SlideShare uma empresa Scribd logo
Bruno S. Oliveira
Bolsista
bruno.oliveira@cti.gov.br
Tel.: +55 11 3746-6000 - Fax: +55 19 3746-6028
www.cti.gov.br
Política e Cultura de Segurança
26/01/2012
Bruno Silva de Oliveira– DSSI/CTI
Introdução
• Conteúdo baseado na unidade do curso de
especialização em Gestão da Segurança da
Informação e Comunicações na Universidade
de Brasília
• Será usada a mesma organização de conteúdo
das aulas, aproveitando em alguns pontos
para acrescentar outros autores
Introdução
• Autor do curso foi João Souza Neto
• Doutor em Engenharia Elétrica pela UnB, Mestre e,
Engenharia Eletrônica pelo Philips International
Institute da Holanda
• Professor do Mestrado em Gestão do
Conhecimento e Tecnologia da Informação na UnB
Introdução
• A apresentação seguirá a seguinte sequência:
– Normas de Segurança da Informação
– Governança de Segurança da Informação
– Política de Segurança da Informação
– Cultura de Segurança da Informação
NORMAS DE SEGURANÇA DA
INFORMAÇÃO
Neste capítulo, são apresentadas as principais normas de segurança da informação
nacionais e internacionais. O objetivo deste capítulo é definir o contexto normativo
sob o qual são elaborados, executados e gerenciados a governança de segurança da
informação, a política de segurança da informação e o programa de conscientização
em segurança da informação.
A Família de Normas ISO 27000
• Primeira norma com foco em segurança da
informação: BS 7799 (British Standard
Institute)
• Em 2001, é publicada a versão brasileira NBR
ISO 17799.
• A segunda parte da norma (sistema de gestão
das melhores práticas) se tornou a ISO 27001.
• A primeira parte da norma (melhores práticas
de segurança) se tornou a ISO 27002.
A Família de Normas ISO 27000
• Outras normas da família:
– ISO 27005/2008 -> Gestão de Risco em SI
– ISO 27006/2007 -> Auditoria e certificação de SI
• A ISO 27001 é a única com certificação, mas a
questão de definição do escopo para certificação,
pode ser definido como uma falha da norma,
porque possibilita que ocorra a situação da parte
certificada da organização estar em ótima
situação em SI e o restante estar em um nível
inferior
ISO/IEC 13335
• A norma ISSO/IEC 13335 abrange técnicas
para gerenciamento da segurança das
tecnologias da informação e de comunicação
• As funções de gerenciamento de segurança
estão estruturadas conforme abaixo:
– Visão geral (planejamento, implementação,
operação e manutenção)
– Condições ambientais e culturais
– Gerenciamento de riscos
Common Criteria (ISO/IEC 15408)
• Norma desenvolvida por diversos países para
avaliar a segurança da tecnologia da
informação. Logo tornou se a ISSO/IEC 15408
• O processo de avaliação dessa norma
estabelece um nível de confiança, cujos
requerimentos devem ser atendidos pela
funcionalidade de segurança dos produtos de
TI e pelas medidas de segurança aplicadas a
esses produtos.
Common Criteria (ISO/IEC 15408)
Parte 1: Introdução e Modelo Geral
• A parte um da norma trata ainda dos pacotes e perfis de
proteção, da avaliação dos resultados, da especificação dos
alvos de segurança, da especificação dos perfis de
proteção, dos requerimentos de segurança e da
conformidade
Parte 2: Componentes funcionais de segurança
• A parte dois da norma é a base dos requisitos funcionais de
segurança expressos no perfil de proteção ou no ativo de
segurança.
Common Criteria (ISO/IEC 15408)
Parte 3: Componentes de garantia de
segurança
• A parte três da norma trata dos componentes de garantia
de segurança que estabelecem um caminho padrão para
expressar os requisitos de segurança para os alvos de
avaliação. Esta parte da norma foi desenvolvida para os
clientes, desenvolvedores e avaliadores de segurança de
produtos de TI.
GOVERNANÇA DE SEGURANÇA DA
INFORMAÇÃO
O governo da segurança da informação significa encarar a segurança
adequada dos ativos de informação como um requisito não negociável de se
estar no mercado.
Governaça de Segurança da
Informação (ITGI, 2006)
• Para o ITGI (IT Governance Institute) a governança de
segurança da informação consiste na liderança,
estruturas organizacionais e processos que protegem
a informação.
• O fator crítico para o sucesso dessa governança é a
comunicação efetiva entre as partes interessadas
baseada em relacionamentos construtivos, uma
linguagem comum e a ação sinérgica das partes
interessadas.
Governaça de Segurança da
Informação (ITGI, 2006)
Os 5 resultados básicos da governança de segurança da informação
incluem:
1. O alinhamento estratégico da segurança da informação com a estratégia de
negócios para apoiar os objetivos organizacionais;
2. A gestão de riscos por meio da execução de medidas apropriadas para gerir e
mitigar riscos e reduzir impactos potenciais nos recursos da informação a um nível
aceitável;
3. A gestão de recursos por meio da utilização de conhecimento em segurança da
informação e da infra-estrutura de forma eficaz e eficiente;
4. A medição de desempenho por meio da medição, monitoramento, registro e
divulgação de métricas de governança de segurança da informação para garantir o
alcance dos objetivos organizacionais;
5. Entrega de valor pela otimização dos investimentos em segurança da informação
em apoio aos objetivos organizacionais.
Governaça de Segurança da
Informação (NIST, 2006)
• O NIST (National Institute of Standards and
Technology) define governança da segurança da
informação como o processo de estabelecer e manter
um framework e as estruturas e processos gerenciais
que o suportam para prover garantia de que as
estratégias de segurança da informação estão
alinhadas e apóiam os objetivos de negócio.
Governaça de Segurança da
Informação (NIST, 2006)
Figura 1 – Componentes da
Governança de Segurança da
Informação (NIST, 2006)
CobiT
• O CobiT (Control Objectives for Information and related
Technology) é um guia, formulado como um framework,
escrito para a auditoria e o controle da TI.
• Ele foi desenvolvido pelo ITGI e pelo ISACA (Information
Systems Audit and Control Association) e tem a missão de
pesquisar, desenvolver, publicar e promover um
framework de controle de governança de TI
CobiT
Figura 2 – Áreas de Foco do CobiT 4.1
No formato de um diamante, a
figura 2 mostra as 5 áreas de
foco e a governança de TI no
centro. Essa representação
demonstra que as áreas de foco
atuam na definição, implantação
e execução da governança de TI
CobiT
• Cada processo do CobiT é dividido em:
– Descrição do Processo: descreve a identificação do processo, o que
ele cobre, como ele satisfaz os requisitos de negócio da TI, no que ele
foca e como é medido;
– Objetivos de controle: descrevem cada objetivo de controle do
processo;
– Diretrizes de gerenciamento: mostram as entradas e saídas
relacionadas aos processos, a tabela RACI (Responsible, Accountable,
Consulted and Informed), a qual define a responsabilidade de cada
função e os objetivos e métricas do processo;
– Modelo de maturidade: descreve o nível de maturidade para o
processo (0 - Não existente, 1 - Inicial, 2
Risk IT Framework
• O Risk IT framework foi um uma iniciativa do ITGI para
auxiliar as empresas na gestão dos riscos relacionados
à TI e tem o intuito de ser um complemento do CobiT.
• Estabelece boas práticas e provê um framework para
a identificação, governo e gerência do risco da TI nas
empresas.
Risk IT Framework
Figura 3 – Tipos
de Risco da TI
Risk IT Framework
• Os tipos de risco podem ser:
– Risco da entrega de serviço de TI, associado ao desempenho e a
disponibilidade do serviço de TI e que pode destruir ou reduzir o valor da
organização;
– Risco da entrega da solução de TI, associado à contribuição da TI para
soluções de negócio novas ou aprimoradas, usualmente na forma de projetos
ou programas; e
– Risco da realização dos benefícios da TI, associado às oportunidades
(perdidas) de usar a tecnologia para melhorar a eficiência e a efetividade dos
processos de negócio ou para usar a tecnologia como habilitadora de novas
iniciativas de negócio.
• É importante observar que o risco da TI sempre existe, seja ele
reconhecido ou não pela organização
Risk IT Framework
• Na figura 4, mostra-se que
os componentes de Risk IT,
estão divididos em três
domínios, cada um com
três processos:
• Governança de risco:
• Estabelecer e manter uma visão comum de risco
• Integrar-se à gestão do risco corporativo;
• Criar uma consciência do risco nas decisões de
negócio.
• Avaliação de risco:
• Coletar dados;
• Analisar o risco;
• Manter o perfil de risco.
• Resposta ao risco:
