Este documento fornece uma introdução à família de normas ISO/IEC 27000, que tratam da gestão da segurança da informação. Ele define normas, objetivos da normalização, quem faz normas e apresenta um diagrama da família ISO/IEC 27000.

1. | ISO 27000
Efrain Cristian Zúñiga Saavedra
Metrus Instituto de Seguridade Social
SEGURANÇA DA INFORMAÇÃO
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
1

2. | ISO 27000
Gestão de Riscos
ISO 38500
Governança de TI
Segurança
Estratégica e
Gerenciamento de
Crises
CobIT 4.1
Gestão de
Segurança da
Informação
ISO 27002
ISO 27002
ISO 27005
ISO 31000
Leis e
Regulamentações
CobIT DS.5
Leis e
Regulamentações
Responsabilidade
Social e
Corporativa
Segurança Saúde
e Meio Ambiente
ISO 27001
ISO 27005
ISO 14001
ISO 26001
OHSAS 18001
NBR 16001
BS 25998-1
Continuidade de
Negócios
BS 25998-2
BS 25777-1
CobIT DS.4
Fonte: Daryus
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
2

3. | ISO 27000
O que são Normas?
• Normas são documentos estabelecidos em consenso
e aprovado por organismos reconhecido, que
fornece, para uso comum e repetitivo, regras,
diretrizes ou características para atividades ou seus
resultados, visando a obtenção de um grau ótimo
de ordenação em um dado contexto.
• É aquilo que se estabelece como medida para a
realização de uma atividade.
• Uma norma tem como propósito definir regras e
instrumentos de controle para assegurar a
conformidade de um processo, produto ou serviço.
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
3

4. | ISO 27000
Objetivos da normalização
• Comunicação: proporcionar meios mais eficientes
na troca de informação entre o fabricante e o
cliente, melhorando a confiabilidade das relações
comerciais e de serviços;
• Segurança: proteger a vida humana e a saúde;
• Proteção do consumidor: prover a sociedade de
mecanismos eficazes para aferir qualidade de
produtos;
• Eliminação de barreiras técnicas e comerciais: evitar
a existência de regulamentos conflitantes sobre
produtos e serviços em diferentes países, facilitando
assim, o intercâmbio comercial.
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
4

5. | ISO 27000
Quem faz Normas?
•
•
•
•
ISO (International Organization for Standardization)
IEC (International Electrotechnical Commission)
BSI Group
ABNT ( Associação Brasileira de Normas Técnicas)
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
5

6. | ISO 27000
A Família ISO/IEC 27000
Fonte: ISO 27000
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
6

7. | ISO 27000
Quem faz Normas?
Fonte: ABNT
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
7

8. | ISO 27000
Arquitetura da Informação
A arquitetura da informação se constitui numa série de
ferramentas que adaptam os recursos às necessidades
da informação.
Ela conecta os processos, os comportamentos, os
métodos, a estrutura e o espaço físico, incluindo
mapas, diretórios e padrões relacionados com o uso e
armazenamento das informações.
Fonte: Thomas H. Davenport
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
8

9. | ISO 27000
Ciclo de vida da informação
Fonte: Content Management
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
9

10. | ISO 27000
Gestão da informação
Formula e dirige a politica relativa à entrega de
informações em uma organização.
“Entregar a informação certa as pessoas certas no
tempo certo”
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
10

11. | ISO 27000
Aspectos da confiabilidade da informação
CID
• Confidencialidade - propriedade que limita o acesso a
informação tão somente às entidades legítimas, ou seja,
àquelas autorizadas pelo proprietário da informação.
• Integridade - propriedade que garante que a informação
manipulada mantenha todas as características originais
estabelecidas pelo proprietário da informação, incluindo
controle de mudanças e garantia do seu ciclo de vida
(nascimento, manutenção e destruição).
• Disponibilidade - propriedade que garante que a informação
esteja sempre disponível para o uso legítimo, ou seja, por
aqueles usuários autorizados pelo proprietário da informação.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
11

12. | ISO 27000
Obtendo a segurança da informação
É obtida por meio de controles adequados para garantir queos
objetivos do negocio e de segurança da organização sejam
atendidos. Os controles podem ser:
•
•
•
•
•
Politicas;
Processos;
Procedimentos;
Estruturas Organizacionais;
Funções de SW e HW.
Este conjunto de controles adequados precisam ser
estabelecidos, implementados, monitorados, analisados
criticamente e melhorados.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
12

