lei Sarbanes Oxley (SOX)
 Segurança e auditoria confiáveis
 Afeta empresas Brasileiras Com ADR (American

Depositary Receipts) na NYSE
Motivação
 Adesão a Normas de Segurança da Informação

 Pela conscientização do empresário e atitude madura

dos acionistas
Motivação
 Por pressão de organizações maiores que por estarem

obrigadas a possuírem uma estrutura de segurança da
informação também exigem o mesmo das organizações que
estão em sua cadeia de valor.
Motivação
 Movimentos setoriais

 Projeto da ABNT – 78:000.00-19 – Informática em Saúde

baseada na NBR ISO/IEC27002
Motivação
 Pesquisa

realizada
pela PWC
e CIO
Magazine
e CSO
Magazine
em 2010
O que é Politica de Segurança
Politicas de Segurança
 As normas que abordam as Segurança, por exemplo a

NBR ISO 27002:2005 relacionam um série de requisitos
para a elaboração de uma Politica de Segurança;
 Não existe a definição de um padrão mínimo;
 As empresas que já implantaram as politicas de
segurança da informação não consideraram todos os
requisitos da norma;
 O que cada organização deverá adotar? Qual norma a
seguir?
Politicas de Segurança
 Processos, estruturas conceituais, normas:

 Processo de segurança da informação e gestão de riscos



NBR ISO/IEC 27002:2005
NBR ISO/IEC 27001:2006

 Governança Corporativa e Governança de Segurança da

Informação

(Control Objectives for Information and related Technology)

(Information Technology Infrastructure Library)
NBR ISO/IEC 27001
É a Norma Internacional que define os Requisitos para Sistemas de Gestão
de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim
mitigar riscos de segurança em seus ativos e adequar as necessidades a área
de negócio.

Tem um modelo focado em estabelecer, implantar, operar, monitorar,
rever, manter e melhorar um SGSI. Irá implementar os controles da ISO
27002. Norma publicada em outubro de 2005, substituindo a norma BS
7799-2 para certificação de sistema de gestão de segurança da informação;
NBR ISO/IEC 27001
Faz a abordagem da implementação segurança da Informação através de
processos que procura enfatizar aos usuários:
• O entendimento dos requisitos e a necessidade de se ter uma política
da segurança da informação.
• Implementar e operar controles para gerenciamento dos riscos
• Monitorar o desempenho e a eficácia da política de segurança da
informação.
• Promover a melhoria contínua.
NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA, conforme temos na figura abaixo:

http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
NBR ISO/IEC 27001
Esta abordagem de processos é feita com base na tão conhecida estrutura
PDCA:
Planejar: Definição do escopo do sistema de gerenciamento de segurança
da informação. Identificação de riscos, analisar e avaliar riscos, opções de
tratamento de riscos entre outros.
Implementar e Operar: Plano para tratamento de riscos,
implementação de controles, medição da eficácia dos controles.
Monitorar e revisar: Monitoramento e controle, revisões periódicas no
sistema de segurança, conduzir auditorias internas, atualizar planos de
segurança.
Manter e melhorar: Implementar melhorias identificadas, tomar ações
corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de
melhoria aos interessados.
NBR ISO/IEC 27001
Esta norma possui 9 (nove)
capitulos, numerados de 0 a
8, além de três anexos
informativos.
NBR ISO/IEC 27001
NBR ISO/IEC 27002
NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da
Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão de segurança da informação em
uma organização”.

Também conhecida como uma norma para os códigos de práticas para
gestão de segurança da informação. E refere-se a quais requisitos devem ser
implementados pela organização, sendo também um guia que orienta a
utilização dos controles de segurança.
NBR ISO/IEC 27002
NBR ISO/IEC 27002
NBR ISO/IEC 27002
Mapa Mental da
ISO 27002
ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na
área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua
aplicação.
Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área
Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área.

Com a implementação desta Norma, as organizações de saúde e outros depositários de informações
médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua
organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus
pacientes.
ISO/IEC 27799:2008
Health informatics -- Information security management in health using ISO/IEC 27002
Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e
números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado
para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores
ou por via postal), e como informação deve ser sempre protegida apropriadamente.
Definição da Politica de Segurança
 Visão

metódica, criteriosa e técnica em seu
desenvolvimento.
 Envolve proposta de alterações de configurações de
equipamentos, na escolha de tecnologias, na definição de
responsabilidades, gerando politicas adequadas ao perfil
da organização e aderente aos negócios que ela prática e
alinhadas aos anseios dos seus proprietários ou acionistas.
Definição da Politica de Segurança
 Aspectos importantes a serem percebidos:

 Conceito que as informações são um ativo importante;
 Envolvimento da alta direção em relação à Segurança;
 Responsabilidade formal dos colaboradores;
 Definir padrões para a manutenção da segurança.
Desenvolvimento da Politica
 Criada antes de problemas ou após para evitar reincidências;

