Post on 07-Jun-2015
prof. Roberto Dias Duarte
Melhor prevenir, que remediar!
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada.
prof. Roberto Dias Duarte
Photographer: Reuters
Políticas, práticas e
procedimentos em Segurança da Informação
prof. Roberto Dias Duarte
Com licença, sou o Roberto
“Conheço apenas minha ignorância”
1a Parte: Sensibilização
Trabalhos• 07.12 - Diagnóstico de segurança da empresa:
contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos)
• 14.12 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro-cronograma. (30 pontos)
• 15.12 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)
prof. Roberto Dias Duarte
Visão executiva
1o TrabalhoDiagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança.
Prazo: 7.12.2011
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,
rentabilidade, retenção de clientes, etc.• 2. Toda organização está inserida em um ecossistema onde há diversos
marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc.
• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais).
• 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas.
• 5. Derivem os processos de segurança e as atividades a partir das políticas.
• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.
1. Contexto empresarial1.2.Visão
É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro.
•1.1. Missão
–É a razão de existência de uma organização.
•1.3. Estratégia
•“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).
2. Públicos
Consumidores Clientes
Parceiros
Investidores
3. Indicadores
4. Normas reguladoras1. Em quais ecossistemas a empresa está inserida?
2. Quais os agentes reguladores e normas?
ANATELANACANEELCMVBACEN
SOXBasiléia
IFRSSPEDNF-eRFBSEFAZ
SindicatosConsumidorClientesFranqueadoresParceirosContratos
5. Lacunas de segurança da informação
1.Liste 7 lacunas de segurança da empresa
2. Relacione as lacunas com os indicadores ou normas
3. Estabeleça as 3 de maior relevância, explicando os motivos
2a Parte: Conceitos Básicos
prof. Roberto Dias Duarte
Situação das empresas
prof. Roberto Dias Duarte
Quer tentar?
prof. Roberto Dias Duarte
Fraude?
prof. Roberto Dias Duarte
O que é fraude?
É um esquema ilícito ou de má fé criado para obter ganhos pessoais.
prof. Roberto Dias Duarte
Fatores primários1 - Existência de golpistas motivados.
• Ineficiência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca fiscalização.
prof. Roberto Dias Duarte
Mas principalmente porque...
o desrespeito às leis é considerado comportamento “normal”.
prof. Roberto Dias Duarte
Quem é a vítima?
prof. Roberto Dias Duarte
• Pouca informação e divulgação preventivas;
• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é considerado comportamento “normal”.
Fatores primários2 - Existência de vítimas vulneráveis
prof. Roberto Dias Duarte
• percepção do problema como não prioritário;
• despreparo das autoridades;
• escassa coordenação de ações contra fraudadores;
• falta de leis específicas e pouca clareza em algumas das existentes.
Fatores primários3 - Falta de controle ou fiscalização
prof. Roberto Dias Duarte
Quem fiscaliza?
prof. Roberto Dias Duarte
Vítima ou golpista?
prof. Roberto Dias Duarte
Segurança da Informação?
prof. Roberto Dias Duarte
Causa potencial de um incidente, que caso se concretize pode resultar em dano
Ameaça?
prof. Roberto Dias Duarte
Falha (ou conjunto) que pode ser explorada por ameaças
Vulnerabilidade?
prof. Roberto Dias Duarte
Evento que comprometa a operação do negócio ou cause dano aos ativos da organização
Incidente?
prof. Roberto Dias Duarte
Resultados de incidentes
Impacto?
prof. Roberto Dias Duarte
Análise de risco
Impacto
Transfere
Probabilidades
Aceita Reduz
Mitiga
prof. Roberto Dias Duarte
Análise de risco
prof. Roberto Dias Duarte
Ativo digital?
prof. Roberto Dias Duarte
Ativo? Intangível?
“Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”
Fonte: http://www.cpc.org.br
prof. Roberto Dias Duarte
É um método de autenticação de informação digital
Assinatura Digital
Não é Assinatura Digitalizada!