13. | ISO 27000
A evolução da segurança da informação
Período (Anos)
Ambiente da Informação
Tipo de Proteção
Foco
Segurança da Informação
50 a 70
Eletromecanico
Dados
Confidencialidade
Inexistente ou Militar
70 a 80
Mainframe
Dados
Confidencialidade
Retaguarda via informática ou
Militar
80 a 90
Mainframe e Rede
Dados e Informação
Confidencialidade e Integridade
Retaguarda informática,
Administração e Operação
90 a 2000
Mainframe em declínio.
Redes computacioanais,
redes IP, Internet
Dados, informação,
Confidencialidade, Integridade e
conhecimento, imagem e
Disponibilidade
voz
2000 a 2010
Redes de alta velocidade,
rede sem fio
Dados, informação,
conhecimento, imagem,
sons e outros
Confidencialidade, Integridade e
Disponibilidade
Informática, Administração e
Operação
Responsabilidade de todos
Fonte: Daryus
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
13

14. | ISO 27000
Definições sobre Risco
Risco: Combinação da probabilidade de um evento e suas
consequências (ISO Guide 73:2002).
Tratamento do Risco: Processo de tratamento, seleção e
implementação das medidas para modificar o risco (ISO Guide
73:2002).
Risco Residual: Risco remanescente após o tratamento
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
14

15. | ISO 27000
Ameaças
Ameaça: Uma potencial causa de incidente (BS ISO/IEC 1335:1
2004).
Ameaça: Todo e qualquer perigo eminente, seja natural,
humana, tecnológica, física ou político-econômica.
Exemplos: vandalismo, roubo e furto, sabotagem, incêndio,
raios, inundação, enchente, falha de servidores, falha humana,
acesso de pessoas não autorizadas.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
15

16. | ISO 27000
Ameaças à segurança da informação
Código Malicioso (Malware)
Termo genérico que se refere a todos os tipos de programas que
executam ações maliciosas em um computador.
São exemplos:
• Vírus
• Worms
• Spywares
• Bot e Botnet
• Backdoor
• Trojans e Rootkits
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
16

17. | ISO 27000
Ameaças à segurança da informação
Vírus
Vírus é um programa ou parte de um programa de computador,
normalmente malicioso, que se propaga inserindo cópias de si
mesmo e se tornando parte de outros programas e arquivos.
Para que possa se tornar ativo e dar continuidade ao processo
de infecção, o vírus depende da execução do programa ou
arquivo hospedeiro, ou seja, para que o seu computador seja
infectado é preciso que um programa já infectado seja
executado.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
17

18. | ISO 27000
Ameaças à segurança da informação
Tipos de Vírus
Vírus propagado por e-mail: recebido como um arquivo anexo a um email cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo,
fazendo com que seja executado.
Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e
recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo
ou como parte do próprio e-mail escrito em formato HTML.
Vírus de macro: tipo específico de vírus de script, escrito em linguagem de
macro, que tenta infectar arquivos manipulados por aplicativos que utilizam
esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel,
Word e PowerPoint, entre outros).
Vírus de telefone celular: vírus que se propaga de celular para celular por
meio da tecnologia bluetooth ou de mensagens MMS. A infecção ocorre
quando um usuário permite o recebimento de um arquivo infectado e o
executa.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
18

19. | ISO 27000
Ameaças à segurança da informação
Worm
Worm é um programa capaz de se propagar automaticamente
pelas redes, enviando cópias de si mesmo de computador para
computador.
Diferente do vírus, o worm não se propaga por meio da inclusão
de cópias de si mesmo em outros programas ou arquivos, mas
sim pela execução direta de suas cópias ou pela exploração
automática de vulnerabilidades existentes em programas
instalados em computadores.
Worms são notadamente responsáveis por consumir muitos
recursos, devido à grande quantidade de cópias de si mesmo
que costumam propagar e, como consequência, podem afetar o
desempenho de redes e a utilização de computadores.
19
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra

20. | ISO 27000
Ameaças à segurança da informação
Spyware
É um programa projetado para monitorar as atividades de um
sistema e enviar as informações coletadas para terceiros.
Pode ser usado tanto de forma legítima quanto maliciosa,
dependendo de como é instalado, das ações realizadas, do tipo
de informação monitorada e do uso que é feito por quem recebe
as informações coletadas. Pode ser considerado de uso:
Legítimo: quando instalado em um computador pessoal, pelo próprio dono
ou com consentimento deste, com o objetivo de verificar se outras pessoas o
estão utilizando de modo abusivo ou não autorizado.
Malicioso: quando executa ações que podem comprometer a privacidade do
usuário e a segurança do computador, como monitorar e capturar
informações referentes à navegação do usuário ou inseridas em outros
programas (por exemplo, conta de usuário e senha).
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
20

21. | ISO 27000
Ameaças à segurança da informação
Bot e botnet
Bot é um programa que dispõe de mecanismos de comunicação
com o invasor que permitem que ele seja controlado
remotamente. Possui processo de infecção e propagação similar
ao do worm, ou seja, é capaz de se propagar automaticamente,
explorando vulnerabilidades existentes em programas instalados
em computadores.
A comunicação entre o invasor e o computador infectado
pelo bot pode ocorrer via canais de IRC, servidores Web e redes
do tipo P2P, entre outros meios. Ao se comunicar, o invasor
pode enviar instruções para que ações maliciosas sejam
executadas, como desferir ataques, furtar dados do computador
infectado e enviar spam.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
21

22. | ISO 27000
Ameaças à segurança da informação
Backdoor
Backdoor é um programa que permite o retorno de um invasor a
um computador comprometido, por meio da inclusão de
serviços criados ou modificados para este fim.
Pode ser incluído pela ação de outros códigos maliciosos, que
tenham previamente infectado o computador, ou por atacantes,
que exploram vulnerabilidades existentes nos programas
instalados no computador para invadi-lo.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
22

23. | ISO 27000
Ameaças à segurança da informação
Cavalo de troia (Trojan)
Cavalo de troia, trojan ou trojan-horse, é um programa que,
além de executar as funções para as quais foi aparentemente
projetado, também executa outras funções, normalmente
maliciosas, e sem o conhecimento do usuário.
Exemplos de trojans são programas que você recebe ou obtém
de sites na Internet e que parecem ser apenas cartões virtuais
animados, álbuns de fotos, jogos e protetores de tela, entre
outros. Estes programas, geralmente, consistem de um único
arquivo e necessitam ser explicitamente executados para que
sejam instalados no computador.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
23

24. | ISO 27000
Ameaças à segurança da informação
Rootkit
Rootkit é um conjunto de programas e técnicas que permite
esconder e assegurar a presença de um invasor ou de outro
código malicioso em um computador comprometido.
O conjunto de programas e técnicas fornecido pelos rootkits pode
ser usado para:
• instalar códigos maliciosos, como backdoors, para assegurar o acesso futuro
ao computador infectado;
• esconder atividades e informações, como arquivos, diretórios, processos,
chaves de registro, conexões de rede, etc;
• mapear potenciais vulnerabilidades em outros computadores, por meio de
varreduras na rede;
• capturar informações da rede onde o computador comprometido está
localizado, pela interceptação de tráfego.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
24

25. | ISO 27000
Ameaças à segurança da informação
Engenharia Social (Golpes)
Método de ataque onde a pessoa faz uso de persuasão, muitas
vezes abusando da ingenuidade do usuário, para obter
informações que podem ser utilizadas para ter acesso não
autorizado a computadores ou informações.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
25

26. | ISO 27000
Ameaças à segurança da informação
Hacking
Hacker: Individuo com conhecimentos profundos de sistemas
computacionais. Conhece e procura novas falhas de segurança dos
sistemas e está sempre estudando novas vulnerabilidades
existentes.
Cracker: Utiliza seus conhecimentos e ferramentas de terceiros
para finalidades obscuras ou a fim de gerar prejuízo a
corporações, entidades e outros.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
26

27. | ISO 27000
Ameaças à segurança da informação
Hoax
Boato por e-mail que possui conteúdo alarmante ou falso.
Geralmente tem como remetente ou aponta como autora da
mensagem alguma instituição, empresa importante ou orgão
governamental.
Muito utilizado como instrumento de engenharia social para
disseminar “cavalos de Tróia”.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
27

