BACHARELADO EM ENGENHARIA DE PRODUÇÃOEN09Gestão da Tecnologia da Informação
Profa. Rachel de Camargo
SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS
2
GUARDAR ARQUIVOSEM LOCAL SEGURO
SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS
3
SUBIR O BACKUPDE DADOS
SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS
4
CUIDAR DA SEGURANÇA
DA REDE
AGORA, BRINCADEIRAS À PARTE ...
De onde vem a regulamentação para a gestão de segurança da informação?
Para que serve a gestão de segurança da informação?
O quanto a empresa deve investir nisso?
Que dimensões a segurança da informação engloba?
5
A SEGURANÇA DA INFORMAÇÃO É NORMATIZADA
ISO 27001:2006 – SGSISistemas de Gestão da Segurança
da Informação ISO 27002:2007
Boas práticas de Gestão da Segurança da Informação
ISO 27005:2008 Gestão de Risco em Segurança da
Informação6
ISO 27001 - SGSI
Requisitos plenamente compreendidos Estabelecimento de uma Política de
Segurança Controles para Gerência de Riscos ao Negócio Melhoria contínua baseada em medições
efetivas Exemplos:
Requisitos: “Incidentes de SegInfo não devem comprometer significativamente a situação financeira nem a imagem da corporação”
Expectativas: “Se um incidente ocorrer, deve haver uma equipe de resposta à Incidentes pronta e apta a minimizar os impactos decorrentes”
ESTRUTURA DOS PROCESSOS
SGSI Política, objetivos, processos e
procedimentos do SGSI Foco na Gestão do nível de risco Atendimento das políticas e objetivos
globais da organização
Política Controles Processos Procedimentos
Métrica – política e objetivos dos controles
Resultados criticamente analisados pela Direção
Orientação por resultados
Reação por informações de impropriedade do SGSI com os objetivos e expectativas definidos
REQUISITOS DE UM SGSI
Assegurar a seleção de controles adequados à proteção dos ativos da informação.
Termos relevantes: Ativo - Elemento de valor para a organização (Físicos,
Tecnológicos, Humanos, Informação).
Atributos da Informação - Disponibilidade (acessível sob demanda por alguém autorizado); Confidencialidade (vedar acesso a alguém não-autorizado); Integridade (exatidão e completeza da informação).
9
REQUISITOS DE UM SGSI
Atributos Adicionais - Autenticidade (genuinidade da informação, ligada a sua origem); Responsabilidade (identificação de autoria e credenciamento para criação e modificação); Não-repúdio (garantia de não negação da criação ou alteração da informação, durante o ciclo de vida da informação); Confiabilidade (grau de certeza da veracidade e precisão de uma informação); Legalidade (grau de conformidade da informação com aspectos legais e do negócio).
10
REQUISITOS DE UM SGSI
Evento de SegInfo - Ocorrência identificada de um estado de sistema, serviço ou rede, indicando: uma possível violação da política de segurança; falha de controles ; ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
Incidente de SegInfo - Um ou mais eventos de segurança indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
Declaração de Aplicabilidade – associada ao nível de risco presente no negócio. O risco pode ser entendido como a probabilidade de ocorrência de um Incidente de SegInfo.
11
COMO MONTAR UM PLANO DE SGSI EFICAZ?
1. Definir escopo2. Definir política que:
a. Inclua uma Estrutura para SegInfob. Esteja alinhada com o negócioc. Estabeleça critérios para avaliação de riscosd. Seja aprovada pela Direção
3. Definir abordagem de análise/avaliação de riscos4. Identificar/analisar/avaliar/tratar riscos5. Selecionar objetivos de controles6. Obter aceitação da direção para os riscos residuais7. Obter aprovação da direção para operar o SGSI8. Elaborar a declaração de aplicabilidade
12
ISO 27002 (17799) BOAS PRÁTICAS
Fontes de requisitos para SegInfo: Identificação de ameaças, vulnerabilidades e seus
impactos. Legislação que a corporação, parceiros, clientes e
provedores tem que cumprir, bem como a cultura Requisitos do negócio
Análise e avaliação dos riscos: Gastos com controles devem ser balanceados com
os danos causados ao negócio pelos incidentes de segurança.
Repetição periódica. Controles devem ser escolhidos visando reduzir o
risco a um patamar aceitável.
13
ISO 27002 (17799) BOAS PRÁTICAS
Controles Essenciais (ponto de vista legal): Proteção de Dados e Privacidade das
Informações pessoais Proteção dos Registros Organizacionais Direitos de Propriedade Intelectual
Controles Práticos para SegInfo: Documento da Política de SegInfo Atribuição de Responsabilidades Conscientização, educação e treinamento Processamento Correto das Aplicações Gestão de Vulnerabilidades Técnicas Gestão da Continuidade do Negócio Gestão de Incidentes e Melhorias
14
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
Partes Externas – Manter a SegInfo quando há acesso, processamento, comunicação ou gerência externa. Identificação dos riscos:
No relacionamento com o Cliente –Os requisitos de SegInfo para este segmento devem ser considerados antes de se conceder o acesso aos ativos ou informações da organização.
Nos acordos com terceiros –Os acordos com terceiros devem cobrir todos os requisitos de SegInfo relevantes.
15
Gestão de Ativos - Alcançar e manter a proteção adequada dos ativos da organização:
Inventário dos Ativos – Inventário com clara identificação deve ser estruturado e mantido.
