SlideShare uma empresa Scribd logo

ISO 27000 documento

Efrain Saavedra
Efrain Saavedra

Aula sobre Segurança da Informação (2013)

Tecnologia
1 de 39
Baixar para ler offline
| ISO 27000 Efrain Cristian Zúñiga Saavedra Metrus Instituto de Seguridade Social SEGURANÇA DA INFORMAÇÃO 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 1
| ISO 27000 Gestão de Riscos ISO 38500 Governança de TI Segurança Estratégica e Gerenciamento de Crises CobIT 4.1 Gestão de Segurança da Informação ISO 27002 ISO 27002 ISO 27005 ISO 31000 Leis e Regulamentações CobIT DS.5 Leis e Regulamentações Responsabilidade Social e Corporativa Segurança Saúde e Meio Ambiente ISO 27001 ISO 27005 ISO 14001 ISO 26001 OHSAS 18001 NBR 16001 BS 25998-1 Continuidade de Negócios BS 25998-2 BS 25777-1 CobIT DS.4 Fonte: Daryus 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 2
| ISO 27000 O que são Normas? • Normas são documentos estabelecidos em consenso e aprovado por organismos reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto. • É aquilo que se estabelece como medida para a realização de uma atividade. • Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 3
| ISO 27000 Objetivos da normalização • Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; • Segurança: proteger a vida humana e a saúde; • Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; • Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial. Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 4
| ISO 27000 Quem faz Normas? • • • • ISO (International Organization for Standardization) IEC (International Electrotechnical Commission) BSI Group ABNT ( Associação Brasileira de Normas Técnicas) Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 5
| ISO 27000 A Família ISO/IEC 27000 Fonte: ISO 27000 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 6
| ISO 27000 Quem faz Normas? Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 7
| ISO 27000 Arquitetura da Informação A arquitetura da informação se constitui numa série de ferramentas que adaptam os recursos às necessidades da informação. Ela conecta os processos, os comportamentos, os métodos, a estrutura e o espaço físico, incluindo mapas, diretórios e padrões relacionados com o uso e armazenamento das informações. Fonte: Thomas H. Davenport 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 8
| ISO 27000 Ciclo de vida da informação Fonte: Content Management 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 9
| ISO 27000 Gestão da informação Formula e dirige a politica relativa à entrega de informações em uma organização. “Entregar a informação certa as pessoas certas no tempo certo” 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 10
| ISO 27000 Aspectos da confiabilidade da informação CID • Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição). • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 11
| ISO 27000 Obtendo a segurança da informação É obtida por meio de controles adequados para garantir queos objetivos do negocio e de segurança da organização sejam atendidos. Os controles podem ser: • • • • • Politicas; Processos; Procedimentos; Estruturas Organizacionais; Funções de SW e HW. Este conjunto de controles adequados precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 12
| ISO 27000 A evolução da segurança da informação Período (Anos) Ambiente da Informação Tipo de Proteção Foco Segurança da Informação 50 a 70 Eletromecanico Dados Confidencialidade Inexistente ou Militar 70 a 80 Mainframe Dados Confidencialidade Retaguarda via informática ou Militar 80 a 90 Mainframe e Rede Dados e Informação Confidencialidade e Integridade Retaguarda informática, Administração e Operação 90 a 2000 Mainframe em declínio. Redes computacioanais, redes IP, Internet Dados, informação, Confidencialidade, Integridade e conhecimento, imagem e Disponibilidade voz 2000 a 2010 Redes de alta velocidade, rede sem fio Dados, informação, conhecimento, imagem, sons e outros Confidencialidade, Integridade e Disponibilidade Informática, Administração e Operação Responsabilidade de todos Fonte: Daryus 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 13
| ISO 27000 Definições sobre Risco Risco: Combinação da probabilidade de um evento e suas consequências (ISO Guide 73:2002). Tratamento do Risco: Processo de tratamento, seleção e implementação das medidas para modificar o risco (ISO Guide 73:2002). Risco Residual: Risco remanescente após o tratamento 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 14
| ISO 27000 Ameaças Ameaça: Uma potencial causa de incidente (BS ISO/IEC 1335:1 2004). Ameaça: Todo e qualquer perigo eminente, seja natural, humana, tecnológica, física ou político-econômica. Exemplos: vandalismo, roubo e furto, sabotagem, incêndio, raios, inundação, enchente, falha de servidores, falha humana, acesso de pessoas não autorizadas. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 15
| ISO 27000 Ameaças à segurança da informação Código Malicioso (Malware) Termo genérico que se refere a todos os tipos de programas que executam ações maliciosas em um computador. São exemplos: • Vírus • Worms • Spywares • Bot e Botnet • Backdoor • Trojans e Rootkits 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 16
| ISO 27000 Ameaças à segurança da informação Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 17
| ISO 27000 Ameaças à segurança da informação Tipos de Vírus Vírus propagado por e-mail: recebido como um arquivo anexo a um email cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado. Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros). Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 18
| ISO 27000 Ameaças à segurança da informação Worm Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. 19 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
| ISO 27000 Ameaças à segurança da informação Spyware É um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso: Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado. Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha). 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 20