Não é Assinatura Eletrônica!
prof. Roberto Dias Duarte
Como funciona?HASH é gerado a partir da chave pública
HASH é armazenado na mensagem
Autor assina a com sua chave privada
Novo HASH é gerado
O HASH é descriptografado partir da chave pública
Novo HASH é comparado com o original
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela
I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”
(Artigo 10o § 1o)
Documentos Digitais
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001
“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”
(Artigo 10o § 2o)
Documentos Digitais
prof. Roberto Dias Duarte
IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade
Caso real
prof. Roberto Dias Duarte
Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos
Sincronizado a “Hora Legal Brasileira”
Carimbo do tempo
prof. Roberto Dias Duarte
Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento
Integridade
prof. Roberto Dias Duarte
Autenticidade
O receptor pode confirmar se a assinatura foi feita pelo emissor
prof. Roberto Dias Duarte
O emissor não pode negar a autenticidade da mensagem
Não repúdio
prof. Roberto Dias Duarte
Confidencialidade
Passo 1: Alice envia sua chave pública para Bob
Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada
prof. Roberto Dias Duarte
Disponibilidade
A informação deve estar disponível apenas para seu uso legítimo
prof. Roberto Dias Duarte
Auditabilidade
Deve haver informação relativa às ações de alteração ou consulta de dados Quem?
Quando?O que fez?
prof. Roberto Dias Duarte
Por que preciso saber disso?
prof. Roberto Dias Duarte
Ecosistema Fiscal
Vendeu?
Comprou?
Produziu?
Entregou?
Cliente
Fornecedor
Recebeu?
Pagou?
Contador
Fisco
Tem nota?
EFD ICMS/IPIEFD/CIAP
EFD PIS/COFINSEFD/FOLHA
Estoque?
SPED ContábilEFD Contábil
NF-eNFS-eCF-eCC-e
CT-eBrasil-id
Siniav
NF-eNFS-eCF-eCC-e
NF-eNFS-eCF-eCC-e
prof. Roberto Dias Duarte
Vamos entender as principais
vulnerabilidades das empresas no mundo do
pós-SPED?
prof. Roberto Dias Duarte
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)
Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”
O que é a Nota Eletrônica?
prof. Roberto Dias Duarte
Documento Fiscal Digital
prof. Roberto Dias Duarte
Livro Contábil Digital
prof. Roberto Dias Duarte
Livro Fiscal Digital (ICMS/IPI)
prof. Roberto Dias Duarte
Mas, nada muda na minha empresa, certo?
prof. Roberto Dias Duarte
Vulnerabilidade #1
Tenho que verificar o arquivo XML
Ajuste SINIEF 07/2005
Cláusula décima
§ 1º O destinatário deverá ver ificar a v a l i d a d e e autenticidade da NF-e e a exi s tência de Autorização de Uso da NF-e.
prof. Roberto Dias Duarte
Vulnerabilidade #2
Nota autorizada não me livra do "passivo fiscal"
prof. Roberto Dias Duarte
Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.
Vulnerabilidade #2
Ajuste SINIEF 07/2005
Cláusula quarta
prof. Roberto Dias Duarte
Vulnerabilidade #3
Só posso cancelar NF-e se a mercadoria não circulou....
prof. Roberto Dias Duarte
Vulnerabilidade #3ATO COTEPE/ICMS Nº 33 /2008
Efeitos a partir de 01.01.12:
Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.
prof. Roberto Dias Duarte
Vulnerabilidade #4
Tenho que enviar o arquivo XML ao destinatário e ao transportador
prof. Roberto Dias Duarte
Vulnerabilidade #4Cláusula Sétima
§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t ado r co nt r at ado, imediatamente após o recebimento da autorização de uso da NF-e.
Ajuste SINIEF 07/2005
prof. Roberto Dias Duarte
Vulnerabilidade #5
Tenho que guardar o arquivo XML
prof. Roberto Dias Duarte
Vulnerabilidade #5
Ajuste SINIEF 07/2005
Cláusula décimaO emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...)
§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.