 Previne problemas legais e mostra aderência ao processo de

qualidade
 O que precisa ser protegido esta além do hardware e software;
 Backup, propriedade intelectual e respostas a incidentes devem
ser considerados;
 Recomenda-se a formação de um comitê multidepartamental;
 Catalogar e agrupar as informações por categoria estabelecendo
os seus proprietários
Desenvolvimento da Politica
 Politicas e normas devem ser:
 Simples;
 Compreensíveis (escritas de maneira clara e concisa)
 Homologadas e assinadas pela alta direção
 Estruturadas para permitir a implantação por fases
 Alinhadas com as estratégias de negócios da empresa, padrões e

procedimentos existentes;
 Orientadas aos riscos (contra);
 Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)
 Protetores dos ativos de informação, priorizando os de maior valor e
importância;
 Positivas e não apenas concentradas em ações proibitivas ou punitivas.
Etapas para o Desenvolvimento
 Pode ser dividida em quatro etapas:
 Fase I – Levantamento das Informações
 Fase II – Desenvolvimento do Conteúdo da

Politica e Normas de Segurança
 Fase III –Elaboração dos Procedimentos de
Segurança da Informação
 Fase IV – Revisão, aprovação e implantação das
Politicas, Normas e Procedimentos da Segurança
da Informação
Fase I Levantamento das Informações
 Padrões , normas e procedimentos de segurança em uso;
 Entender necessidades e uso dos recursos da TI nos negócios;

 Obtenção de informações sobre ambientes de negócios:
 Processos de negócios
 Tendências de mercado
 Controles e áreas de riscos
 Obtenção de informações sobre o ambiente tecnológico:
 Workflow entre ambientes
 Redes de aplicações
 Plataformas computacionais
Fase II Desenvolvimento do conteúdo
 Gerenciamento da política de segurança
 Definição da SI, objetivos do gerenciamento, Fatores críticos de

sucesso, gerenciamento de versão e manutenção da politica,
referencia para outras politicas, padrões e procedimentos.
 Atribuição de regras e responsabilidades
 Comitê de SI, Dono das Informações, Área de SI, Usuários da
informação, recursos humanos, auditoria interna
 Critérios para a classificação das informações
 Introdução, classificando a informação, níveis de classificação,
reclassificação, armazenamento e descarte, armazenamento e saídas.
Fase II Desenvolvimento do conteúdo
 Procedimentos de segurança da informação
 Classificação e tratamento da informação,
 Notificação e Gerenciamento de incidentes de SI,

 Processos disciplinar,
 Aquisição e uso de software,
 Proteção contra software malicioso,
 Segurança e tratamento de mídias,
 Uso de internet,
 Uso de correio eletrônico,
 Uso de recursos de TI,

 Backup,
Fase II Desenvolvimento do conteúdo
 Procedimentos de segurança da informação

 Manutenção de testes e equipamentos,
 Coleta e registro de falhas,
 Gerenciamento e controle de rede,

 Monitoração do uso e acesso aos sistemas,
 Uso de controles de criptografia e gerenciamento de chaves,
 Controle de Mudanças Operacionais,
 Inventário dos ativos de informação,
 Controle de acesso físico às áreas sensíveis,
 Segurança Física e Supervisão de visitantes e prestadores de serviço.
Fase III Elaboração dos Procedimentos
 Pesquisa sobre as melhores práticas em SI adotadas no mercado

(Benchmarking);
 Desenvolvimento de procedimentos e padrões, para discussão com a Alta
Administração, de acordo com as melhores práticas de mercado e com as
necessidades e metas da organização;
 Formalização dos procedimentos para integra-los às políticas corporativas
Fase IV Revisão, Aprovação e Implantação
 Revisão e aprovação das políticas, normas e procedimentos de

segurança da informação;
 Efetiva implantação das políticas, normas e procedimentos de
segurança da informação por meio das seguintes alternativas:
 Atuação junto á área responsável pela comunicação / mkt
(divulgar)
 Divulgar as responsabilidades dos usuários e a importância
das Politicas
 Realização de palestras para os executivos referentes às
politicas, normas e procedimentos de segurança
Modelo de Cronograma
Fatores Comuns nas Políticas
 Especificação da Politica – Finalidade, o que é esperado, a quem







atinge;
Declaração da Alta Administração – Reafirma a toda
organização o compromisso da alta direção com o documento e seu
cumprimento;
Autores / Patrocinadores da Política – Quem desenvolveu e
que deverá receber sugestões de melhorias, duvidas, etc.;
Referências a outras politicas, normas e procedimentos;
Procedimentos para requisição de exceções à Política - Não
descrever em que condições, mas apenas o procedimento /
formulário de solicitação
Fatores Comuns nas Políticas
 Procedimentos para mudanças da política
 Quem serão os responsáveis e a metodologia para estabelecer as novas

revisões;
 Datas de Publicação, validade e revisão;
Pontos Críticos para o sucesso
 Formalização dos processos e instruções de trabalho
 Utilização de tecnologias capazes de prover segurança
 Atribuição formal das responsabilidades e das respectivas penalidades
 Classificação das informações
 Treinamento e conscientização constantes
Pontos Críticos para o sucesso
 Estabelecer na politica um capitulo para destacar os seguintes pontos:

