126
www.CompanyWeb.com.br

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation

Embed Size (px)

Citation preview

www.CompanyWeb.com.br

www.CompanyWeb.com.br

A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento

em Governança e Gestão de TI (Governança de Tecnologia da Informação, Gestão por

Processos, e Engenharia de Software). Nossos principais clientes são: Petrobras, Banco

do Brasil, Ambev, Correios, JBS Friboi, Aços Villares, Serasa, Honda, Gerdau, Medley,

Yamaha, Bertin, Banco Bradesco, Tribunal Regional Eleitoral de São Paulo, Bradesco

Seguros, Coca-cola, Sabesp, Nova Schin, Novartis, Comgás, Cervejaria Petrópolis e

outros.

2

www.CompanyWeb.com.br

Uires Tapajós | Consultor e Professor

[email protected] | http://www.LinkedIn.com/In/Uires/

• Especialista em GRC - Governança, Risco e Conformidade;

• Possui a CGEIT (Certified in the Governance of Enterprise

Information Technology) emitida pelo ISACA e outras certificações.

Facilitador

3

www.CompanyWeb.com.br

Governança e Gestão da Tecnologia da Informação

Gestão de Serviços de TI (ITIL/ISO 20000)

Melhoria de Processos

Implantação de Escritório de Projetos com as melhores práticas do PMI®

Gestão de Risco

Segurança da Informação | ISO 27001

Projetos para adoção das melhores práticas: COBIT, ITIL, SCRUM, eSCM, PMBOK, BSC, COSO, CBOK, BABOK, FDD, TDD, SOX, DRP (PCN)

Governança & Gestão da TI:

GRC (Governança, Risco e Compliance):. Gestão de Risco com COSO. Gestão de Risco de TI. Segurança da Informação com ISO 27001

Governança e Gestão de Serviços de TI:. Certificação ITIL / Certificação Cobit.. ITIL/Cobit Implementation.. Formação de Analista em Governança de TI.

BPM (Processos) . Gestão por Processos de Negócios. Formação Analista de Processo de Negócio

Negócios & Gestão de Pessoas:. Estratégia e BSC. Formação Analista de Negócio. Liderança com foco em Resultados. Práticas de Gestão de Projetos

Métodos Ágeis e Engenharia de Software:. Métodos Ágeis (SCRUM e FDD). Qualidade e Maturidade em Desenvolvimento de Software. Formação em Engenharia de Software

Consultoria Treinamento Solução

Consultoria Treinamento

Portfólio

4

www.CompanyWeb.com.br

Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation/

Objetivo

A norma ISO/IEC 27002 é um padrão internacional para Gestão de Segurança da Informação.

O objetivo deste treinamento é preparar os participantes para o Exame de Certificação Information Security Foundation based on ISO/IEC 27002 (Fundamentos da Segurança da Informação baseada na ISO/IEC 27002).

É abordado todo o conteúdo do exame de certificação, com exercícios e um simulado.

Curso: ISO/IEC 27002 Foundation

Conteúdo Programático (100% aderente ao Exame de Certificação: ISO/IEC 27002 Foundation)

1 Informação e Segurança (10%)

1.1 O conceito de informação (2,5%)

1.2 Valor da informação (2,5%)

1.3 Aspectos de confiabilidade (5%)

2. Ameaças e riscos (30%)

2.1 Ameaça e risco (15%)

2.2 Relacionamento entre ameaças, riscos e confiabilidade das informações. (15%)

3. Abordagem e Organização (10%)

3.1 Política de Segurança e organização de segurança (2,5%)

3.2 Componentes da organização da segurança (2,5%)

3.3 Gerenciamento de Incidentes (5%)

4. Medidas (40%)

4.1 Importância das medidas de segurança (10%)

4.2 Medidas de segurança física (10%)

4.3 Medidas de ordem técnica (10%)

4.4 Medidas organizacionais (10%)

5. Legislação e regulamentação (10%)

5.1 Legislação e regulamentos (10%)

6- Exercícios

7- Simulado

5

www.CompanyWeb.com.br

www.CompanyWeb.com.br 7

www.CompanyWeb.com.br 12

www.CompanyWeb.com.br 13

www.CompanyWeb.com.br

A Informação é um bem que, à semelhança de outros

bens do negócio, tem valor para uma organização e

necessita ser convenientemente protegido.

www.CompanyWeb.com.br

O Bem é algo que tem valor para a organização.

Exemplos

Pessoas

Máquinas

Produtos

Edifícios

15

www.CompanyWeb.com.br

Impressa, escritaem papel

Transmitida pormeios eletrônicos

Armazenadaeletronicamente

Mostrada em vídeos

Verbal

A forma da informação vai impor restrições às medidas necessárias para sua proteção.