| ISO 27000 Ameaças à segurança da informação Bot e botnet Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 21
| ISO 27000 Ameaças à segurança da informação Backdoor Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 22
| ISO 27000 Ameaças à segurança da informação Cavalo de troia (Trojan) Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 23
| ISO 27000 Ameaças à segurança da informação Rootkit Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para: • instalar códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; • esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc; • mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; • capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 24
| ISO 27000 Ameaças à segurança da informação Engenharia Social (Golpes) Método de ataque onde a pessoa faz uso de persuasão, muitas vezes abusando da ingenuidade do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 25
| ISO 27000 Ameaças à segurança da informação Hacking Hacker: Individuo com conhecimentos profundos de sistemas computacionais. Conhece e procura novas falhas de segurança dos sistemas e está sempre estudando novas vulnerabilidades existentes. Cracker: Utiliza seus conhecimentos e ferramentas de terceiros para finalidades obscuras ou a fim de gerar prejuízo a corporações, entidades e outros. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 26
| ISO 27000 Ameaças à segurança da informação Hoax Boato por e-mail que possui conteúdo alarmante ou falso. Geralmente tem como remetente ou aponta como autora da mensagem alguma instituição, empresa importante ou orgão governamental. Muito utilizado como instrumento de engenharia social para disseminar “cavalos de Tróia”. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 27
| ISO 27000 Ameaças à segurança da informação Phishing Mensagem falsa e não solicitada que procura induzir usuários ao fornecimento de dados pessoais e financeiros. • Passa-se por comunicação de uma instituição conhecida como banco, empresa ou site popular; • Pode induzir o usuário a instalar um código malicioso; • Pode apresentar formulários para envio de dados. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 28
| ISO 27000 Vulnerabilidades As vulnerabilidades características ou falhas em sistemas (ex: não atualização), que podem ser exploradas por agentes de ameaças (ex: cracker) para que uma ameaça se concretize (ex: invasão); • Grau de exposição: medida numérica ou de sensibilidade a qual está exposto em grau menor ou maior um determinado ativo. • Probabilidade de ocorrência: medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante um periodo pré-determinado; • Vulnerabilidade: uma fraqueza de um ativo que pode ser explorada por uma ou mais ameaças. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 29
| ISO 27000 Vulnerabilidades 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 30
| ISO 27000 Devemos correr riscos? 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 31
| ISO 27000 Gestão de Riscos ISO 27005 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 32
| ISO 27000 PSI - Politica de Segurança da Informação A Segurança da Informação "inicia" através da definição de uma política clara e concisa acerca da proteção das informações. Através de uma Política de Segurança da Informação, a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos. A PSI deve ser compreendida como a tradução das expectativas da empresa em relação a segurança considerando o alinhamento com os seus objetivos de negócio, estratégias e cultura. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 33
| ISO 27000 PSI - Politica de Segurança da Informação Objetivos e Escopo • Prover uma orientação de apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. • A PSI tem como propósito elaborar critérios para o adequado: manuseio, armazenamento, transporte e descarte das informações • A Política de Segurança é um conjunto de diretrizes, normas, procedimentos e instruções, destinadas respectivamente aos níveis estratégico, tático e operacional, com o objetivo de estabelecer, padronizar e normatizar a segurança tanto no escopo humano como no tecnológico. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 34
| ISO 27000 PSI - Politica de Segurança da Informação Elaboração da PSI • • • • • • • • Estruturar o Comitê de Segurança; Definir Objetivos; Realizar Entrevistas e Verificar a Documentação Existente; Elaborar o Glossário da Política de Segurança; Estabelecer Responsabilidades e Penalidades; Preparar o Documento Final da PSI; Oficializar a Política da Segurança da Informação; Sensibilizar os Colaboradores. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 35
| ISO 27000 PSI - Politica de Segurança da Informação Questões • • • • • • • O que significa Segurança da Informação? Por que os colaboradores devem se preocupar com segurança? Quais são os objetivos estratégicos de SI? Como é realizada a gestão da segurança da informação? O que pensa a alta administração? Quais são os principais papéis e responsabilidades? Quais as penalidades previstas? 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 36
| ISO 27000 PSI - Politica de Segurança da Informação Hierarquia Políticas Normas e Padrões Procedimentos e Orientações 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra • Diretrizes • Determinam o Cumprimento das diretrizes • Como implementar os controles 37
| ISO 27000 Auditoria de Sistemas de Informação Servem para analisar e avaliar se foram desenvolvidos e implementados corretamente: • Controles sistemas de informação; • Controle de procedimentos; • Controle de instalações; • Outros controles administrativos. • Pode ser definida uma trilha de auditoria no sistema (logs de rede, banco de dados, etc). 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 38
| ISO 27000 Auditoria de Sistemas de Informação Exemplo da listagem realizada por um auditor: 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 39