 Confidencialidade;
 Integridade;
 Disponibilidade;
 Legalidade;
 Auditabilidade;
 Não repudio.
Pontos Críticos para o sucesso
 Também se recomendar desmembrá-la em 4 grandes aspectos:
 Segurança Computacional – Conceitos e técnicas para proteger o

ambiente de TI contra incidentes;
 Segurança Lógica – Prevenção contra acessos não autorizados;
 Segurança Física – Procedimentos e recursos para prevenir acessos
a áreas criticas
 Continuidade dos negócios – Procedimentos para reduzir a um
nível aceitável o risco de interrupção causada por desastres e falhas
(ISO 22031)
Características
 Para ser efetiva a politica deve:
 Ser verdadeira – Exprimir o pensamento da empresa e ser coerente

com suas ações;
 Ser complementada com a disponibilidade de recursos –
Recursos materiais e humanos para sua plena implantação;
 Ser válida para todos – Deve ser cumprida por todos, do Presidente
ao estagiário;
 Ser simples – Fácil leitura e compreensão. Evite termos técnicos;
 Comprometimento da Alta Direção – Deve ser assinada pelo mais
alto executivo da empresa;
Treinamento, publicação e divulgação
 Mudança da cultura através de:
 Avisos (comunicação interna, e-mail, intranet) sobre o

esclarecimento dos principais pontos relativos as
responsabilidades;
 Palestras de conscientização / sensibilização;
 Elaboração de material promocional (endomarketing)
 Treinamento direcionado (Financeiro, Comercial, etc.)
 NBR ISO/IEC 27002
 “deve-se garantir que os usuários estejam cientes das ameaças e
preocupações de segurança da informação e estejam equipados
para apoiar a política de segurança da organização durante a
execução normal de seu trabalho”
Treinamento, publicação e divulgação
 Para a disseminação das políticas, deve-se considerar:
 Uso de diferentes tipos de mídias;
 Diferenciação dos tipos de treinamento , por exemplo, básico e

avançado;
 Orientação para os novos funcionários (integração);
 Informativos sobre as atuais tendências dos incidentes de
segurança
 O elemento humano é fundamental. Quem não participa dos
programas de treinamentos se torna o elo fraco da corrente!
Treinamento, publicação e divulgação
 O Programa de conscientização precisa ser planejado, implantado,

mantido/corrigido e periodicamente reavaliado. Deve englobar as
seguintes fases:
 Identificação do escopo, metas e objetivos;
 Identificação dos instrutores;
 Identificação do público alvo
 Motivação dos funcionários e da Alta Direção;
 Administração do programa;
 Continuidade do programa;
 Avaliação do programa.
Treinamento, publicação e divulgação
 Modelo de Matriz de Treinamento
Treinamento, publicação e divulgação
 É responsabilidade da Alta Direção assegurar que todos os

usuários dos sistemas de informação da organização saibam
como proteger os seus ativos (informações, hardware,
software, etc.) e estejam de acordo com as Políticas de
Segurança desenvolvidas a partir desta proposta de modelo.
Benefícios
 Curto prazo:
 Formalização e documentação dos procedimentos de SI;
 Implementação de novos procedimentos e controles de SI;
 Prevenção de acessos não autorizados, danos ou interferências nos

negócios, mesmo em casos de falhas ou desastres;
 Maior segurança ao processo de negócios.
Benefícios
 Médio prazo:

 Padronização dos procedimentos de segurança incorporados a rotina

da Companhia;
 Adaptação segura de novos processos de negócios;
 Qualificação e quantificação dos sistemas de respostas a incidentes;
 Conformidade com padrões de segurança como a NBR ISO/IEC
27002.
Benefícios
 Longo prazo:
 Retorno sobre o investimento realizado pela redução dos

problemas e incidentes de SI;
 Consolidação da imagem corporativa associada à Segurança da
Informação
BIBLIOGRAFIA BÁSICA
IMONIANA, J. O. Auditoria de Sistemas de Informação. 2ª Edição. São Paulo: Atlas,
1
2008.
LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de
2
Janeiro: Ciência Moderna, 2009.
3

MANOTTI, Alessandro. Auditoria de Sistemas – Curso Prático. 1ª Edição. Rio de
Janeiro: Ciência Moderna, 2010.