16

www.CompanyWeb.com.br

Internas

• Não pode ‘vazar’ para o mercado/público

Clientes e Fornecedores

• Não pode ‘vazar’ para o mercado/público

Parceiros

• Informações a serem compartilhadas com outros parceiros, etc.

17

www.CompanyWeb.com.br

Informação

A Informação existe em várias formas.

Qualquer que seja a forma que a Informação adote, ou o meio pela qual é partilhada ou armazenada, deve ser sempre devidamente protegida.

www.CompanyWeb.com.br

Armazenada:

• são considerados dados armazenados os que residem em notebooks, desktops e servidores;

Em movimento

• são considerados dados em movimento os que residem em pen drives, smartphones, CDs e e-mails;

Em uso

• são considerados dados em uso os que se encontram em estado de processamento (sistemas de e-commerce, bancos de dados, ERPs etc.).

Outras

• Criada, Transmitida, Processada, Perdida, Destruída, Corrompida e etc.

19

www.CompanyWeb.com.br

Transferir e processar informações ocorre por meio de um sistema de informação, o que não é necessariamente um sistema de TI.

20

www.CompanyWeb.com.br 21

www.CompanyWeb.com.br 22

www.CompanyWeb.com.br

www.CompanyWeb.com.br 24

www.CompanyWeb.com.br 25

www.CompanyWeb.com.br

Classificação

Define os diferentes níveisde sensibilidade nos quaisas diversass informaçõespodem ser estruturadas.

Grau (grading): é o ato de definir umaclassficação. Níveis de sensibilidade

colocados na marca ou etiqueta de um

documento: Secreto, Confidencial ou Público

As etiquetas de classificação podem

ser colocadas fisicamente e de

forma visível

Designação

É uma forma especial de categorizar uma informação. De acordo com determinadoassunto ou organização ou

grupo de pessoas autorizadas.

Proprietário

(dono)

O dono da informação/documento é responsável pela sua

classificação.

É a pessoa que tem a responsabiliade sobre

determinadainformação.

Determina quem tem acesso a

determinados ativos do negócio.

26

O termo 'proprietário' identifica

uma pessoa ou organismo que

tenha uma responsabilidade

autorizada para controlar a

produção, o desenvolvimento, a

manutenção, o uso e a segurança

dos ativos.

O termo 'proprietário' não significa

que a pessoa realmente tenha

qualquer direito de propriedade ao

ativo.

www.CompanyWeb.com.br 27

www.CompanyWeb.com.br 28

www.CompanyWeb.com.br 29

www.CompanyWeb.com.br 30

www.CompanyWeb.com.br 31Vídeo: http://www.youtube.com/watch?v=_3zgNMr_8zcFoto: Empire State Building

Quais são os Tipos de Ameaças?

www.CompanyWeb.com.br 32

www.CompanyWeb.com.br 33

www.CompanyWeb.com.br 34

www.CompanyWeb.com.br

SGSI - Sistema de Gestão da Segurança Informação

É uma parte do sistema global de gestão, baseado numa abordagem de

risco que permite definir implementar abordagem de risco, que permite

definir, implementar, operacionalizar, monitorizar, manter e melhorar a

segurança da Informação segundo a norma.

35

www.CompanyWeb.com.br

Controle

forma de gerenciar o risco, incluindo políticas,

procedimentos, diretrizes, práticas ou estruturas

organizacionais, que podem ser de natureza administrativa,

técnica, de gestão ou contramedida.

Política

intenções e diretrizes globais formalmente expressas pela

direção.

Cada categoria principal da Segurança da informação

contém:

36

www.CompanyWeb.com.br

ISO 27001 | Controle

- definição do controle.

ISO 27002 | Diretrizes para a implementação

- informações mais detalhadas.

37

www.CompanyWeb.com.br

ISO 27001Objetivos de Controle e Controles

38

www.CompanyWeb.com.br 39

www.CompanyWeb.com.br40

www.CompanyWeb.com.br

ISO 27001Objetivos de Controle e Controles

EXEMPLO

41

www.CompanyWeb.com.br

ISO 27002Diretrizes para a implementação

EXEMPLO

42

www.CompanyWeb.com.br

Deve-se:

Definir um plano de

tratamentos de risco que

identifique as atividades de gestão

apropriadas, recursos,

responsabilidades e prioridades para

gerir os riscos à segurança da

Informação.

Definir como medir a eficácia dos

controles

Implementar programas de formação

e sensibilização

Implementar procedimentos e outros

controles capazes de detectarem e

responderem a potenciais incidentes

na segurança

43

www.CompanyWeb.com.br 44

www.CompanyWeb.com.br

declaração de aplicabilidade

declaração documentada que descreve os objetivos

de controle e controles que são pertinentes e

aplicáveis ao SGSI da organização.