• Articular o risco;
• Gerenciar o risco;
• Reagir aos eventos.
Risk IT Framework
Figura 4 – Componentes do
Risk IT
POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO
Neste capítulo é abordada a necessidade de garantir a confiabilidade,
integridade e disponibilidade da informação dentro da empresa
Política de Segurança
• A política de SI (PSI) é a fundação da segurança de
informação de uma organização.
• Uma política adequada e efetiva contém
informação suficiente sobre o que deve ser feito
para proteger a informação e as pessoas de uma
organização..
Política de Segurança
• Etapas do processo de implementação de uma
PSI envolvem:
– Desenvolvimento:
• definição dos requisitos corporativos da PSI e
estabelecer padrões para documentação da política.
– Aprovação:
• gerenciar a transição da identificação das necessidades
da política até a obtenção da autorização por meio de
uma diretiva gerencial;
Política de Segurança
– Implementação
• solicitação e recepção ao apoio executivo e contar com
o envolvimento das áreas de negócio, e desenvolver
um programa de conscientização de segurança
corporativo;
– Conformidade
• avaliação da conformidade e da efetividade da política
estabelecida e ter ações corretivas para a não
conformidade;
– Manutenção
• condução de revisões formais da política e estabelecer
um processo de gestão de mudanças.
Política de Segurança
• A PSI estabelece regras de alto nível para a proteção de
recursos tecnológicos da organização e para os dados
armazenados nesses recursos (SANS, 2001)
• A norma NBR ISO/IEC 17799 define PSI como provedor de
orientação e apoio da direção para a SI (ABNT, 2005)
• A PSI é um conjunto de leis, regras e práticas que regulam
como os ativos que incluem informações sensíveis são
gerenciados, protegidos e distribuídos dentro da organização
(ITSEC)
Política de Segurança
• As características mais comuns em PSI são:
– Definição dos requisitos dos controles de segurança
da organização;
– Definição do comportamento apropriado dos
colaboradores e de outras partes interessadas;
– Comunicação com toda a organização o consenso
com respeito a requisitos e práticas de segurança;
Política de Segurança
– Prover, para a gerência e outras partes interessadas,
incluindo auditores, indicadores para a validação da
maturidade em segurança da informação e medidas
para a conformidade com o regulatório;
– Definição das condições sob as quais o
compartilhamento de informações e o acesso às
aplicações de negócio são permitidas.
Política de Segurança
• Entretanto, há muitos problemas que afetam
a implantação das PSI :
– Políticas desenvolvidas apenas para atender requisitos
regulatórios e de auditoria, sem relação com as necessidades
reais de segurança da organização nem com os requisitos de
negócio;
– Políticas desenvolvidas de forma isolada pelas equipes de
segurança sem levar em consideração necessidades específicas
de negócio;
– Políticas muito genéricas para poder, efetivamente, direcionar a
gestão da segurança da informação corporativa e a
implementação dos controles;
Política de Segurança
– Políticas que misturam política com padrões, normas
e procedimentos;
– Falhas da alta administração em demonstrar
compromisso e apoio claros e explícitos;
– Uso de linguagem e terminologia não apropriadas
para o público alvo; e
– Comunicação e conscientização deficientes da política
e dos requisitos de conformidade.
Decreto n° 3505 – PSI da APF
• O decreto Nº 3.505, de 13 de junho de 2000,
institui a política de segurança da informação
nos órgãos e entidades da Administração
Pública Federal (Presidência da República,
2000). O decreto estabelece, no seu artigo 1º,
que os pressupostos básicos da política são:
Decreto n° 3505 – PSI da APF
I. assegurar a garantia ao direito individual e
coletivo das pessoas, à inviolabilidade da sua
intimidade e ao sigilo da correspondência e
das comunicações, nos termos previstos na
Constituição;
II. proteção de assuntos que mereçam
tratamento especial;
III. capacitação dos segmentos das tecnologias
sensíveis;
Decreto n° 3505 – PSI da APF
IV. uso soberano de mecanismos de segurança
da informação, com o domínio de
tecnologias sensíveis e duais;
V. criação, desenvolvimento e manutenção de
mentalidade de segurança da informação;
VI. capacitação científico-tecnológica do País
para uso da criptografia na segurança e
defesa do Estado;
Decreto n° 3505 – PSI da APF
VII.conscientização dos órgãos e das entidades
da Administração Pública Federal sobre a
importância das informações processadas e
sobre o risco da sua vulnerabilidade.
Decreto n° 3505 – PSI da APF
• Como objetivos da política da informação, o decreto
estabelece no seu artigo 3°
I. dotar os órgãos e as entidades da Administração Pública
Federal de instrumentos jurídicos, normativos e
organizacionais que os capacitem científica, tecnológica
e administrativamente a assegurar a confidencialidade, a
integridade, a autenticidade, o não-repúdio e a
disponibilidade dos dados e das informações tratadas,
classificadas e sensíveis;
II. eliminar a dependência externa em relação a sistemas,
equipamentos, dispositivos e atividades vinculadas à
segurança dos sistemas de informação;
Decreto n° 3505 – PSI da APF
II. promover a capacitação de recursos humanos para o
desenvolvimento de competência científico-tecnológica em
segurança da informação;
III. estabelecer normas jurídicas necessárias à efetiva
implementação da segurança da informação;
V. promover as ações necessárias à implementação e
manutenção da segurança da informação;
VI. VI. promover o intercâmbio científico-tecnológico entre os
órgãos e as entidades da Administração Pública Federal e as
instituições públicas e privadas, sobre as atividades de
segurança da informação;
Decreto n° 3505 – PSI da APF
VII. promover a capacitação industrial do País com vistas
à sua autonomia no desenvolvimento e na
fabricação de produtos que incorporem recursos
criptográficos, assim como estimular o setor
produtivo a participar competitivamente do
mercado de bens e de serviços relacionados com a
segurança da informação; e
VIII.assegurar a interoperabilidade entre os sistemas de
segurança da informação.
Norma ABNT NBR ISSO/IEC
17799:2005
• A norma ABNT NBR ISO/IEC 17799 define a PSI
• O objetivo da política é prover uma orientação e apoio da
direção para a segurança da informação de acordo com os
requisitos do negócio e com as leis e regulamentações
relevantes.
• A norma estabelece ainda que convém à direção estabelecer
uma política clara, alinhada aos objetivos do negócio e
demonstrar apoio e comprometimento com a SI
• A norma preza pela criação de um documento da PSI aprovada
pela direção e que seja publicada e comunicada a todos os
funcionários
Norma ABNT NBR ISSO/IEC
17799:2005
• Nesse sentido, que o documento da política contenha
declaraçõeconvém s relativas a:
a) uma definição de segurança da informação, suas metas globais,
escopo e importância da segurança da informação como um
mecanismo que habilita o compartilhamento da informação;
b) uma declaração do comprometimento da direção, apoiando as
metas e princípios da segurança da informação, alinhada aos
objetivos e estratégias do negócio;
c) uma estrutura para estabelecer os objetivos de controle e os
controles, incluindo a estrutura de análise/avaliação e
gerenciamento de risco;
Norma ABNT NBR ISSO/IEC
17799:2005
d. breve explanação das políticas, princípios, normas e
requisitos de conformidade de segurança da
informação específicos para a organização, incluindo:
1. conformidade com a legislação e com requisitos
regulamentares e contratuais;
2. requisitos de conscientização, treinamento e educação em
segurança da informação;
3. gestão da continuidade do negócio; e
4. consequências das violações na política de segurança da
informação.
Norma ABNT NBR ISSO/IEC
17799:2005
e. definição das responsabilidades gerais e específicas
na gestão da segurança da informação, incluindo o
registro dos incidentes de segurança da informação;
f. referências à documentação que possam apoiar a
política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de
informação específicos ou regras de segurança que
os usuários devem seguir.
Norma Complementar
n°03/IN01/DSIC/GSIPR
• A Norma Complementar nº 03/IN01/DSIC/GSIPR, de
30 de junho de 2009, estabelece diretrizes, critérios e
procedimentos para elaboração, institucionalização,
divulgação e atualização da Política de Segurança da
Informação e Comunicações (POSIC) nos órgãos e