BIBLIOGRAFIA COMPLEMENTAR
CAMPOS, A. L. N. Sistema de Segurança da Informação: Controlando os
1
riscos. 2ª Edição. Florianópolis: Visual Books, 2007.
2

3
4

5

FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da
Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009.
FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. São Paulo:
Brasport, 2008.
Cartilha de Segurança para a Internet – c 2006 CERT.BR – CGI Comitê Gestor da Internet
no Brasil.
PEIXOTO, Marcio C. Engenharia social e segurança da informação na gestão corporativa.
1ª. Edição – São Paulo. Brasport, 2006
Prof. Paulo Rangel, MSc.
BIBLIOGRAFIA RECOMENDADA
MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator
1
Humano na Segurança da Informação. São Paulo: Pearson Education, 2003.
SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro:
2
Editora Campus, 2003.

Prof. Paulo Rangel, MSc.
• Dúvidas
• As dúvidas devem ser encaminhadas, e serão respondidas
pelo Professor, através do MAIL disponível no TutorWeb.

Prof. Paulo Rangel, MSc.

Mais conteúdo relacionado

Mais procurados

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Marcelo Veloso
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
Diego Souza
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
Simba Samuel
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
GrupoAlves - professor
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
trindade7
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoria
Boechat79
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
Carlos Henrique Martins da Silva
 
Auditoria de Processos
Auditoria de ProcessosAuditoria de Processos
Auditoria de Processos
Rafael Esnarriaga
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
Guilherme Lima
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
Bruno Luiz A. de Pai Paiva
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 

Mais procurados (20)

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Auditoria de sistemas2
Auditoria de sistemas2Auditoria de sistemas2
Auditoria de sistemas2
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurança
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoria
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Auditoria de Processos
Auditoria de ProcessosAuditoria de Processos
Auditoria de Processos
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 

Destaque

27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
PMP Certification Trends May 2012
PMP Certification Trends May 2012PMP Certification Trends May 2012
PMP Certification Trends May 2012
projectation
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
Rui Gomes
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
Didimax
 
Rothke stimulating your career as an information security professional
Rothke  stimulating your career as an information security professionalRothke  stimulating your career as an information security professional
Rothke stimulating your career as an information security professional
Ben Rothke
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Efrain Saavedra
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
Cleber Fonseca
 
Zachman Framework graphics v3.0
Zachman Framework graphics v3.0Zachman Framework graphics v3.0
Zachman Framework graphics v3.0
iCMG International
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overview
Naresh Rao
 
How Training and Consulting Companies Can Position CISSP, CISM and CRISC
How Training and Consulting Companies Can Position CISSP, CISM and CRISCHow Training and Consulting Companies Can Position CISSP, CISM and CRISC
How Training and Consulting Companies Can Position CISSP, CISM and CRISC
ITpreneurs
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
The Environmental Security Discourse: Why, How and its Implications
The Environmental Security Discourse: Why, How and its ImplicationsThe Environmental Security Discourse: Why, How and its Implications
The Environmental Security Discourse: Why, How and its Implications
environmentalconflicts
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
Fernando Palma
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
ISO 27001
ISO 27001ISO 27001
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
Ahmed Riad .
 

Destaque (20)

27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
PMP Certification Trends May 2012
PMP Certification Trends May 2012PMP Certification Trends May 2012
PMP Certification Trends May 2012
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Rothke stimulating your career as an information security professional
Rothke  stimulating your career as an information security professionalRothke  stimulating your career as an information security professional
Rothke stimulating your career as an information security professional
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Zachman Framework graphics v3.0
Zachman Framework graphics v3.0Zachman Framework graphics v3.0
Zachman Framework graphics v3.0
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overview
 
How Training and Consulting Companies Can Position CISSP, CISM and CRISC
How Training and Consulting Companies Can Position CISSP, CISM and CRISCHow Training and Consulting Companies Can Position CISSP, CISM and CRISC
How Training and Consulting Companies Can Position CISSP, CISM and CRISC
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
The Environmental Security Discourse: Why, How and its Implications
The Environmental Security Discourse: Why, How and its ImplicationsThe Environmental Security Discourse: Why, How and its Implications
The Environmental Security Discourse: Why, How and its Implications
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
 

Semelhante a Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança

Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
Bruno Oliveira
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
Rafael Ferreira
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
Arthur Tofolo Washington
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
luisjosemachadosousa
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
jcfarit
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
asbgrodrigo
 
Estudo da segurança da informação da empresa Ocult contabilidade
Estudo da segurança da informação da empresa Ocult contabilidadeEstudo da segurança da informação da empresa Ocult contabilidade
Estudo da segurança da informação da empresa Ocult contabilidade
Gledson Scotti
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
Fabrício Basto
 
Frameworks_Privacidade.pdf
Frameworks_Privacidade.pdfFrameworks_Privacidade.pdf
Frameworks_Privacidade.pdf
Carla Reis
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
Rui Gomes
 