Proprietário dos Ativos – Associação dos recursos de processamento da informação com um responsável (pessoa ou organismo).
Uso Aceitável dos Ativos – Regras para o uso das informações e de ativos.
Classificação da Informação – Assegurar que a informação tenha um nível adequado de proteção.
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
16
Segurança em Recursos Humanos: Antes da Contratação – Assegurar que todos
entendam suas responsabilidades e estejam de acordo com papéis definidos, reduzindo risco de roubo, fraude ou mau uso de recursos.
Durante a Contratação – Assegurar que todos estejam permanentemente conscientes dos aspectos de SegInfo, estando assim aptos a apoiar a política de SegInfo e reduzir riscos.
Encerramento ou Mudança da Contratação –Assegurar que todos que deixam o vínculo com a organização o façam de forma ordenada.
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
17
Segurança Física e do Ambiente: Áreas Seguras – Prevenir acesso físico não-
autorizado. Segurança de Equipamentos – Impedir perdas,
danos, furto ou comprometimento de ativos e interrupção das atividades da organização.
Gerenciamento das Operações e Comunicações: Procedimentos e Responsabilidades operacionais –
Garantir a operação correta dos recursos de processamento da informação.
Gerenciamento de Serviços Terceirizados –Implementar o nível de SegInfo e garantir o cumprimento dos acordos de entrega de serviços.
Planejamento e Aceitação de Sistemas – Minimizar o risco de falhas em sistemas.
Proteção contra códigos maliciosos e códigos móveis –Proteger a integridade do software e da informação.
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
18
Gerenciamento das Operações e Comunicações (continuação): Cópias de Segurança – Manter a integridade e a
disponibilidade da informação e dos recursos de processamento da informação.
Gerenciamento da Segurança em Redes – Garantir a proteção das informações em redes e a proteção da infraestrutura de suporte.
Manuseio de Mídias – Prevenir divulgação não-autorizada, modificação, remoção ou destruição de ativos e interrupções das atividades do negócio.
Troca de Informações – Manter a SegInfo nas trocas de informações internas e externas.
Serviços de Comércio Eletrônico – Garantir a segurança de serviços de comércio eletrônico e sua utilização segura.
Monitoramento – Detectar atividades não autorizadas de processamento de informação.
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
19
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
Controle de Acessos Requisitos de Negócio para Controle de Acesso –
Controlar o acesso à informação. Gerenciamento de Acesso do Usuário – Assegurar acesso
ao usuário autorizado e prevenir o acesso não autorizado. Responsabilidades dos Usuários – Prevenir acesso não
autorizado e evitar o comprometimento ou roubo da informação e seus recursos.
Controle de Acesso à Rede – Prevenir o acesso não autorizado.
Controle do Acesso ao Sistema Operacional – Prevenir acesso não autorizado.
Controle do Acesso à Aplicação e à Informação – Prevenir acesso à informação contida nos sistemas.
Computação Móvel e Trabalho Remoto – Garantia da segurança.
20
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Requisitos de Segurança de Sistemas de Informação –
Garantir a integração da segurança em Sistemas de Informação.
Processamento correto de aplicações – Prevenir ocorrência de erros, perdas, modificação não autorizada ou mau uso das informações.
Controles Criptográficos – Proteger a confidencialidade, a autenticidade ou a integridade.
Segurança dos Arquivos do Sistema – Garantir a segurança de arquivos do sistema.
Segurança em Processos de Desenvolvimento e de Suporte –Manter a segurança de aplicativos e da informação.
Gestão de Vulnerabilidades Técnicas – Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.
21
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
Gestão de Incidentes de Segurança da Informação Notificação de Fragilidades e Eventos de Segurança
da Informação – Assegurar que fragilidades e eventos de SegInfo sejam comunicados, visando a ação corretiva em tempo hábil.
Gestão de Incidentes de Segurança da Informação e melhorias – Assegurar um enfoque consistente e efetivo.
22
ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO
Gestão da Continuidade do Negócio Aspectos da Gestão da Continuidade do Negócio,
relativos à SegInfo – Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres e assegurar sua retomada em tempo hábil.
Conformidade Conformidade com Requisitos Legais – Evitar
violação de qualquer requisito legal. Conformidade com Normas e Políticas de SegInfo e
Conformidade Técnica – Garantir conformidade dos sistemas com as políticas e normas organizacionais.
Considerações quanto à Auditoria de Sistemas –Maximizar a eficácia e minimizar a interferência no processo de auditoria.
23
ISO 27005:2008
VIVENCIANDO ... A última etapa do processo de análise das políticas de
Tecnologia da Informação na empresa selecionada pelo grupo diz respeito à Gestão da Segurança da Informação. Nesse aspecto, cabe ao grupo: Identificar se há, formalmente, uma política de SegInfo em
vigor na empresa. Verificar quantos profissionais se envolvem nessa área, e
de que tipo (pessoal de informática, administrativo, terceiros?).
Ainda que não exista um plano formal de SegInfo, exemplifique ações de SegInfo com relação: À proteção de dados e privacidade das informações pessoais. À proteção dos registros organizacionais. Aos direitos de propriedade intelectual.
Que ações de melhoria podem ser propostas para um ganho de efetividade nas políticas de SegInfo desta empresa.
25