entidades da Administração Pública Federal, direta e
indireta (GSI, 2009).
Elaboração da POSIC
• Quanto à elaboração da POSIC, a Norma
Complementar estabelece:
1. Recomenda-se que, para a elaboração da POSIC, seja
instituído um Grupo de Trabalho constituído por
representantes dos diferentes setores do órgão ou entidade
da APF como, por exemplo, segurança patrimonial,
tecnologia da informação, recursos humanos, jurídico,
financeiro e planejamento;
2. A elaboração da POSIC deve levar em consideração a
natureza e finalidade do órgão ou entidade da APF,
alinhando-se sempre que possível à sua missão e ao
planejamento estratégico;
Elaboração da POSIC
3. Recomenda-se que, na elaboração da POSIC, sejam incluídos os
seguintes itens:
a) Escopo: neste item recomenda-se descrever o objetivo e a abrangência da
Política de Segurança da Informação e Comunicações, definindo o limite no qual
as ações de segurança da informação e comunicações serão desenvolvidas no
órgão ou entidade da APF;
b) Conceitos e definições: neste item recomenda-se relacionar todos os conceitos
e suas definições a serem utilizados na Política de Segurança da Informação e
Comunicações do órgão ou entidade da APF que possam gerar dificuldades de
interpretações ou significados ambíguos;
c) Referências legais e normativas: neste item recomenda-se relacionar as
referências legais e normativas utilizadas para a elaboração da Política de
Segurança da Informação e Comunicações do órgão ou entidade da APF;
d) Princípios: neste item recomenda-se relacionar os princípios que regem a
segurança da informação e comunicações no órgão ou entidade da APF;
Elaboração da POSIC
e) Diretrizes Gerais: neste item recomenda-se estabelecer
diretrizes sobre, no mínimo, os seguintes temas,
considerando as Normas específicas vigentes no
ordenamento jurídico:
i. Tratamento da Informação;
ii. Tratamento de Incidentes de Rede;
iii. Gestão de Risco;
iv. Gestão de Continuidade;
v. Auditoria e Conformidade;
vi. Controles de Acesso;
vii. Uso de e-mail;
viii. Acesso à Internet.
Elaboração da POSIC
f) Penalidades: neste item identificam-se as consequências e penalidades para os casos de
violação da Política de Segurança da Informação e Comunicações ou de quebra de
segurança, devendo ser proposto um termo de responsabilidade;
g) Competências e Responsabilidades: neste item recomendam-se os seguintes
procedimentos:
I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações;
II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores
públicos civis ou militares, conforme o caso, com as seguintes responsabilidades:
i. Promover cultura de segurança da informação e comunicações;
ii. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança;
iii. Propor recursos necessários às ações de segurança da informação e comunicações;
iv. Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a
Incidentes em Redes Computacionais;
v. Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da
informação e comunicações;
vi. Manter contato permanente e estreito com o Departamento de Segurança da Informação e
Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de
assuntos relativos à segurança da informação e comunicações;
vii. Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito do
órgão ou entidade da APF.
Elaboração da POSIC
III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou
entidade da APF com as seguintes responsabilidades:
i. Assessorar na implementação das ações de segurança da informação e comunicações no órgão
ou entidade da APF;
ii. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre
segurança da informação e comunicações; e
iii. Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações,
em conformidade com as legislações existentes sobre o tema.
4. POSIC precisa ser objetiva, simples, de fácil leitura e
entendimento;
5. POSIC poderá ser complementada por Normas e
Procedimentos que a referenciem.
CULTURA DE SEGURANÇA DA
INFORMAÇÃO
Cultura é um padrão de comportamentos, crenças, suposições, atitudes
e maneiras de fazer as coisas. É espontânea e também é aprendida.
Cultura de SI
• As organizações que confiam exclusivamente nos aspectos
tecnológicos da segurança da informação, negligenciando o
fator humano, particularmente os níveis de conscientização
em segurança dos indivíduos que compõem a força de
trabalho, estão descuidando de uma camada de proteção
crucial.
• Os controles técnicos de segurança da informação provêem
controles preventivos e reativos e suportam a análise de dados
e a tomada de decisão, mas nenhum deles oferece uma
solução completa.
Programa Corporativo de
Conscientização em Segurança da
Informação (PCCSI)
• Esse tipo de Programa depende de um forte apoio da alta
administração e representa investimentos substanciais em
tempo, dinheiro e outros recursos.
• A construção de um Programa Corporativo de Conscientização
em Segurança da Informação – PCCSI pode se dar em 6 etapas,
que são:
1ª Etapa - Definição do escopo preliminar do projeto
• Esse escopo provê o arcabouço para discussões detalhadas com as partes
interessadas e deve ser descrito em termos de públicos-alvo e
cronogramas. Os públicos-alvo podem ser empregados, fornecedores,
parceiros e clientes, entre outros, e cada um deles fazendo uso diferente
da informação. Quanto ao cronograma, deve-se trabalhar com um
horizonte temporal de 2 a 3 anos, com marcos de revisão ao fim do
período.
2ª Etapa – Engajamento do pessoal de negócio
• Agendar reuniões com os líderes das unidades de negócio para identificar
questões de segurança críticas para cada negócio. Apresente os benefícios
do PCCSI para cada unidade de negócio específica, bem como os impactos
que a concretização das ameaças pode causar.
3ª Etapa – Construção do Projeto PCCSI
• Os objetivos do PCCSI devem ser claramente definidos, em linguagem de
negócio e, a partir deles, devem ser definidas as ações, com indicadores e
metas, para atingir os benefícios esperados. O Programa deve ser
desenvolvido sob a forma de projeto e deve ser criado um Comitê, com a
presença das partes interessadas, para direcionar e comunicar as ações
gerenciais do Programa.
4ª Etapa – Implementação do PCCSI
•Trabalhar a linguagem visual do Programa em alinhamento com a logomarca,
cores, slogans e outros identificadores da organização. O primeiro
treinamento de conscientização deve ser para o corpo gerencial, pois esse
pessoal é essencial para garantir o apoio para as fases seguintes.
5ª Etapa – Medir e Otimizar
• Usar o baseline da etapa 3 para avaliar os resultados do Programa. Avaliar
o que está e o que não está funcionando, reconhecer o sucesso e corrigir as
falhas e, depois, repetir o processo num ciclo de melhoria contínua.
6ª Etapa – Relatar o andamento do PCCSI
•Durante o andamento do Programa, as partes interessadas devem ser
regularmente informadas dos resultados alcançados. O relatório deve ser
usado para reconhecer aqueles que apoiaram a iniciativa no passado e para
encorajar a continuidade do apoio.
Orientações da OCDE
• A OCDE (Organização para Cooperação e Desenvolvimento Econômico) publicou, em 2002,
um guia para orientar o estabelecimento de um cultura de SI e tem como princípios:
– Conscientização: todos os colaboradores devem estar conscientes da necessidade de segurança
para os sistemas de informação e a rede de dados;
– Responsabilidade: todos os colaboradores são responsáveis pela segurança dos sistemas de
informação e da rede de dados;
– Resposta: os colaboradores devem atuar de forma tempestiva e cooperativa para prevenir,
detectar e responder a incidentes de segurança;
– Ética: os colaboradores devem respeitar os legítimos interesses dos outros;
– Democracia: a segurança dos sistemas de informação e da rede de dados devem ser compatíveis
com os valores essenciais da sociedade democrática;
– Avaliação de risco: os colaboradores devem conduzir avaliações de risco;
– Projeto e implementação de segurança: os colaboradores devem incorporar a segurança como
um elemento essencial dos sistemas de informação e da rede de dados;
– Gestão da segurança: os colaboradores devem adotar uma abordagem de gestão de segurança;
– Reavaliação: os colaboradores devem rever e reavaliar a segurança dos sistemas de informação e
da rede de dados e fazer as modificações necessárias nas políticas, práticas, medidas e
procedimentos.
Referências
NETO, J. “Política e Cultura de Segurança”. Curso de Especialização em
Gestão da Segurança da Informação e Comunicações. UnB – Universidade de
Brasília. 2009 a 2011.