Semelhante a Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança (20)

Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Política e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticosPolítica e cultura de segurança da informação - aspectos burocráticos
Política e cultura de segurança da informação - aspectos burocráticos
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Estudo da segurança da informação da empresa Ocult contabilidade
Estudo da segurança da informação da empresa Ocult contabilidadeEstudo da segurança da informação da empresa Ocult contabilidade
Estudo da segurança da informação da empresa Ocult contabilidade
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Frameworks_Privacidade.pdf
Frameworks_Privacidade.pdfFrameworks_Privacidade.pdf
Frameworks_Privacidade.pdf
 
Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacao
 

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança

  • 1. Memória de Aula 05: Segurança e Auditoria de Sistemas Prof. Paulo Rangel, MSc.
  • 2. CURSO: CURSO SUPERIOR DE TECNOLOGIA EM ANALISE E DESENVOLVIMENTO DE SISTEMAS DISCIPLINA: 043004 - SEGURANCA E AUDITORIA DE SISTEMAS TUTOR: PROF. PAULO SÉRGIO RANGEL GARCIA, MSc. CONTEUDO: Organizando a segurança – Modelo de Gestão Corporativa de Segurança – Comitês de Segurança. Prof. Paulo Rangel, MSc.
  • 3. Introdução  As organizações necessitam implantar um processo de segurança da informação.  Que deve ser considerado como um dos ativos intangíveis de proteção de valor.  Ativos tangíveis são os bens físicos ou bens financeiros  Os ativos intangíveis são aqueles que não podem ser materializados, mas que existem e possuem valor, por exemplo: Marcas, Patentes, Capital Humano, etc.
  • 4. Introdução  Bens Tangíveis e Intangíveis possuem valor:
  • 7. Introdução  Os bens intangíveis possuem valor:
  • 8. Introdução  Os ativos intangíveis podem ser divididos em aqueles que geram valor e aqueles que protegem o valor.
  • 9. Exemplos de ativo intangíveis de proteção de valor:  Gestão de Riscos
  • 10. Exemplos de ativo intangíveis de proteção de valor:  Governança Corporativa
  • 11. Exemplos de ativo intangíveis de proteção de valor:  Segurança da Informação
  • 12. Introdução  Os bens intangíveis possuem valor e devem ser protegidos: Convém que a direção estabeleça uma clara orientação da politica, alinhada com os objetivos de negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. NBR ISO/IEC 27002:2005
  • 13. Motivação  Legislações:  Setor Financeiro  Normas do Banco Central  Normas da CVM
  • 14. Motivação  Normas e Acordos Internacionais  Acordos da Basiléia Consultar: http://www.fontedosaber.com/administracao/acordo-da-basileia.html
  • 15. Motivação  Normas e Acordos Internacionais  Lei Sarbanes Oxley (SOX)
  • 16. Motivação  Normas e Acordos Internacionais  Lei Sarbanes Oxley (SOX)  Segurança e auditoria confiáveis  Afeta empresas Brasileiras Com ADR (American Depositary Receipts) na NYSE
  • 17. Motivação  Adesão a Normas de Segurança da Informação  Pela conscientização do empresário e atitude madura dos acionistas
  • 18. Motivação  Por pressão de organizações maiores que por estarem obrigadas a possuírem uma estrutura de segurança da informação também exigem o mesmo das organizações que estão em sua cadeia de valor.
  • 19. Motivação  Movimentos setoriais  Projeto da ABNT – 78:000.00-19 – Informática em Saúde baseada na NBR ISO/IEC27002
  • 20. Motivação  Pesquisa realizada pela PWC e CIO Magazine e CSO Magazine em 2010
  • 21. O que é Politica de Segurança
  • 22. Politicas de Segurança  As normas que abordam as Segurança, por exemplo a NBR ISO 27002:2005 relacionam um série de requisitos para a elaboração de uma Politica de Segurança;  Não existe a definição de um padrão mínimo;  As empresas que já implantaram as politicas de segurança da informação não consideraram todos os requisitos da norma;  O que cada organização deverá adotar? Qual norma a seguir?
  • 23. Politicas de Segurança  Processos, estruturas conceituais, normas:  Processo de segurança da informação e gestão de riscos   NBR ISO/IEC 27002:2005 NBR ISO/IEC 27001:2006  Governança Corporativa e Governança de Segurança da Informação  (Control Objectives for Information and related Technology)  (Information Technology Infrastructure Library)
  • 24. NBR ISO/IEC 27001 É a Norma Internacional que define os Requisitos para Sistemas de Gestão de Segurança da Informação (SGSI), ajudando a empresa a adota-lo e assim mitigar riscos de segurança em seus ativos e adequar as necessidades a área de negócio. Tem um modelo focado em estabelecer, implantar, operar, monitorar, rever, manter e melhorar um SGSI. Irá implementar os controles da ISO 27002. Norma publicada em outubro de 2005, substituindo a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