28. | ISO 27000
Ameaças à segurança da informação
Phishing
Mensagem falsa e não solicitada que procura induzir usuários ao
fornecimento de dados pessoais e financeiros.
• Passa-se por comunicação de uma instituição conhecida como
banco, empresa ou site popular;
• Pode induzir o usuário a instalar um código malicioso;
• Pode apresentar formulários para envio de dados.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
28

29. | ISO 27000
Vulnerabilidades
As vulnerabilidades características ou falhas em sistemas (ex: não
atualização), que podem ser exploradas por agentes de ameaças
(ex: cracker) para que uma ameaça se concretize (ex: invasão);
• Grau de exposição: medida numérica ou de sensibilidade a qual
está exposto em grau menor ou maior um determinado ativo.
• Probabilidade de ocorrência: medida provável de
ocorrência de uma determinada ameaça se
concretizar em um incidente durante um periodo
pré-determinado;
• Vulnerabilidade: uma fraqueza de um ativo que
pode ser explorada por uma ou mais ameaças.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
29

30. | ISO 27000
Vulnerabilidades
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
30

31. | ISO 27000
Devemos correr riscos?
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
31

32. | ISO 27000
Gestão de Riscos
ISO 27005
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
32

33. | ISO 27000
PSI - Politica de Segurança da Informação
A Segurança da Informação "inicia" através da definição de uma
política clara e concisa acerca da proteção das informações.
Através de uma Política de Segurança da Informação, a empresa
formaliza suas estratégias e abordagens para a preservação de seus
ativos.
A PSI deve ser compreendida como a tradução das expectativas
da empresa em relação a segurança considerando o alinhamento
com os seus objetivos de negócio, estratégias e cultura.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
33

34. | ISO 27000
PSI - Politica de Segurança da Informação
Objetivos e Escopo
• Prover uma orientação de apoio da direção para a segurança da
informação de acordo com os requisitos do negócio e com as leis
e regulamentações relevantes.
• A PSI tem como propósito elaborar critérios para o adequado:
manuseio, armazenamento, transporte e descarte das
informações
• A Política de Segurança é um conjunto de diretrizes, normas,
procedimentos e instruções, destinadas respectivamente aos
níveis estratégico, tático e operacional, com o objetivo de
estabelecer, padronizar e normatizar a segurança tanto no
escopo humano como no tecnológico.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
34

35. | ISO 27000
PSI - Politica de Segurança da Informação
Elaboração da PSI
•
•
•
•
•
•
•
•
Estruturar o Comitê de Segurança;
Definir Objetivos;
Realizar Entrevistas e Verificar a Documentação Existente;
Elaborar o Glossário da Política de Segurança;
Estabelecer Responsabilidades e Penalidades;
Preparar o Documento Final da PSI;
Oficializar a Política da Segurança da Informação;
Sensibilizar os Colaboradores.
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
35

36. | ISO 27000
PSI - Politica de Segurança da Informação
Questões
•
•
•
•
•
•
•
O que significa Segurança da Informação?
Por que os colaboradores devem se preocupar com segurança?
Quais são os objetivos estratégicos de SI?
Como é realizada a gestão da segurança da informação?
O que pensa a alta administração?
Quais são os principais papéis e responsabilidades?
Quais as penalidades previstas?
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
36

37. | ISO 27000
PSI - Politica de Segurança da Informação
Hierarquia
Políticas
Normas e
Padrões
Procedimentos e
Orientações
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
• Diretrizes
• Determinam o
Cumprimento das
diretrizes
• Como
implementar os
controles
37

38. | ISO 27000
Auditoria de Sistemas de Informação
Servem para analisar e avaliar se foram
desenvolvidos e implementados corretamente:
• Controles sistemas de informação;
• Controle de procedimentos;
• Controle de instalações;
• Outros controles administrativos.
• Pode ser definida uma trilha de auditoria no
sistema (logs de rede, banco de dados, etc).
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
38

39. | ISO 27000
Auditoria de Sistemas de Informação
Exemplo da listagem realizada por um auditor:
2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
39