Mais conteúdo relacionado

Mais procurados

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
CompanyWeb
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Darly Goes
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
IsmaelFernandoRiboli
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
marcos.santosrs
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
Wagner Silva
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
Fernando Palma
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Rafael Maia
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
TI Infnet
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
Fabiano Da Ventura
 

Mais procurados (20)

Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit  5 - APO13 - Gestão da Segurança da InformaçãoCobit  5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
 

Semelhante a Política e cultura de segurança da informação - aspectos burocráticos

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Luzia Dourado
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
Congresso Catarinense de Ciências da Computação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
asbgrodrigo
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
Tadeu Marcos Fortes Leite
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
Augusto Seixas
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
Sandro Servino
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
luisjosemachadosousa
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
lcumaio
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
Roginho Correa
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
Rodrigo Gomes da Silva
 
Cobit2
Cobit2Cobit2
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
Diego Souza
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
Rafael Ferreira
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Fabio Marques, PMP
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
Aldson Diego
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas  unidade vi governanca de ti parte 1Administraçao de sistemas  unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1
Vicente Willians Nunes
 

Semelhante a Política e cultura de segurança da informação - aspectos burocráticos (20)

Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Segurança da Informação e Governança em TI
Segurança da Informação e Governança em TISegurança da Informação e Governança em TI
Segurança da Informação e Governança em TI
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360Um método de gestão de riscos empregando a norma AS-NZS4360
Um método de gestão de riscos empregando a norma AS-NZS4360
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Aula 2.0 governança de ti
Aula 2.0 governança de tiAula 2.0 governança de ti
Aula 2.0 governança de ti
 
Simulado cobit41
Simulado cobit41Simulado cobit41
Simulado cobit41
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Cobit2
Cobit2Cobit2
Cobit2
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
Geração de Valor nas Empresas a partir da Implantação de um Sistema de Gestão...
 