45

www.CompanyWeb.com.br 46

www.CompanyWeb.com.br

1. Estabelecer o SGSI

Estabelecer política de segurança, objetivos, metas, processos e procedimentos relevantes para a gestão de risco e segurança da informação para melhorar os resultados de acordo com as políticas globais de uma organização e seus objetivos.

2. Implementar e operar o SGSI

Implementar e operar a política de segurança, controles, processos e procedimentos.

3. Acompanhar e analisar o SGSI

Avaliar e, quando aplicável, medir o desempenho do processo contra a política de segurança, objetivos e experiências práticas e relatar os resultados da gestão para a revisão.

4. Manter e melhorar o SGSITomar ações corretivas e preventivas, com base nos resultados da análise da gestão, para alcançar a melhoria contínua do SGSI.

47

www.CompanyWeb.com.br

PLAN - Planejar• Definição dos objetivos, metas, processos,

procedimentos

• Estabelecer política de segurança

DO - Implementar e operar o SGSI• Implementar política de segurança

• Operar a política de segurança

• Operar, controles, processos e procedimentos.

CHECK - Acompanhar e analisar o SGSI

• Avaliar

• Medir o desempenho do processo

• Relatar os resultados da gestão para a revisão

ACT - Manter e melhorar o SGSI• Tomar ações corretivas

• Tomar ações preventivas

48

www.CompanyWeb.com.br49

www.CompanyWeb.com.br

A política de segurança é um conjunto de normas e diretrizes destinadas a proteção dos ativos da Organização;

Prover à administração uma direção para Segurança da Informação;

Convém que a Política seja clara, flexível e aprovada pela administração, publicada e comunicada, de forma oficial, para todos os funcionários e partes externa Relevantes;

Definições das responsabilidades na gestão de segurança.

50

www.CompanyWeb.com.br 51

www.CompanyWeb.com.br

Levantamento de Informações

Fase IDesenvolvimento do Conteúdo da Política e Normas de Segurança

Fase IIElaboração dos procedimentos de Segurança da Informação

Fase IIIRevisão, aprovação e implementação das Políticas, Normas e procedimentos de Segurança da Informação

Fase IV

1. http://www.teamproject.com.br/tp2/projects/iso/wiki/Etapas_para_o_Desenvolvimento_de_uma_Pol%C3%ADtica

2. Faça seu cadastro (link ‘cadastra-se’ no lado direito superior da tela)

3. Acesse projeto: ISO 27001

4. Acesse o link wiki, conforme abaixo:

52

www.CompanyWeb.com.br

Segurançada

Informação

Realizando a

Segurança da

Informação

53

www.CompanyWeb.com.br

Política, organização, avaliação de

riscos, declaração de aplicabilidade

Descrevi o processo -quem, o quê, quando

e onde

Descreve as tarefas e atividades especificas

Fornece evidência objetivas de conformidade para os requisitos SGSI

54

www.CompanyWeb.com.br

1995

• BS 7799 Parte 1

1998

• BS 7799 Parte 2

1999

• Nova edição da BS 7799 Parte 1 e 2

2000

• ISO 17799:2000

2001

• NBR ISO/IEC 17799

2002

• Nova edição BS 7799-2

2005

• Nova edição NBR ISO/IEC 17799 (Agosto)

• Publicada ISO 27001

2006

• PublicadaNBR ISO/IEC 27001

2007

• Alteradoapenas o nome da normaNBR ISO/IEC 17799 para NBR ISO/IEC 27002

55

www.CompanyWeb.com.br 56

www.CompanyWeb.com.br 57

www.CompanyWeb.com.br 58

www.CompanyWeb.com.br

O que é a segurança da Informação?

É a preservação da

Confidencialidade,

Integridade e Disponibilidade

da informação.

59

www.CompanyWeb.com.br

CID

Requisitos de Qualidade

Requisitos de Segurança

60

www.CompanyWeb.com.br

Proteção das informações sensíveis a divulgação;

É o grau no qual o acesso a informação é RESTRITO a um grupo definido de pessoas

autorizadas a terem este acesso;

Inclui medidas de proteção a privacidade.

61

Ações são tomadas paragarantir que a informaçãonão é encontrada poraqueles que dela nãonecessitam;

Gestão de Acesso lógicogarante que pessoas nãoautorizadas não tenhamacesso aos sistemasautomatizados/banco de dados;

Segregação de ambientes(desenvolvimento/teste/aceitação/produção);

Processos onde dados sãoutilizados, medidas sãotomadas para garantir a privacidade das pessoas e terceiros.

www.CompanyWeb.com.br 62

www.CompanyWeb.com.br

Integridade

É o grau no qual a informação está atualizada e sem erros.Exatidão (informação correta) e Completude (informação está inteira).