§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.
prof. Roberto Dias Duarte
Vulnerabilidade #6Troca de identidade
prof. Roberto Dias Duarte
Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais
eCPF, eCNPJ, ePJ
A1, A3, HSM
prof. Roberto Dias Duarte
O que causa vulnerabilidade?
prof. Roberto Dias Duarte
Causas das vulnerabilidades
Falta de conhecimento Ganância: preços abaixo do
mercado Desrespeito as leis encarado
como comportamento comum
Tecnologia precária
prof. Roberto Dias Duarte
Consequências
prof. Roberto Dias Duarte
Consequências
Mercadorias sem documento idôneo
Mercadorias de origem ilícita Problemas fiscais: documentos
inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e
outros documentos
prof. Roberto Dias Duarte
Tenho como evitar?
prof. Roberto Dias Duarte
Solução: Paradigma do século XXI
Conhecimento
Comportamento
Tecnologia
prof. Roberto Dias Duarte
Ação preventivas básicas
prof. Roberto Dias Duarte
O dono da bola Quem é o responsável pela gestão da informação?
Definições:
políticas de segurança
políticas de backup
políticas de contingência
prof. Roberto Dias Duarte
Termo de compromisso
Formaliza responsabilidades:
Sigilo de informações;
Cumprimento de normas de segurança;
Conduta ética.
prof. Roberto Dias Duarte
Autenticação individual
Identifica as pessoas:
Senha;
Cartão ou token;
Biometria;
Certificado Digital.
prof. Roberto Dias Duarte
“Empréstimo” de senha
prof. Roberto Dias Duarte
Cópias de segurançaQual a política definida?
Qual a cópia mais antiga?
Os arquivos das estações têm cópias?
Os servidores têm cópias?
Onde são armazenadas?
Em que tipo de mídia?
prof. Roberto Dias Duarte
Software homologadoItens de verificação:
manutenção
treinamento
suporte
condições comerciais
capacidade do fabricante
tendências
prof. Roberto Dias Duarte
Uso de antivírusPrevenção além do software:
Anexos
Executável? No way!
Download? Só de sites confiáveis
Backup, sempre
Educação
prof. Roberto Dias Duarte
O CaronaPrevenção contra
“sessões abertas” em sua ausência:
Conduta: Suspensão ou encerramento da sessão;
Mecanismo: Suspensão ou encerramento da sessão.
prof. Roberto Dias Duarte
Correio eletrônico Pishing
Muitos golpes:
Notícias falsas
Propostas “irresistíveis”
Seu CPF foi...
Atualize sua senha...
blá, blá, blá...
prof. Roberto Dias Duarte
Informações pessoais Cuidado com informação de:
Funcionários
Clientes
Parceiros
Quem pode acessar?
Parceiros?
Uso comercial?
prof. Roberto Dias Duarte
Ambiente FísicoAhhh, reuniões rápidas:
no elevador
na festa
no avião
Quadros, flip chart, relatórios, etc
Lixão, de novo?
Quem entra, quem sai?
prof. Roberto Dias Duarte
Engenharia socialProcedimentos para obtenção de informações
através de contatos falsos
“Conversa de malandro”
Lixão
Habilidades do farsante:
fala com conhecimento
adquire confiança
presta “favor”
prof. Roberto Dias Duarte
Uso da Internet & Redes Sociais
Qual a sua opinião?
prof. Roberto Dias Duarte
Uso da Internet & Redes Sociais
prof. Roberto Dias Duarte
Uso da Internet & Redes Sociais
prof. Roberto Dias Duarte
Ações preventivas
Conhecimento
Análise
Planejamento
Investimento
Educação.
Física
Software
Humana
prof. Roberto Dias Duarte
Ações detectivas
Quanto antes, melhor
Monitoramento de eventos
O que monitorar?
Conhecimento
Análise
Planejamento
Investimento
prof. Roberto Dias Duarte
Ações corretivas
Minimizar o problema
Quanto mais rápido, melhor
prof. Roberto Dias Duarte
Plano de continuidade
Conhecimento
Análise
Planejamento
Investimento
Educação
Simulação
Contexto empresarial
Mapeamento de riscos
prof. Roberto Dias Duarte
Direitos do usuário
Acesso individual
Informações para trabalhar
Saber o que é rastreado
Conhecer as políticas e normas
Ser avisado sobre tentativas de invasão
Treinamento sobre segurança
Comunicar ocorrências de segurança
Garantia de privacidade
Ser mais importante que a tecnologia
prof. Roberto Dias Duarte
Mensagem sobre o segurança
2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma.