  • 25. NBR ISO/IEC 27001 Faz a abordagem da implementação segurança da Informação através de processos que procura enfatizar aos usuários: • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação. • Implementar e operar controles para gerenciamento dos riscos • Monitorar o desempenho e a eficácia da política de segurança da informação. • Promover a melhoria contínua.
  • 26. NBR ISO/IEC 27001 Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA, conforme temos na figura abaixo: http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx
  • 27. NBR ISO/IEC 27001 Esta abordagem de processos é feita com base na tão conhecida estrutura PDCA: Planejar: Definição do escopo do sistema de gerenciamento de segurança da informação. Identificação de riscos, analisar e avaliar riscos, opções de tratamento de riscos entre outros. Implementar e Operar: Plano para tratamento de riscos, implementação de controles, medição da eficácia dos controles. Monitorar e revisar: Monitoramento e controle, revisões periódicas no sistema de segurança, conduzir auditorias internas, atualizar planos de segurança. Manter e melhorar: Implementar melhorias identificadas, tomar ações corretivas e preventivas, aplicar lições aprendidas, comunicar as ações de melhoria aos interessados.
  • 28. NBR ISO/IEC 27001 Esta norma possui 9 (nove) capitulos, numerados de 0 a 8, além de três anexos informativos.
  • 30. NBR ISO/IEC 27002 NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Também conhecida como uma norma para os códigos de práticas para gestão de segurança da informação. E refere-se a quais requisitos devem ser implementados pela organização, sendo também um guia que orienta a utilização dos controles de segurança.
  • 33. NBR ISO/IEC 27002 Mapa Mental da ISO 27002
  • 34. ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 Esta norma define diretrizes para suportar a interpretação e aplicação da segurança da informação na área de Medicina e Saúde sendo um complemento para a ISO/IEC 27002 na qual se apoia em sua aplicação. Ela especifica um conjunto de controles detalhados para a gestão de segurança da informação na área Médica, fornecendo diretrizes das melhores práticas para segurança da informação nessa área. Com a implementação desta Norma, as organizações de saúde e outros depositários de informações médicas serão capazes de garantir um nível mínimo de segurança, apropriado às circunstâncias da sua organização e que vai manter a confidencialidade, integridade e disponibilidade das informações de seus pacientes.
  • 35. ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 Ela aplica-se as informações de saúde em todos os seus aspectos, sob qualquer formato (palavras e números, gravações sonoras, desenhos, vídeo e imagens médicas), independentemente do meio utilizado para armazená-lo (impresso ou digital) ou transmiti-lo (manual, fax, através de redes de computadores ou por via postal), e como informação deve ser sempre protegida apropriadamente.
  • 36. Definição da Politica de Segurança  Visão metódica, criteriosa e técnica em seu desenvolvimento.  Envolve proposta de alterações de configurações de equipamentos, na escolha de tecnologias, na definição de responsabilidades, gerando politicas adequadas ao perfil da organização e aderente aos negócios que ela prática e alinhadas aos anseios dos seus proprietários ou acionistas.
  • 37. Definição da Politica de Segurança  Aspectos importantes a serem percebidos:  Conceito que as informações são um ativo importante;  Envolvimento da alta direção em relação à Segurança;  Responsabilidade formal dos colaboradores;  Definir padrões para a manutenção da segurança.
  • 38. Desenvolvimento da Politica  Criada antes de problemas ou após para evitar reincidências;  Previne problemas legais e mostra aderência ao processo de qualidade  O que precisa ser protegido esta além do hardware e software;  Backup, propriedade intelectual e respostas a incidentes devem ser considerados;  Recomenda-se a formação de um comitê multidepartamental;  Catalogar e agrupar as informações por categoria estabelecendo os seus proprietários
  • 39. Desenvolvimento da Politica  Politicas e normas devem ser:  Simples;  Compreensíveis (escritas de maneira clara e concisa)  Homologadas e assinadas pela alta direção  Estruturadas para permitir a implantação por fases  Alinhadas com as estratégias de negócios da empresa, padrões e procedimentos existentes;  Orientadas aos riscos (contra);  Flexíveis (moldáveis aos mudanças da tecnologia e dos negócios)  Protetores dos ativos de informação, priorizando os de maior valor e importância;  Positivas e não apenas concentradas em ações proibitivas ou punitivas.