Recomendados

Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Análise, projeto e implementação de sistemas
Análise, projeto e implementação de sistemasAnálise, projeto e implementação de sistemas
Análise, projeto e implementação de sistemasDiego Marek
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 

Recomendados

Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoRodrigo Bueno Santa Maria, BS, MBA
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoJean Israel B. Feijó
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Análise, projeto e implementação de sistemas
Análise, projeto e implementação de sistemasAnálise, projeto e implementação de sistemas
Análise, projeto e implementação de sistemasDiego Marek
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoFábio Ferreira
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Aula 1 - Introdução ao Conteúdo de Banco de Dados
Aula 1 - Introdução ao Conteúdo de Banco de DadosAula 1 - Introdução ao Conteúdo de Banco de Dados
Aula 1 - Introdução ao Conteúdo de Banco de DadosHenrique Nunweiler
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosLeinylson Fontinele
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)Janynne Gomes
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Redes 3 protocolos
Redes 3 protocolosRedes 3 protocolos
Redes 3 protocolosMauro Pereira
 
Redes de Computadores
Redes de Computadores Redes de Computadores
Redes de Computadores claudioatx
 
Sistema Português de Qualidade
Sistema Português de QualidadeSistema Português de Qualidade
Sistema Português de QualidadeI.Braz Slideshares
 
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de DadosBanco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de DadosLeinylson Fontinele
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
ITIL 4
ITIL 4ITIL 4
ITIL 4CompanyWeb
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Carlos Henrique Martins da Silva
 
Aula 01 - Fundamentos de Banco de Dados (2).pdf
Aula 01 - Fundamentos de Banco de Dados (2).pdfAula 01 - Fundamentos de Banco de Dados (2).pdf
Aula 01 - Fundamentos de Banco de Dados (2).pdfMarcelo Silva
 
Introdução à Arquitetura de Computadores
Introdução à Arquitetura de ComputadoresIntrodução à Arquitetura de Computadores
Introdução à Arquitetura de ComputadoresMauro Pereira
 
Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 

Mais conteúdo relacionado

Mais procurados

Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoLuiz Arthur
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoCarlos De Carvalho
 
Aula 1 - Introdução ao Conteúdo de Banco de Dados
Aula 1 - Introdução ao Conteúdo de Banco de DadosAula 1 - Introdução ao Conteúdo de Banco de Dados
Aula 1 - Introdução ao Conteúdo de Banco de DadosHenrique Nunweiler
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosLeinylson Fontinele
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)Janynne Gomes
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Redes de Computadores
Redes de Computadores Redes de Computadores
Redes de Computadores claudioatx
 
Sistema Português de Qualidade
Sistema Português de QualidadeSistema Português de Qualidade
Sistema Português de QualidadeI.Braz Slideshares
 