Introdução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27kIntrodução à Série ISO/IEC 27k
Introdução à Série ISO/IEC 27k
 
Administraçao de sistemas unidade vi governanca de ti parte 1
Administraçao de sistemas  unidade vi governanca de ti parte 1Administraçao de sistemas  unidade vi governanca de ti parte 1
Administraçao de sistemas unidade vi governanca de ti parte 1
 

Mais de Bruno Oliveira

Construtivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da LiteraturaConstrutivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da Literatura
Bruno Oliveira
 
Visão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiroVisão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiro
Bruno Oliveira
 
Meio Ambiente com IoT na USP
Meio Ambiente com IoT na USPMeio Ambiente com IoT na USP
Meio Ambiente com IoT na USP
Bruno Oliveira
 
Wear Pay
Wear PayWear Pay
Wear Pay
Bruno Oliveira
 
Explorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacaoExplorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacao
Bruno Oliveira
 
Pensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitivaPensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitiva
Bruno Oliveira
 
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiroProjeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
Bruno Oliveira
 
Computação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicaçõesComputação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicações
Bruno Oliveira
 
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
Bruno Oliveira
 
Revisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na EducaçãoRevisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na Educação
Bruno Oliveira
 
Monografia Computação na Névoa
Monografia Computação na NévoaMonografia Computação na Névoa
Monografia Computação na Névoa
Bruno Oliveira
 
BC - Feedbacks
BC - FeedbacksBC - Feedbacks
BC - Feedbacks
Bruno Oliveira
 
Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)
Bruno Oliveira
 
Humaniza tecnocare
Humaniza tecnocareHumaniza tecnocare
Humaniza tecnocare
Bruno Oliveira
 
Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)
Bruno Oliveira
 
Modelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmicoModelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmico
Bruno Oliveira
 
Alocação dinâmica em C
Alocação dinâmica em CAlocação dinâmica em C
Alocação dinâmica em C
Bruno Oliveira
 
Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)
Bruno Oliveira
 
Labirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafosLabirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafos
Bruno Oliveira
 
Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...
Bruno Oliveira
 

Mais de Bruno Oliveira (20)

Construtivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da LiteraturaConstrutivismo Imersivo - Revisão Sistemática da Literatura
Construtivismo Imersivo - Revisão Sistemática da Literatura
 
Visão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiroVisão geral de big data e mercado financeiro
Visão geral de big data e mercado financeiro
 
Meio Ambiente com IoT na USP
Meio Ambiente com IoT na USPMeio Ambiente com IoT na USP
Meio Ambiente com IoT na USP
 
Wear Pay
Wear PayWear Pay
Wear Pay
 
Explorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacaoExplorando novas tecnicas de comunicacao
Explorando novas tecnicas de comunicacao
 
Pensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitivaPensamento estratégico e geração de vantagem competitiva
Pensamento estratégico e geração de vantagem competitiva
 
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiroProjeto de pesquisa - Tecnologias imersivas e letramento financeiro
Projeto de pesquisa - Tecnologias imersivas e letramento financeiro
 
Computação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicaçõesComputação em Névoa - Introdução, estado da arte e aplicações
Computação em Névoa - Introdução, estado da arte e aplicações
 
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
EmoFindAR - Avaliação de jogo de realidade aumentada em crianças de escola pr...
 
Revisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na EducaçãoRevisão do uso de Realidade Virtual na Educação
Revisão do uso de Realidade Virtual na Educação
 
Monografia Computação na Névoa
Monografia Computação na NévoaMonografia Computação na Névoa
Monografia Computação na Névoa
 
BC - Feedbacks
BC - FeedbacksBC - Feedbacks
BC - Feedbacks
 
Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)Analise da proposta de valor (fintech)
Analise da proposta de valor (fintech)
 
Humaniza tecnocare
Humaniza tecnocareHumaniza tecnocare
Humaniza tecnocare
 
Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)Caso Michigan - ITS (Sistema de Transporte Inteligente)
Caso Michigan - ITS (Sistema de Transporte Inteligente)
 
Modelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmicoModelagem de sistemas - Pensamento sistêmico
Modelagem de sistemas - Pensamento sistêmico
 
Alocação dinâmica em C
Alocação dinâmica em CAlocação dinâmica em C
Alocação dinâmica em C
 
Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)Pensando comunicação homem máquina (em termos de ergonomia)
Pensando comunicação homem máquina (em termos de ergonomia)
 
Labirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafosLabirintos 2D - Abordagem de grafos
Labirintos 2D - Abordagem de grafos
 
Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...Project Model Generation - Um case de implementação de escritório de projetos...
Project Model Generation - Um case de implementação de escritório de projetos...
 