  • 40. Etapas para o Desenvolvimento  Pode ser dividida em quatro etapas:  Fase I – Levantamento das Informações  Fase II – Desenvolvimento do Conteúdo da Politica e Normas de Segurança  Fase III –Elaboração dos Procedimentos de Segurança da Informação  Fase IV – Revisão, aprovação e implantação das Politicas, Normas e Procedimentos da Segurança da Informação
  • 41. Fase I Levantamento das Informações  Padrões , normas e procedimentos de segurança em uso;  Entender necessidades e uso dos recursos da TI nos negócios;  Obtenção de informações sobre ambientes de negócios:  Processos de negócios  Tendências de mercado  Controles e áreas de riscos  Obtenção de informações sobre o ambiente tecnológico:  Workflow entre ambientes  Redes de aplicações  Plataformas computacionais
  • 42. Fase II Desenvolvimento do conteúdo  Gerenciamento da política de segurança  Definição da SI, objetivos do gerenciamento, Fatores críticos de sucesso, gerenciamento de versão e manutenção da politica, referencia para outras politicas, padrões e procedimentos.  Atribuição de regras e responsabilidades  Comitê de SI, Dono das Informações, Área de SI, Usuários da informação, recursos humanos, auditoria interna  Critérios para a classificação das informações  Introdução, classificando a informação, níveis de classificação, reclassificação, armazenamento e descarte, armazenamento e saídas.
  • 43. Fase II Desenvolvimento do conteúdo  Procedimentos de segurança da informação  Classificação e tratamento da informação,  Notificação e Gerenciamento de incidentes de SI,  Processos disciplinar,  Aquisição e uso de software,  Proteção contra software malicioso,  Segurança e tratamento de mídias,  Uso de internet,  Uso de correio eletrônico,  Uso de recursos de TI,  Backup,
  • 44. Fase II Desenvolvimento do conteúdo  Procedimentos de segurança da informação  Manutenção de testes e equipamentos,  Coleta e registro de falhas,  Gerenciamento e controle de rede,  Monitoração do uso e acesso aos sistemas,  Uso de controles de criptografia e gerenciamento de chaves,  Controle de Mudanças Operacionais,  Inventário dos ativos de informação,  Controle de acesso físico às áreas sensíveis,  Segurança Física e Supervisão de visitantes e prestadores de serviço.
  • 45. Fase III Elaboração dos Procedimentos  Pesquisa sobre as melhores práticas em SI adotadas no mercado (Benchmarking);  Desenvolvimento de procedimentos e padrões, para discussão com a Alta Administração, de acordo com as melhores práticas de mercado e com as necessidades e metas da organização;  Formalização dos procedimentos para integra-los às políticas corporativas
  • 46. Fase IV Revisão, Aprovação e Implantação  Revisão e aprovação das políticas, normas e procedimentos de segurança da informação;  Efetiva implantação das políticas, normas e procedimentos de segurança da informação por meio das seguintes alternativas:  Atuação junto á área responsável pela comunicação / mkt (divulgar)  Divulgar as responsabilidades dos usuários e a importância das Politicas  Realização de palestras para os executivos referentes às politicas, normas e procedimentos de segurança
  • 48. Fatores Comuns nas Políticas  Especificação da Politica – Finalidade, o que é esperado, a quem     atinge; Declaração da Alta Administração – Reafirma a toda organização o compromisso da alta direção com o documento e seu cumprimento; Autores / Patrocinadores da Política – Quem desenvolveu e que deverá receber sugestões de melhorias, duvidas, etc.; Referências a outras politicas, normas e procedimentos; Procedimentos para requisição de exceções à Política - Não descrever em que condições, mas apenas o procedimento / formulário de solicitação
  • 49. Fatores Comuns nas Políticas  Procedimentos para mudanças da política  Quem serão os responsáveis e a metodologia para estabelecer as novas revisões;  Datas de Publicação, validade e revisão;
  • 50. Pontos Críticos para o sucesso  Formalização dos processos e instruções de trabalho  Utilização de tecnologias capazes de prover segurança  Atribuição formal das responsabilidades e das respectivas penalidades  Classificação das informações  Treinamento e conscientização constantes
  • 51. Pontos Críticos para o sucesso  Estabelecer na politica um capitulo para destacar os seguintes pontos:  Confidencialidade;  Integridade;  Disponibilidade;  Legalidade;  Auditabilidade;  Não repudio.
  • 52. Pontos Críticos para o sucesso  Também se recomendar desmembrá-la em 4 grandes aspectos:  Segurança Computacional – Conceitos e técnicas para proteger o ambiente de TI contra incidentes;  Segurança Lógica – Prevenção contra acessos não autorizados;  Segurança Física – Procedimentos e recursos para prevenir acessos a áreas criticas  Continuidade dos negócios – Procedimentos para reduzir a um nível aceitável o risco de interrupção causada por desastres e falhas (ISO 22031)