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de DadosBanco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de DadosLeinylson Fontinele
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informaçãoClausia Antoneli
 
Aula 01 - Fundamentos de Banco de Dados (2).pdf
Aula 01 - Fundamentos de Banco de Dados (2).pdfAula 01 - Fundamentos de Banco de Dados (2).pdf
Aula 01 - Fundamentos de Banco de Dados (2).pdfMarcelo Silva
 
Introdução à Arquitetura de Computadores
Introdução à Arquitetura de ComputadoresIntrodução à Arquitetura de Computadores
Introdução à Arquitetura de ComputadoresMauro Pereira
 

Mais procurados (20)

Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Seguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - NovoSeguranca da Informação - Introdução - Novo
Seguranca da Informação - Introdução - Novo
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Conceitos básicos de segurança da informação
Conceitos básicos de segurança da informaçãoConceitos básicos de segurança da informação
Conceitos básicos de segurança da informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Aula 1 - Introdução ao Conteúdo de Banco de Dados
Aula 1 - Introdução ao Conteúdo de Banco de DadosAula 1 - Introdução ao Conteúdo de Banco de Dados
Aula 1 - Introdução ao Conteúdo de Banco de Dados
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
Aula 4 - Diagrama Entidade Relacionamento (com exercício no final)
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Redes 3 protocolos
Redes 3 protocolosRedes 3 protocolos
Redes 3 protocolos
 
Redes de Computadores
Redes de Computadores Redes de Computadores
Redes de Computadores
 
Sistema Português de Qualidade
Sistema Português de QualidadeSistema Português de Qualidade
Sistema Português de Qualidade
 
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de DadosBanco de Dados I Aula 02 - Introdução aos Bancos de Dados
Banco de Dados I Aula 02 - Introdução aos Bancos de Dados
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
ITIL 4
ITIL 4ITIL 4
ITIL 4
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Aula 01 - Fundamentos de Banco de Dados (2).pdf
Aula 01 - Fundamentos de Banco de Dados (2).pdfAula 01 - Fundamentos de Banco de Dados (2).pdf
Aula 01 - Fundamentos de Banco de Dados (2).pdf
 
Introdução à Arquitetura de Computadores
Introdução à Arquitetura de ComputadoresIntrodução à Arquitetura de Computadores
Introdução à Arquitetura de Computadores
 

Destaque

Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01profandreson
 
Apresentaçã Comitê - 23-07-2010
Apresentaçã Comitê - 23-07-2010Apresentaçã Comitê - 23-07-2010
Apresentaçã Comitê - 23-07-2010alaseplan
 
Criptografia em segurança da informação
Criptografia em segurança da informaçãoCriptografia em segurança da informação
Criptografia em segurança da informaçãoEwerton Almeida
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - FirewallLuiz Arthur
 
Segurança da Informação - Aula 4 - Malwares
Segurança da Informação - Aula 4 - MalwaresSegurança da Informação - Aula 4 - Malwares
Segurança da Informação - Aula 4 - MalwaresCleber Fonseca
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
ISO 27002
ISO 27002ISO 27002
ISO 27002DGT
 
Segurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de SegurançaSegurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de SegurançaNatanael Simões
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
Hardware, sistemas de computação corporativos e de usuário final
Hardware, sistemas de computação corporativos e de usuário finalHardware, sistemas de computação corporativos e de usuário final
Hardware, sistemas de computação corporativos e de usuário finalFábio Ferreira
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Segurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e ScreelonggerSegurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e ScreelonggerCleber Ramos
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 

Destaque (20)

Segurança da informação - Aula 01
Segurança da informação - Aula 01Segurança da informação - Aula 01
Segurança da informação - Aula 01
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 
Apresentaçã Comitê - 23-07-2010
Apresentaçã Comitê - 23-07-2010Apresentaçã Comitê - 23-07-2010
Apresentaçã Comitê - 23-07-2010
 
Criptografia em segurança da informação
Criptografia em segurança da informaçãoCriptografia em segurança da informação
Criptografia em segurança da informação
 
Segurança da Informação - Firewall
Segurança da Informação - FirewallSegurança da Informação - Firewall
Segurança da Informação - Firewall
 