Política e cultura de segurança da informação - aspectos burocráticos

  • 1. Bruno S. Oliveira Bolsista bruno.oliveira@cti.gov.br Tel.: +55 11 3746-6000 - Fax: +55 19 3746-6028 www.cti.gov.br
  • 2. Política e Cultura de Segurança 26/01/2012 Bruno Silva de Oliveira– DSSI/CTI
  • 3. Introdução • Conteúdo baseado na unidade do curso de especialização em Gestão da Segurança da Informação e Comunicações na Universidade de Brasília • Será usada a mesma organização de conteúdo das aulas, aproveitando em alguns pontos para acrescentar outros autores
  • 4. Introdução • Autor do curso foi João Souza Neto • Doutor em Engenharia Elétrica pela UnB, Mestre e, Engenharia Eletrônica pelo Philips International Institute da Holanda • Professor do Mestrado em Gestão do Conhecimento e Tecnologia da Informação na UnB
  • 5. Introdução • A apresentação seguirá a seguinte sequência: – Normas de Segurança da Informação – Governança de Segurança da Informação – Política de Segurança da Informação – Cultura de Segurança da Informação
  • 6. NORMAS DE SEGURANÇA DA INFORMAÇÃO Neste capítulo, são apresentadas as principais normas de segurança da informação nacionais e internacionais. O objetivo deste capítulo é definir o contexto normativo sob o qual são elaborados, executados e gerenciados a governança de segurança da informação, a política de segurança da informação e o programa de conscientização em segurança da informação.
  • 7. A Família de Normas ISO 27000 • Primeira norma com foco em segurança da informação: BS 7799 (British Standard Institute) • Em 2001, é publicada a versão brasileira NBR ISO 17799. • A segunda parte da norma (sistema de gestão das melhores práticas) se tornou a ISO 27001. • A primeira parte da norma (melhores práticas de segurança) se tornou a ISO 27002.
  • 8. A Família de Normas ISO 27000 • Outras normas da família: – ISO 27005/2008 -> Gestão de Risco em SI – ISO 27006/2007 -> Auditoria e certificação de SI • A ISO 27001 é a única com certificação, mas a questão de definição do escopo para certificação, pode ser definido como uma falha da norma, porque possibilita que ocorra a situação da parte certificada da organização estar em ótima situação em SI e o restante estar em um nível inferior
  • 9. ISO/IEC 13335 • A norma ISSO/IEC 13335 abrange técnicas para gerenciamento da segurança das tecnologias da informação e de comunicação • As funções de gerenciamento de segurança estão estruturadas conforme abaixo: – Visão geral (planejamento, implementação, operação e manutenção) – Condições ambientais e culturais – Gerenciamento de riscos
  • 10. Common Criteria (ISO/IEC 15408) • Norma desenvolvida por diversos países para avaliar a segurança da tecnologia da informação. Logo tornou se a ISSO/IEC 15408 • O processo de avaliação dessa norma estabelece um nível de confiança, cujos requerimentos devem ser atendidos pela funcionalidade de segurança dos produtos de TI e pelas medidas de segurança aplicadas a esses produtos.
  • 11. Common Criteria (ISO/IEC 15408) Parte 1: Introdução e Modelo Geral • A parte um da norma trata ainda dos pacotes e perfis de proteção, da avaliação dos resultados, da especificação dos alvos de segurança, da especificação dos perfis de proteção, dos requerimentos de segurança e da conformidade Parte 2: Componentes funcionais de segurança • A parte dois da norma é a base dos requisitos funcionais de segurança expressos no perfil de proteção ou no ativo de segurança.
  • 12. Common Criteria (ISO/IEC 15408) Parte 3: Componentes de garantia de segurança • A parte três da norma trata dos componentes de garantia de segurança que estabelecem um caminho padrão para expressar os requisitos de segurança para os alvos de avaliação. Esta parte da norma foi desenvolvida para os clientes, desenvolvedores e avaliadores de segurança de produtos de TI.
  • 13. GOVERNANÇA DE SEGURANÇA DA INFORMAÇÃO O governo da segurança da informação significa encarar a segurança adequada dos ativos de informação como um requisito não negociável de se estar no mercado.
  • 14. Governaça de Segurança da Informação (ITGI, 2006) • Para o ITGI (IT Governance Institute) a governança de segurança da informação consiste na liderança, estruturas organizacionais e processos que protegem a informação. • O fator crítico para o sucesso dessa governança é a comunicação efetiva entre as partes interessadas baseada em relacionamentos construtivos, uma linguagem comum e a ação sinérgica das partes interessadas.
  • 15. Governaça de Segurança da Informação (ITGI, 2006) Os 5 resultados básicos da governança de segurança da informação incluem: 1. O alinhamento estratégico da segurança da informação com a estratégia de negócios para apoiar os objetivos organizacionais; 2. A gestão de riscos por meio da execução de medidas apropriadas para gerir e mitigar riscos e reduzir impactos potenciais nos recursos da informação a um nível aceitável; 3. A gestão de recursos por meio da utilização de conhecimento em segurança da informação e da infra-estrutura de forma eficaz e eficiente; 4. A medição de desempenho por meio da medição, monitoramento, registro e divulgação de métricas de governança de segurança da informação para garantir o alcance dos objetivos organizacionais; 5. Entrega de valor pela otimização dos investimentos em segurança da informação em apoio aos objetivos organizacionais.
  • 16. Governaça de Segurança da Informação (NIST, 2006) • O NIST (National Institute of Standards and Technology) define governança da segurança da informação como o processo de estabelecer e manter um framework e as estruturas e processos gerenciais que o suportam para prover garantia de que as estratégias de segurança da informação estão alinhadas e apóiam os objetivos de negócio.
  • 17. Governaça de Segurança da Informação (NIST, 2006) Figura 1 – Componentes da Governança de Segurança da Informação (NIST, 2006)
  • 18. CobiT • O CobiT (Control Objectives for Information and related Technology) é um guia, formulado como um framework, escrito para a auditoria e o controle da TI. • Ele foi desenvolvido pelo ITGI e pelo ISACA (Information Systems Audit and Control Association) e tem a missão de pesquisar, desenvolver, publicar e promover um framework de controle de governança de TI
  • 19. CobiT Figura 2 – Áreas de Foco do CobiT 4.1 No formato de um diamante, a figura 2 mostra as 5 áreas de foco e a governança de TI no centro. Essa representação demonstra que as áreas de foco atuam na definição, implantação e execução da governança de TI
  • 20. CobiT • Cada processo do CobiT é dividido em: – Descrição do Processo: descreve a identificação do processo, o que ele cobre, como ele satisfaz os requisitos de negócio da TI, no que ele foca e como é medido; – Objetivos de controle: descrevem cada objetivo de controle do processo; – Diretrizes de gerenciamento: mostram as entradas e saídas relacionadas aos processos, a tabela RACI (Responsible, Accountable, Consulted and Informed), a qual define a responsabilidade de cada função e os objetivos e métricas do processo; – Modelo de maturidade: descreve o nível de maturidade para o processo (0 - Não existente, 1 - Inicial, 2
  • 21. Risk IT Framework • O Risk IT framework foi um uma iniciativa do ITGI para auxiliar as empresas na gestão dos riscos relacionados à TI e tem o intuito de ser um complemento do CobiT. • Estabelece boas práticas e provê um framework para a identificação, governo e gerência do risco da TI nas empresas.
  • 22. Risk IT Framework Figura 3 – Tipos de Risco da TI
  • 23. Risk IT Framework • Os tipos de risco podem ser: – Risco da entrega de serviço de TI, associado ao desempenho e a disponibilidade do serviço de TI e que pode destruir ou reduzir o valor da organização; – Risco da entrega da solução de TI, associado à contribuição da TI para soluções de negócio novas ou aprimoradas, usualmente na forma de projetos ou programas; e – Risco da realização dos benefícios da TI, associado às oportunidades (perdidas) de usar a tecnologia para melhorar a eficiência e a efetividade dos processos de negócio ou para usar a tecnologia como habilitadora de novas iniciativas de negócio. • É importante observar que o risco da TI sempre existe, seja ele reconhecido ou não pela organização