Prazo: 14.5.2011 às 07:40
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunas relacionadas3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.
Apresentação do 2o trabalho
Data: 14/12/2011
Prazo para ajustes: de 19:00 às 19:30
Apresentações: de 19:30 às 20:30
3a Parte:Visão de Gestão
Qual é a estrutura da sua organização?
Governaça“É o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)
Governaça•Visão–É o sonho da organização, é o
futuro do negocio e onde a organização espera estar nesse futuro.
•Missão–É a razão de existência de
uma organização.
Governaça
•Transparência–Mais do que "a
obrigação de informar", a administração deve cultivar o "desejo de informar"
Governaça•Equidade–Tratamento justo e
igualitário de todos os grupos minoritários (stakeholdres).
Stakeholders & Shareholders
•Equilíbrio:– Regulamentações– Forças corporativas
Qual a relação entre equilíbrio e segurança?
Balanceando pressões
Balanceando pressões
Balanceando pressões• Compliance: “conjunto
de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)
Balanceando pressões
•Risco x Conformidade:
–100% de conformidade garante 100% de segurança?
Desafios da Governança
Gerenciar riscos x investimentos adequados
Manter organização segura
Seguir padrões Atender às exigências
regulatórias
Quais&são&os&principais&
desafios&de&sua&organização?
Desafios da Governança
Gerenciar riscos x investimentos adequados
Manter organização segura
Seguir padrões Atender às exigências
regulatórias
Quais&são&os&principais&
desafios&de&sua&organização?
Sucesso na GSI
Qual&a&realidade&de&
sua&organização?
Comunicação: direção, gerências e operação
Planejamento alinhado à estratégia
Políticas aderentes aos requisitos legais
Nível de maturidade coerente com contexto de riscos
Estruturar controles de segurança (frameworks)
Monitorar a eficácia e eficiência
Melhores Práticas
Qual&as&prá6cas&de&sua&organização?
•Personalizar as práticas ao negócio
–“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”
Melhores PráticasCuidado com:
OrçamentoPessoas
Fundamentos de ITIL
Cobit: parte 1
Cobit: parte 2
Cobit: parte 3
Cobit: parte 4
Cobit
Cobit: Alinhamento
Cobit: metas e medidas
Cobit: framework
Cobit: framework
3o Trabalho - parte I
3o Trabalho - parte IElaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05
1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio.2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 17799
• “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 27000
• ISO 27000 - Vocabulário de Gestão da Segurança da Informação;• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);• ISO 27003 - Aborda a gestão de risco;• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do sistema de controles;
• ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 27001
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 17799/27002
• Framework –Políticas de segurança–Segurança organizacional–Segurança das pessoas–Segurança física e do ambiente–Gerenciamento das operações–Controle de acesso–Desenvolvimento e manutenção de sistemas–Gestão da continuidade do negócio–Conformidade
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Metodologia Octave
• Origem: Software Engineering Institute (SEI) da Carnigie Mellon University
• Antes de avaliar o risco: entender o negócio, cenário e contexto
• Octave Method (grandes organizações) e Octave-S (pequenas)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Use Octave-S, se:
• Hierarquia simples• Menos de 300 funcionários• Metodologia estruturada com pouca
customização• Há muita terceirização na TI• Infraestrutura simples
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos–Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos–Processo 3: Conhecimento de cada
departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 2a Fase: Identificar vulnerabilidades da infraestrutura–Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos recursos–Processo 6: Avaliar componentes-chave dos
recursos
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 3a Fase: Desenvolver estratégias e planos de segurança–Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)–Processo 8: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 1a Fase: Identifica ativos com base nos perfis de ameaça–Processo S1: Identificar ativos, definir critérios de
avaliação dos impactos e situação atual das práticas de segurança
–Processo S2: Criar perfis de ameaças e definir exigências de segurança
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 2a Fase: Identificar vulnerabilidades da infraestrutura–Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 3a Fase: Desenvolver estratégias e planos de segurança–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 3a Fase: Desenvolver estratégias e planos de segurança–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave: Atividades para Gestão de Riscos• Identificação dos riscos• Análise e classificação quanto à criticidade• Criação de plano estratégico para proteção• Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação• Monitoramento da execução dos planos• Controle das variações
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão ampla
DESEMPENHO: Metas de Negócio
CONFORMIDADE Basel II, Sarbanes-
Oxley Act, etc.