Segurança da Informação - Aula 4 - Malwares
Segurança da Informação - Aula 4 - MalwaresSegurança da Informação - Aula 4 - Malwares
Segurança da Informação - Aula 4 - Malwares
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da Informação
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Segurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de SegurançaSegurança da Informação - Políticas de Segurança
Segurança da Informação - Políticas de Segurança
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
 
Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de Segurança
 
Hardware, sistemas de computação corporativos e de usuário final
Hardware, sistemas de computação corporativos e de usuário finalHardware, sistemas de computação corporativos e de usuário final
Hardware, sistemas de computação corporativos e de usuário final
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Segurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e ScreelonggerSegurança de Redes - Keylogger e Screelongger
Segurança de Redes - Keylogger e Screelongger
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 

Semelhante a ISO 27000 documento

Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)Cleiton Cunha
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxricardocapozzi1
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Diego BBahia
 
Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Jorge Quintao
 
Práticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasPráticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasJorge Quintao
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeSymantec Brasil
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1Simba Samuel
 
Amelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucionalAmelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucionalLuiz Amelotti
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Symantec Brasil
 
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMINTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMSymantec Brasil
 

Semelhante a ISO 27000 documento (20)

Conceitos TI
Conceitos TIConceitos TI
Conceitos TI
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Aula 32 - Internet
Aula 32 - InternetAula 32 - Internet
Aula 32 - Internet
 
T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)T.A.R Aula 3 (1ª Unidade)
T.A.R Aula 3 (1ª Unidade)
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas Praticas de uso da internet dentro de empresas
Praticas de uso da internet dentro de empresas
 
Práticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresasPráticas de uso da internet dentro das empresas
Práticas de uso da internet dentro das empresas
 
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o CybercrimeBe Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
Be Aware Webinar Symantec - Dados Médicos: Uma mina de ouro para o Cybercrime
 
Segurança de informação1
Segurança de informação1Segurança de informação1
Segurança de informação1
 
Amelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucionalAmelotti Tecnologia e Sistemas - Apresentação institucional
Amelotti Tecnologia e Sistemas - Apresentação institucional
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
 
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMINTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
 