  • 24. Risk IT Framework • Na figura 4, mostra-se que os componentes de Risk IT, estão divididos em três domínios, cada um com três processos: • Governança de risco: • Estabelecer e manter uma visão comum de risco • Integrar-se à gestão do risco corporativo; • Criar uma consciência do risco nas decisões de negócio. • Avaliação de risco: • Coletar dados; • Analisar o risco; • Manter o perfil de risco. • Resposta ao risco: • Articular o risco; • Gerenciar o risco; • Reagir aos eventos.
  • 25. Risk IT Framework Figura 4 – Componentes do Risk IT
  • 26. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Neste capítulo é abordada a necessidade de garantir a confiabilidade, integridade e disponibilidade da informação dentro da empresa
  • 27. Política de Segurança • A política de SI (PSI) é a fundação da segurança de informação de uma organização. • Uma política adequada e efetiva contém informação suficiente sobre o que deve ser feito para proteger a informação e as pessoas de uma organização..
  • 28. Política de Segurança • Etapas do processo de implementação de uma PSI envolvem: – Desenvolvimento: • definição dos requisitos corporativos da PSI e estabelecer padrões para documentação da política. – Aprovação: • gerenciar a transição da identificação das necessidades da política até a obtenção da autorização por meio de uma diretiva gerencial;
  • 29. Política de Segurança – Implementação • solicitação e recepção ao apoio executivo e contar com o envolvimento das áreas de negócio, e desenvolver um programa de conscientização de segurança corporativo; – Conformidade • avaliação da conformidade e da efetividade da política estabelecida e ter ações corretivas para a não conformidade; – Manutenção • condução de revisões formais da política e estabelecer um processo de gestão de mudanças.
  • 30. Política de Segurança • A PSI estabelece regras de alto nível para a proteção de recursos tecnológicos da organização e para os dados armazenados nesses recursos (SANS, 2001) • A norma NBR ISO/IEC 17799 define PSI como provedor de orientação e apoio da direção para a SI (ABNT, 2005) • A PSI é um conjunto de leis, regras e práticas que regulam como os ativos que incluem informações sensíveis são gerenciados, protegidos e distribuídos dentro da organização (ITSEC)
  • 31. Política de Segurança • As características mais comuns em PSI são: – Definição dos requisitos dos controles de segurança da organização; – Definição do comportamento apropriado dos colaboradores e de outras partes interessadas; – Comunicação com toda a organização o consenso com respeito a requisitos e práticas de segurança;
  • 32. Política de Segurança – Prover, para a gerência e outras partes interessadas, incluindo auditores, indicadores para a validação da maturidade em segurança da informação e medidas para a conformidade com o regulatório; – Definição das condições sob as quais o compartilhamento de informações e o acesso às aplicações de negócio são permitidas.
  • 33. Política de Segurança • Entretanto, há muitos problemas que afetam a implantação das PSI : – Políticas desenvolvidas apenas para atender requisitos regulatórios e de auditoria, sem relação com as necessidades reais de segurança da organização nem com os requisitos de negócio; – Políticas desenvolvidas de forma isolada pelas equipes de segurança sem levar em consideração necessidades específicas de negócio; – Políticas muito genéricas para poder, efetivamente, direcionar a gestão da segurança da informação corporativa e a implementação dos controles;
  • 34. Política de Segurança – Políticas que misturam política com padrões, normas e procedimentos; – Falhas da alta administração em demonstrar compromisso e apoio claros e explícitos; – Uso de linguagem e terminologia não apropriadas para o público alvo; e – Comunicação e conscientização deficientes da política e dos requisitos de conformidade.
  • 35. Decreto n° 3505 – PSI da APF • O decreto Nº 3.505, de 13 de junho de 2000, institui a política de segurança da informação nos órgãos e entidades da Administração Pública Federal (Presidência da República, 2000). O decreto estabelece, no seu artigo 1º, que os pressupostos básicos da política são:
  • 36. Decreto n° 3505 – PSI da APF I. assegurar a garantia ao direito individual e coletivo das pessoas, à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição; II. proteção de assuntos que mereçam tratamento especial; III. capacitação dos segmentos das tecnologias sensíveis;
  • 37. Decreto n° 3505 – PSI da APF IV. uso soberano de mecanismos de segurança da informação, com o domínio de tecnologias sensíveis e duais; V. criação, desenvolvimento e manutenção de mentalidade de segurança da informação; VI. capacitação científico-tecnológica do País para uso da criptografia na segurança e defesa do Estado;
  • 38. Decreto n° 3505 – PSI da APF VII.conscientização dos órgãos e das entidades da Administração Pública Federal sobre a importância das informações processadas e sobre o risco da sua vulnerabilidade.
  • 39. Decreto n° 3505 – PSI da APF • Como objetivos da política da informação, o decreto estabelece no seu artigo 3° I. dotar os órgãos e as entidades da Administração Pública Federal de instrumentos jurídicos, normativos e organizacionais que os capacitem científica, tecnológica e administrativamente a assegurar a confidencialidade, a integridade, a autenticidade, o não-repúdio e a disponibilidade dos dados e das informações tratadas, classificadas e sensíveis; II. eliminar a dependência externa em relação a sistemas, equipamentos, dispositivos e atividades vinculadas à segurança dos sistemas de informação;
  • 40. Decreto n° 3505 – PSI da APF II. promover a capacitação de recursos humanos para o desenvolvimento de competência científico-tecnológica em segurança da informação; III. estabelecer normas jurídicas necessárias à efetiva implementação da segurança da informação; V. promover as ações necessárias à implementação e manutenção da segurança da informação; VI. VI. promover o intercâmbio científico-tecnológico entre os órgãos e as entidades da Administração Pública Federal e as instituições públicas e privadas, sobre as atividades de segurança da informação;
  • 41. Decreto n° 3505 – PSI da APF VII. promover a capacitação industrial do País com vistas à sua autonomia no desenvolvimento e na fabricação de produtos que incorporem recursos criptográficos, assim como estimular o setor produtivo a participar competitivamente do mercado de bens e de serviços relacionados com a segurança da informação; e VIII.assegurar a interoperabilidade entre os sistemas de segurança da informação.
  • 42. Norma ABNT NBR ISSO/IEC 17799:2005 • A norma ABNT NBR ISO/IEC 17799 define a PSI • O objetivo da política é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. • A norma estabelece ainda que convém à direção estabelecer uma política clara, alinhada aos objetivos do negócio e demonstrar apoio e comprometimento com a SI • A norma preza pela criação de um documento da PSI aprovada pela direção e que seja publicada e comunicada a todos os funcionários
  • 43. Norma ABNT NBR ISSO/IEC 17799:2005 • Nesse sentido, que o documento da política contenha declaraçõeconvém s relativas a: a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação; b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada aos objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;
  • 44. Norma ABNT NBR ISSO/IEC 17799:2005 d. breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo: 1. conformidade com a legislação e com requisitos regulamentares e contratuais; 2. requisitos de conscientização, treinamento e educação em segurança da informação; 3. gestão da continuidade do negócio; e 4. consequências das violações na política de segurança da informação.
  • 45. Norma ABNT NBR ISSO/IEC 17799:2005 e. definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f. referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir.
  • 46. Norma Complementar n°03/IN01/DSIC/GSIPR • A Norma Complementar nº 03/IN01/DSIC/GSIPR, de 30 de junho de 2009, estabelece diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta (GSI, 2009).
  • 47. Elaboração da POSIC • Quanto à elaboração da POSIC, a Norma Complementar estabelece: 1. Recomenda-se que, para a elaboração da POSIC, seja instituído um Grupo de Trabalho constituído por representantes dos diferentes setores do órgão ou entidade da APF como, por exemplo, segurança patrimonial, tecnologia da informação, recursos humanos, jurídico, financeiro e planejamento; 2. A elaboração da POSIC deve levar em consideração a natureza e finalidade do órgão ou entidade da APF, alinhando-se sempre que possível à sua missão e ao planejamento estratégico;