Governança Corporativa
Governança de TI
ISO 9001:2000
ISO 17799
ISO 20000
Melhores práticas
Procedimentos de QA
Processos e procedimentos
Direcionadores
COBIT
COSO
Princípios de Segurança ITIL
BSC
Where Does COBIT Fit?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Então?
• ITIL• Cobit• ISO• Octave• BSC
O&que&devo&adotar&em&minha&
empresa?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Paradigmas
• “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as
partes interessadas e garantir o sucesso do
projeto, sempre focada no negócio”
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Partes interessadas
Quais&são&os&principais&
stakeholders&de&sua&
organização?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Riscos
• Desafio: conhecer os riscos
• Riscos determinam os processos de segurança da metodologia/framework
Por que adotar o gerenciamento de
riscos de segurança da informação em sua organização?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Tipos de Riscos
• Estratégico e empresarial (negócios)• Humano• Tecnológico• Imagem• Legal
Quais&são&os&principais&
riscos&de&sua&organização?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão executiva
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão executiva
• Comunicação• Foco no negócio• Alinhamento estratégico• Custo x diferencial competitivo• Recursos de TI como portfólio de
investimentos
Na&sua&empresa,&TI&é&custo&ou&
diferencial?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Contexto da organização• Organograma: formal x real• Sensibilização e conscientização• Linguagem• Benchmark
Você&fala&&“javanês”&com&os&
execu6vos?
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Conceito de processo:–sequências semi-repetitivas de eventos que,
geralmente, estão distribuídas de forma ampla pelo tempo e espaço
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Mapeando processos:–Enumerar atividades–Ordernar em forma sequencial–Identificar entradas e saídas
• recursos• infraestrutura• insumos• matéria-prima• fornecedores
–Estabelecer características de produtos/serviços
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Mapeando processos:–Definir documentação para operação e controle–Estabelecer indicadores de eficácia–Definir plano de controle
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Nível de maturidade:–Obter conhecimento sobre os procedimentos–Otimizar processos (melhores práticas)–Comparar (benchmark)–Adotar políticas –Utilizar a TI como facilitador–Definir processos de riscos–Integrar riscos–Monitorar falhas e melhorias–Realinhar processos
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Cobit: níveis de maturidade
• Nível 0: inexistente
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 1: Inicial–Consciência mínima da necessidade de
Governança–Estruturas desorganizadas, sem padrões–Suporte e TI não integrados–Ferramentas e serviços não integrados–Serviços reativos a incidentes
Cobit: níveis de maturidade
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 2: Repetitivo–Consciência relativa da necessidade de
Governança–Atividades de governança e medidores em
desenvolvimento–Estruturas pouco organizadas, sem padrões–Serviços realizados sem metodologia–Repetição de incidentes–Sem controle de mudanças
Cobit: níveis de maturidade
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 3: Definido–Alta consciência sobre Governança –Processos padronizados, implementados e
documentodos–Controle de mudanças–Métricas e indicadores consistentes–Inexistência de SLA
Cobit: níveis de maturidade
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 4: Gerenciado–Consciência da importância de Governança –SLA’s e catálogos de serviços–Inexistência de gestão financeira–TI ainda não é vista como benefício para o
negócio–Início do processo de melhoria contínua
Cobit: níveis de maturidade
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 5: Otimizado–Consciência total–Gestão financeira de TI –Melhores práticas adotadas e gerenciadas–Melhoria contínua de processos–Otimização contínua de TI
Cobit: níveis de maturidade
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Linha do tempo
Maturidade)
2)a)5)anos)Tempo)
Ad3Hoc,)“Só)faço))Quando)preciso”))3)Rea?vo)
Felicidade)Fase)“Não)sei))de)nada”)
Fase)Rea?vo,)Implementação)Fragmentada)
Fase)da))Consolidação)
Fase)da))Excelência)Operacional)
Acelerar)projetos)Para)reagir)as)solicitações)
Criar)Inventários))Para)inicia?vas)de)
Governança)Inicia)um)abordagem)
Unificado)de))Governança)
Melhoria)con?nua))do)processo)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Por que evoluir processos?• Evita desperdícios de esforços e recursos• Visão de processos e responsabilidades• Investimentos claros e alinhados ao negócio• Planejamento de longo prazo