ISO 27000 documento

  • 1. | ISO 27000 Efrain Cristian Zúñiga Saavedra Metrus Instituto de Seguridade Social SEGURANÇA DA INFORMAÇÃO 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 1
  • 2. | ISO 27000 Gestão de Riscos ISO 38500 Governança de TI Segurança Estratégica e Gerenciamento de Crises CobIT 4.1 Gestão de Segurança da Informação ISO 27002 ISO 27002 ISO 27005 ISO 31000 Leis e Regulamentações CobIT DS.5 Leis e Regulamentações Responsabilidade Social e Corporativa Segurança Saúde e Meio Ambiente ISO 27001 ISO 27005 ISO 14001 ISO 26001 OHSAS 18001 NBR 16001 BS 25998-1 Continuidade de Negócios BS 25998-2 BS 25777-1 CobIT DS.4 Fonte: Daryus 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 2
  • 3. | ISO 27000 O que são Normas? • Normas são documentos estabelecidos em consenso e aprovado por organismos reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um dado contexto. • É aquilo que se estabelece como medida para a realização de uma atividade. • Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 3
  • 4. | ISO 27000 Objetivos da normalização • Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; • Segurança: proteger a vida humana e a saúde; • Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; • Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial. Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 4
  • 5. | ISO 27000 Quem faz Normas? • • • • ISO (International Organization for Standardization) IEC (International Electrotechnical Commission) BSI Group ABNT ( Associação Brasileira de Normas Técnicas) Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 5
  • 6. | ISO 27000 A Família ISO/IEC 27000 Fonte: ISO 27000 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 6
  • 7. | ISO 27000 Quem faz Normas? Fonte: ABNT 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 7
  • 8. | ISO 27000 Arquitetura da Informação A arquitetura da informação se constitui numa série de ferramentas que adaptam os recursos às necessidades da informação. Ela conecta os processos, os comportamentos, os métodos, a estrutura e o espaço físico, incluindo mapas, diretórios e padrões relacionados com o uso e armazenamento das informações. Fonte: Thomas H. Davenport 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 8
  • 9. | ISO 27000 Ciclo de vida da informação Fonte: Content Management 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 9
  • 10. | ISO 27000 Gestão da informação Formula e dirige a politica relativa à entrega de informações em uma organização. “Entregar a informação certa as pessoas certas no tempo certo” 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 10
  • 11. | ISO 27000 Aspectos da confiabilidade da informação CID • Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. • Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição). • Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 11
  • 12. | ISO 27000 Obtendo a segurança da informação É obtida por meio de controles adequados para garantir queos objetivos do negocio e de segurança da organização sejam atendidos. Os controles podem ser: • • • • • Politicas; Processos; Procedimentos; Estruturas Organizacionais; Funções de SW e HW. Este conjunto de controles adequados precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 12
  • 13. | ISO 27000 A evolução da segurança da informação Período (Anos) Ambiente da Informação Tipo de Proteção Foco Segurança da Informação 50 a 70 Eletromecanico Dados Confidencialidade Inexistente ou Militar 70 a 80 Mainframe Dados Confidencialidade Retaguarda via informática ou Militar 80 a 90 Mainframe e Rede Dados e Informação Confidencialidade e Integridade Retaguarda informática, Administração e Operação 90 a 2000 Mainframe em declínio. Redes computacioanais, redes IP, Internet Dados, informação, Confidencialidade, Integridade e conhecimento, imagem e Disponibilidade voz 2000 a 2010 Redes de alta velocidade, rede sem fio Dados, informação, conhecimento, imagem, sons e outros Confidencialidade, Integridade e Disponibilidade Informática, Administração e Operação Responsabilidade de todos Fonte: Daryus 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 13
  • 14. | ISO 27000 Definições sobre Risco Risco: Combinação da probabilidade de um evento e suas consequências (ISO Guide 73:2002). Tratamento do Risco: Processo de tratamento, seleção e implementação das medidas para modificar o risco (ISO Guide 73:2002). Risco Residual: Risco remanescente após o tratamento 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 14
  • 15. | ISO 27000 Ameaças Ameaça: Uma potencial causa de incidente (BS ISO/IEC 1335:1 2004). Ameaça: Todo e qualquer perigo eminente, seja natural, humana, tecnológica, física ou político-econômica. Exemplos: vandalismo, roubo e furto, sabotagem, incêndio, raios, inundação, enchente, falha de servidores, falha humana, acesso de pessoas não autorizadas. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 15
  • 16. | ISO 27000 Ameaças à segurança da informação Código Malicioso (Malware) Termo genérico que se refere a todos os tipos de programas que executam ações maliciosas em um computador. São exemplos: • Vírus • Worms • Spywares • Bot e Botnet • Backdoor • Trojans e Rootkits 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 16
  • 17. | ISO 27000 Ameaças à segurança da informação Vírus Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 17
  • 18. | ISO 27000 Ameaças à segurança da informação Tipos de Vírus Vírus propagado por e-mail: recebido como um arquivo anexo a um email cujo conteúdo tenta induzir o usuário a clicar sobre este arquivo, fazendo com que seja executado. Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel, Word e PowerPoint, entre outros). Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens MMS. A infecção ocorre quando um usuário permite o recebimento de um arquivo infectado e o executa. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 18
  • 19. | ISO 27000 Ameaças à segurança da informação Worm Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores. 19 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra
  • 20. | ISO 27000 Ameaças à segurança da informação Spyware É um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso: Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado. Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha). 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 20