  • 48. Elaboração da POSIC 3. Recomenda-se que, na elaboração da POSIC, sejam incluídos os seguintes itens: a) Escopo: neste item recomenda-se descrever o objetivo e a abrangência da Política de Segurança da Informação e Comunicações, definindo o limite no qual as ações de segurança da informação e comunicações serão desenvolvidas no órgão ou entidade da APF; b) Conceitos e definições: neste item recomenda-se relacionar todos os conceitos e suas definições a serem utilizados na Política de Segurança da Informação e Comunicações do órgão ou entidade da APF que possam gerar dificuldades de interpretações ou significados ambíguos; c) Referências legais e normativas: neste item recomenda-se relacionar as referências legais e normativas utilizadas para a elaboração da Política de Segurança da Informação e Comunicações do órgão ou entidade da APF; d) Princípios: neste item recomenda-se relacionar os princípios que regem a segurança da informação e comunicações no órgão ou entidade da APF;
  • 49. Elaboração da POSIC e) Diretrizes Gerais: neste item recomenda-se estabelecer diretrizes sobre, no mínimo, os seguintes temas, considerando as Normas específicas vigentes no ordenamento jurídico: i. Tratamento da Informação; ii. Tratamento de Incidentes de Rede; iii. Gestão de Risco; iv. Gestão de Continuidade; v. Auditoria e Conformidade; vi. Controles de Acesso; vii. Uso de e-mail; viii. Acesso à Internet.
  • 50. Elaboração da POSIC f) Penalidades: neste item identificam-se as consequências e penalidades para os casos de violação da Política de Segurança da Informação e Comunicações ou de quebra de segurança, devendo ser proposto um termo de responsabilidade; g) Competências e Responsabilidades: neste item recomendam-se os seguintes procedimentos: I. Definir a estrutura para a Gestão da Segurança da Informação e Comunicações; II. Instituir o Gestor de Segurança da Informação e Comunicações do órgão ou entidade da APF, dentre servidores públicos civis ou militares, conforme o caso, com as seguintes responsabilidades: i. Promover cultura de segurança da informação e comunicações; ii. Acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança; iii. Propor recursos necessários às ações de segurança da informação e comunicações; iv. Coordenar o Comitê de Segurança da Informação e Comunicações e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais; v. Realizar e acompanhar estudos de novas tecnologias, quanto a possíveis impactos na segurança da informação e comunicações; vi. Manter contato permanente e estreito com o Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República para o trato de assuntos relativos à segurança da informação e comunicações; vii. Propor Normas e procedimentos relativos à segurança da informação e comunicações no âmbito do órgão ou entidade da APF.
  • 51. Elaboração da POSIC III. Instituir o Comitê de Segurança da Informação e Comunicações do órgão ou entidade da APF com as seguintes responsabilidades: i. Assessorar na implementação das ações de segurança da informação e comunicações no órgão ou entidade da APF; ii. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação e comunicações; e iii. Propor Normas e Procedimentos internos relativos à segurança da informação e comunicações, em conformidade com as legislações existentes sobre o tema. 4. POSIC precisa ser objetiva, simples, de fácil leitura e entendimento; 5. POSIC poderá ser complementada por Normas e Procedimentos que a referenciem.
  • 52. CULTURA DE SEGURANÇA DA INFORMAÇÃO Cultura é um padrão de comportamentos, crenças, suposições, atitudes e maneiras de fazer as coisas. É espontânea e também é aprendida.
  • 53. Cultura de SI • As organizações que confiam exclusivamente nos aspectos tecnológicos da segurança da informação, negligenciando o fator humano, particularmente os níveis de conscientização em segurança dos indivíduos que compõem a força de trabalho, estão descuidando de uma camada de proteção crucial. • Os controles técnicos de segurança da informação provêem controles preventivos e reativos e suportam a análise de dados e a tomada de decisão, mas nenhum deles oferece uma solução completa.
  • 54. Programa Corporativo de Conscientização em Segurança da Informação (PCCSI) • Esse tipo de Programa depende de um forte apoio da alta administração e representa investimentos substanciais em tempo, dinheiro e outros recursos. • A construção de um Programa Corporativo de Conscientização em Segurança da Informação – PCCSI pode se dar em 6 etapas, que são:
  • 55. 1ª Etapa - Definição do escopo preliminar do projeto • Esse escopo provê o arcabouço para discussões detalhadas com as partes interessadas e deve ser descrito em termos de públicos-alvo e cronogramas. Os públicos-alvo podem ser empregados, fornecedores, parceiros e clientes, entre outros, e cada um deles fazendo uso diferente da informação. Quanto ao cronograma, deve-se trabalhar com um horizonte temporal de 2 a 3 anos, com marcos de revisão ao fim do período. 2ª Etapa – Engajamento do pessoal de negócio • Agendar reuniões com os líderes das unidades de negócio para identificar questões de segurança críticas para cada negócio. Apresente os benefícios do PCCSI para cada unidade de negócio específica, bem como os impactos que a concretização das ameaças pode causar.
  • 56. 3ª Etapa – Construção do Projeto PCCSI • Os objetivos do PCCSI devem ser claramente definidos, em linguagem de negócio e, a partir deles, devem ser definidas as ações, com indicadores e metas, para atingir os benefícios esperados. O Programa deve ser desenvolvido sob a forma de projeto e deve ser criado um Comitê, com a presença das partes interessadas, para direcionar e comunicar as ações gerenciais do Programa. 4ª Etapa – Implementação do PCCSI •Trabalhar a linguagem visual do Programa em alinhamento com a logomarca, cores, slogans e outros identificadores da organização. O primeiro treinamento de conscientização deve ser para o corpo gerencial, pois esse pessoal é essencial para garantir o apoio para as fases seguintes.
  • 57. 5ª Etapa – Medir e Otimizar • Usar o baseline da etapa 3 para avaliar os resultados do Programa. Avaliar o que está e o que não está funcionando, reconhecer o sucesso e corrigir as falhas e, depois, repetir o processo num ciclo de melhoria contínua. 6ª Etapa – Relatar o andamento do PCCSI •Durante o andamento do Programa, as partes interessadas devem ser regularmente informadas dos resultados alcançados. O relatório deve ser usado para reconhecer aqueles que apoiaram a iniciativa no passado e para encorajar a continuidade do apoio.
  • 58. Orientações da OCDE • A OCDE (Organização para Cooperação e Desenvolvimento Econômico) publicou, em 2002, um guia para orientar o estabelecimento de um cultura de SI e tem como princípios: – Conscientização: todos os colaboradores devem estar conscientes da necessidade de segurança para os sistemas de informação e a rede de dados; – Responsabilidade: todos os colaboradores são responsáveis pela segurança dos sistemas de informação e da rede de dados; – Resposta: os colaboradores devem atuar de forma tempestiva e cooperativa para prevenir, detectar e responder a incidentes de segurança; – Ética: os colaboradores devem respeitar os legítimos interesses dos outros; – Democracia: a segurança dos sistemas de informação e da rede de dados devem ser compatíveis com os valores essenciais da sociedade democrática; – Avaliação de risco: os colaboradores devem conduzir avaliações de risco; – Projeto e implementação de segurança: os colaboradores devem incorporar a segurança como um elemento essencial dos sistemas de informação e da rede de dados; – Gestão da segurança: os colaboradores devem adotar uma abordagem de gestão de segurança; – Reavaliação: os colaboradores devem rever e reavaliar a segurança dos sistemas de informação e da rede de dados e fazer as modificações necessárias nas políticas, práticas, medidas e procedimentos.
  • 59. Referências NETO, J. “Política e Cultura de Segurança”. Curso de Especialização em Gestão da Segurança da Informação e Comunicações. UnB – Universidade de Brasília. 2009 a 2011.