  • 53. Características  Para ser efetiva a politica deve:  Ser verdadeira – Exprimir o pensamento da empresa e ser coerente com suas ações;  Ser complementada com a disponibilidade de recursos – Recursos materiais e humanos para sua plena implantação;  Ser válida para todos – Deve ser cumprida por todos, do Presidente ao estagiário;  Ser simples – Fácil leitura e compreensão. Evite termos técnicos;  Comprometimento da Alta Direção – Deve ser assinada pelo mais alto executivo da empresa;
  • 54. Treinamento, publicação e divulgação  Mudança da cultura através de:  Avisos (comunicação interna, e-mail, intranet) sobre o esclarecimento dos principais pontos relativos as responsabilidades;  Palestras de conscientização / sensibilização;  Elaboração de material promocional (endomarketing)  Treinamento direcionado (Financeiro, Comercial, etc.)  NBR ISO/IEC 27002  “deve-se garantir que os usuários estejam cientes das ameaças e preocupações de segurança da informação e estejam equipados para apoiar a política de segurança da organização durante a execução normal de seu trabalho”
  • 55. Treinamento, publicação e divulgação  Para a disseminação das políticas, deve-se considerar:  Uso de diferentes tipos de mídias;  Diferenciação dos tipos de treinamento , por exemplo, básico e avançado;  Orientação para os novos funcionários (integração);  Informativos sobre as atuais tendências dos incidentes de segurança  O elemento humano é fundamental. Quem não participa dos programas de treinamentos se torna o elo fraco da corrente!
  • 56. Treinamento, publicação e divulgação  O Programa de conscientização precisa ser planejado, implantado, mantido/corrigido e periodicamente reavaliado. Deve englobar as seguintes fases:  Identificação do escopo, metas e objetivos;  Identificação dos instrutores;  Identificação do público alvo  Motivação dos funcionários e da Alta Direção;  Administração do programa;  Continuidade do programa;  Avaliação do programa.
  • 57. Treinamento, publicação e divulgação  Modelo de Matriz de Treinamento
  • 58. Treinamento, publicação e divulgação  É responsabilidade da Alta Direção assegurar que todos os usuários dos sistemas de informação da organização saibam como proteger os seus ativos (informações, hardware, software, etc.) e estejam de acordo com as Políticas de Segurança desenvolvidas a partir desta proposta de modelo.
  • 59. Benefícios  Curto prazo:  Formalização e documentação dos procedimentos de SI;  Implementação de novos procedimentos e controles de SI;  Prevenção de acessos não autorizados, danos ou interferências nos negócios, mesmo em casos de falhas ou desastres;  Maior segurança ao processo de negócios.
  • 60. Benefícios  Médio prazo:  Padronização dos procedimentos de segurança incorporados a rotina da Companhia;  Adaptação segura de novos processos de negócios;  Qualificação e quantificação dos sistemas de respostas a incidentes;  Conformidade com padrões de segurança como a NBR ISO/IEC 27002.
  • 61. Benefícios  Longo prazo:  Retorno sobre o investimento realizado pela redução dos problemas e incidentes de SI;  Consolidação da imagem corporativa associada à Segurança da Informação
  • 62. BIBLIOGRAFIA BÁSICA IMONIANA, J. O. Auditoria de Sistemas de Informação. 2ª Edição. São Paulo: Atlas, 1 2008. LYRA, M. R. Segurança e auditoria em sistema de informação. 1ª Edição. Rio de 2 Janeiro: Ciência Moderna, 2009. 3 MANOTTI, Alessandro. Auditoria de Sistemas – Curso Prático. 1ª Edição. Rio de Janeiro: Ciência Moderna, 2010. BIBLIOGRAFIA COMPLEMENTAR CAMPOS, A. L. N. Sistema de Segurança da Informação: Controlando os 1 riscos. 2ª Edição. Florianópolis: Visual Books, 2007. 2 3 4 5 FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio T. Política de Segurança da Informação. 2ª Edição. Rio de Janeiro: Ciência Moderna, 2009. FONTES, Edison. Praticando a Segurança da Informação. 1ª Edição. São Paulo: Brasport, 2008. Cartilha de Segurança para a Internet – c 2006 CERT.BR – CGI Comitê Gestor da Internet no Brasil. PEIXOTO, Marcio C. Engenharia social e segurança da informação na gestão corporativa. 1ª. Edição – São Paulo. Brasport, 2006 Prof. Paulo Rangel, MSc.
  • 63. BIBLIOGRAFIA RECOMENDADA MITNICK K.D.; SIMON,W. A Arte de Enganar - Ataques de Hackers : Controlando o Fator 1 Humano na Segurança da Informação. São Paulo: Pearson Education, 2003. SEMOLA, M. Gestão da Segurança da Informação - Uma visão executiva. Rio de Janeiro: 2 Editora Campus, 2003. Prof. Paulo Rangel, MSc.
  • 64. • Dúvidas • As dúvidas devem ser encaminhadas, e serão respondidas pelo Professor, através do MAIL disponível no TutorWeb. Prof. Paulo Rangel, MSc.