  • 21. | ISO 27000 Ameaças à segurança da informação Bot e botnet Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 21
  • 22. | ISO 27000 Ameaças à segurança da informação Backdoor Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 22
  • 23. | ISO 27000 Ameaças à segurança da informação Cavalo de troia (Trojan) Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 23
  • 24. | ISO 27000 Ameaças à segurança da informação Rootkit Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para: • instalar códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado; • esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc; • mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede; • capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 24
  • 25. | ISO 27000 Ameaças à segurança da informação Engenharia Social (Golpes) Método de ataque onde a pessoa faz uso de persuasão, muitas vezes abusando da ingenuidade do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 25
  • 26. | ISO 27000 Ameaças à segurança da informação Hacking Hacker: Individuo com conhecimentos profundos de sistemas computacionais. Conhece e procura novas falhas de segurança dos sistemas e está sempre estudando novas vulnerabilidades existentes. Cracker: Utiliza seus conhecimentos e ferramentas de terceiros para finalidades obscuras ou a fim de gerar prejuízo a corporações, entidades e outros. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 26
  • 27. | ISO 27000 Ameaças à segurança da informação Hoax Boato por e-mail que possui conteúdo alarmante ou falso. Geralmente tem como remetente ou aponta como autora da mensagem alguma instituição, empresa importante ou orgão governamental. Muito utilizado como instrumento de engenharia social para disseminar “cavalos de Tróia”. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 27
  • 28. | ISO 27000 Ameaças à segurança da informação Phishing Mensagem falsa e não solicitada que procura induzir usuários ao fornecimento de dados pessoais e financeiros. • Passa-se por comunicação de uma instituição conhecida como banco, empresa ou site popular; • Pode induzir o usuário a instalar um código malicioso; • Pode apresentar formulários para envio de dados. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 28
  • 29. | ISO 27000 Vulnerabilidades As vulnerabilidades características ou falhas em sistemas (ex: não atualização), que podem ser exploradas por agentes de ameaças (ex: cracker) para que uma ameaça se concretize (ex: invasão); • Grau de exposição: medida numérica ou de sensibilidade a qual está exposto em grau menor ou maior um determinado ativo. • Probabilidade de ocorrência: medida provável de ocorrência de uma determinada ameaça se concretizar em um incidente durante um periodo pré-determinado; • Vulnerabilidade: uma fraqueza de um ativo que pode ser explorada por uma ou mais ameaças. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 29
  • 30. | ISO 27000 Vulnerabilidades 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 30
  • 31. | ISO 27000 Devemos correr riscos? 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 31
  • 32. | ISO 27000 Gestão de Riscos ISO 27005 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 32
  • 33. | ISO 27000 PSI - Politica de Segurança da Informação A Segurança da Informação "inicia" através da definição de uma política clara e concisa acerca da proteção das informações. Através de uma Política de Segurança da Informação, a empresa formaliza suas estratégias e abordagens para a preservação de seus ativos. A PSI deve ser compreendida como a tradução das expectativas da empresa em relação a segurança considerando o alinhamento com os seus objetivos de negócio, estratégias e cultura. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 33
  • 34. | ISO 27000 PSI - Politica de Segurança da Informação Objetivos e Escopo • Prover uma orientação de apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. • A PSI tem como propósito elaborar critérios para o adequado: manuseio, armazenamento, transporte e descarte das informações • A Política de Segurança é um conjunto de diretrizes, normas, procedimentos e instruções, destinadas respectivamente aos níveis estratégico, tático e operacional, com o objetivo de estabelecer, padronizar e normatizar a segurança tanto no escopo humano como no tecnológico. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 34
  • 35. | ISO 27000 PSI - Politica de Segurança da Informação Elaboração da PSI • • • • • • • • Estruturar o Comitê de Segurança; Definir Objetivos; Realizar Entrevistas e Verificar a Documentação Existente; Elaborar o Glossário da Política de Segurança; Estabelecer Responsabilidades e Penalidades; Preparar o Documento Final da PSI; Oficializar a Política da Segurança da Informação; Sensibilizar os Colaboradores. 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 35
  • 36. | ISO 27000 PSI - Politica de Segurança da Informação Questões • • • • • • • O que significa Segurança da Informação? Por que os colaboradores devem se preocupar com segurança? Quais são os objetivos estratégicos de SI? Como é realizada a gestão da segurança da informação? O que pensa a alta administração? Quais são os principais papéis e responsabilidades? Quais as penalidades previstas? 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 36
  • 37. | ISO 27000 PSI - Politica de Segurança da Informação Hierarquia Políticas Normas e Padrões Procedimentos e Orientações 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra • Diretrizes • Determinam o Cumprimento das diretrizes • Como implementar os controles 37
  • 38. | ISO 27000 Auditoria de Sistemas de Informação Servem para analisar e avaliar se foram desenvolvidos e implementados corretamente: • Controles sistemas de informação; • Controle de procedimentos; • Controle de instalações; • Outros controles administrativos. • Pode ser definida uma trilha de auditoria no sistema (logs de rede, banco de dados, etc). 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 38
  • 39. | ISO 27000 Auditoria de Sistemas de Informação Exemplo da listagem realizada por um auditor: 2013 ©Copyright. Efrain Cristian Zúñiga Saavedra 39