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Processos de TI–Modelo de maturidade–Fatores críticos de sucesso–Indicadores de metas–Indicadores de desempenho
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Fatores críticos de sucesso (CFS)–importância estratégica–expressos em termos de processos–mensuráveis
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Indicadores de metas (KGI)–verificam se os processos alcançaram as metas–“O que atingir?”–indicadores imediatos de sucesso–mensuráveis
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Indicadores de desempenho (KPI)–orientados a processos–definem o desempenho dos processos–mensuráveis
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Integrando Medidores
• Security Scorecard–CFS definidos para um processo–São monitorados por KPI’s–Devem atingir os KGI’s
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Integrando Medidores
• Implantando–1a etapa: Definir indicadores–2a etapa: Sensibilizar pessoas e planejar
mensuração–3a etapa: Treinar pessoas, coletar e validar dados–4a etapa: Corrigir e previnir
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governança de SI
• Visão e missão estratégicas:–Governança Corporativa:
• Governança de TI• Governança de SI
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)4a parte: Implantando políticas de SI
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Políticas de SI
• Informações são ativos• Envolvimento da alta gestão• Responsabilidade formal dos colaboradores• Estabelecimento de padrões
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Políticas de SI: Características• Simples• Compreensíveis• Homologadas e assinadas pela alta gestão• Estruturada para implantação em fases• Alinhadas com o negócio• Orientadas aos riscos• Flexíveis• Protetoras de ativos (Pareto)• Positivas (não apenas proibitivas)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão geral da metodologia
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase I - Levantamento de informações
–Obtenção dos padrões e normas atuais–Entendimento do uso da TI nos processos–Obtenção de informações sobre o negócio–Obtenção de informações sobre ambiente de TI
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase II - Desenvolvimento do Conteúdo e
Normas– Gerenciamento da politica de segurança–Atribuição de regras e responsabilidades–Critérios para classificação de informações–Procedimentos de SI
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Gerenciamento da politica de segurança
–Definição da SI–Objetivos–CFS–Gerenciamento da versão–Referências a outras políticas
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Atribuição de regras e responsabilidades:
–Comitê de SI–Proprietário das informações–Área de SI–Usuários de informações–RH–Auditoria
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Critérios de classificação das informações:
–Introdução–Classificação–Níveis de classificação–Reclassificação–Armazenamento e descarte–Armazenamento e saídas
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:
–Classificação e tratamento da informação–Notificação e gerenciamento de incidentes–Processo disciplinar–Aquisição e uso de hardware e software–Proteção contra software malicioso–Segurança e tratamento de mídias–Uso de internet–Uso de e-mail–Uso de recursos de TI
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:
–Backup–Manutenção e teste de equipamentos–Coleta e registro de falhas–Gerenciamento e controle de rede–Monitoramento do uso e acesso aos sistemas–Uso de controles de criptografia–Controle de mudanças–Inventário de ativos de informação–Controle de acesso físico
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:
–Segurança física–Supervisão de visitantes e prestadores de
serviços
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase III - Elaboração de Procedimentos de
SI–Pesquisa sobre melhores práticas–Desenvolvimento de procedimentos e padrões–Formalização dos procedimentos
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase IV - Revisão, aprovação e implantação
–Revisão e aprovação–Implantação
• Preparação de material de divulgação• Divulgação das responsabilidades• Palestras executivas• Palestras e treinamentos operacionais
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento
3o Trabalho - parte IIElaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 15.12
1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio.2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma5. Elaborar um plano de implantação de política de segurança e o manual se segurança da informação.