63

Controle de mudança dos

dados (somente com

autorização);

„Log‟ dos registros/trilha de

auditoria (determina quem

alterou);

Integridade referencial no

banco de dados (recursos de

TI);

Institucionalizar o processo

Gestão de Mudança;

Criptografia (evitar a acesso a

informação/garantir a

proteção)

www.CompanyWeb.com.br

Disponibilidade

É o grau no qual a informação está disponível para o usuário e para o sistema

de informação que está em operação no momento que a organização precisa

dele.

64

Pontualidade (quando necessário);

Continuidade (após falha);

Robustez (capacidade suficiente).

Ações:

Gestão e Armazenamento de Dados;

Procedimento bkp/restore;

Procedimento de emergência

www.CompanyWeb.com.br 65

www.CompanyWeb.com.br 66

www.CompanyWeb.com.br 67

www.CompanyWeb.com.br

RiscosGrau de proteção

A implementação de segurança tem que ser um compromisso entre o risco, o

grau de proteção desejado e o custo do mecanismo de controle.

68

www.CompanyWeb.com.br

Desmotivadas

Descontentes

‘Terroristas’

Aumento de Demanda

Sem politica de Segurança

Inexistência de Planos de

Recuperação a desastres

Não atualizada

Muitasvulnerabilidades

Desastresnaturais

‘Tudo é incerto’

69

www.CompanyWeb.com.br70

www.CompanyWeb.com.br 71

www.CompanyWeb.com.br 72

www.CompanyWeb.com.br

Disponibilidade

Confidencialidade

Integridade

Segurança

Segurança

Se

gu

ran

çaS

egu

ran

ça

Fatores/situações que podem levar a um dano ou perda de informação.

Risco: É a chance de que uma ameaça irá de fato ocorrer e suas consequências.

um possível evento que possa comprometer a confiabilidade da informação

73

Risco: Essa palavra vem do

Francês RISQUE, do

Italiano RISCO ou

RISCHIO, “o perigo ligado a

um atividade”, do

Latim RISICUM, às vezes

tida como “escolho que

pode quebrar o casco de

uma embarcação”.

www.CompanyWeb.com.br

Natural•incêndio

•Inudação

Pessoas•Fraude

•Funcionário divulgarinformação sigilosa

TecnologiaHacker acessarinformações da instituição

(se for grande falha: Desastre)

74

www.CompanyWeb.com.br

São fraquezas

associadas aos Ativos

da organização.

75

www.CompanyWeb.com.br 76

Falta de monitoramento da

infra-estrutura

Falta de backup

Energiaelétricainstável

Falta de segurança

física e lógica

exemplos

www.CompanyWeb.com.br 77

www.CompanyWeb.com.br 78

www.CompanyWeb.com.br

www.CompanyWeb.com.br 80

www.CompanyWeb.com.br

É o potencial que uma dada ameaça irá explorarvulnerabilidades para causar perda ou dano a um Ativoou grupo de Ativos.

Interrupção da continuidade do negócio; perda da integridade dos dados; falha nosprocedimentos de backup/restore

Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos

81

www.CompanyWeb.com.br 82

www.CompanyWeb.com.br83

Análise de Riscos

• 1) Identificar Ativos e seus valores

• 2) Determinar Ameaças e Vulnerabilidades

• 3) Determinar os Riscos e as Ameaças quepodem realmente causar danos

• 4) Determinar o equilíbrio entre Custos de um Incidente e Custos das Medidas de Segurança

www.CompanyWeb.com.br 84

www.CompanyWeb.com.br

Impacto: Resultado ou efeito decorrente da

materialização do Risco.

Limitações: Julgamento Humano, Conluio, Futuro é incerto.

85

www.CompanyWeb.com.br

Responsáveis

Information Security Officer (ISO)

Chief Information Security Officer (CISO)

É o processo contínuo

que identifica,

examina e reduz os

riscos a um nível

aceitável.

86

www.CompanyWeb.com.br 87

www.CompanyWeb.com.br

• Reduz a ameaça antes de ela se manifestar

Redutiva

• Torna a ameaça impossível antes de ela se manifestar

Preventiva

• Garante que cada incidente possa ser detectado o mais rápido possível e que todo mundo seja informado do está acontecendo

Detectiva

• Para minimizar as consequências de um incidente após ele ocorrer

Repressiva

• Recuperar algo após um incidente ter ocorrido

Recuperação/Corretiva

88

www.CompanyWeb.com.br

Ameaça

Prevenção

Garantia Aceitação

Incidente

Fonte: The Basics of Information Security - A Practical Handbook. ISBN/EAN:

978-90-813341-1-2

Para eventos que não tem prevenção total e para os quais as

consequêncais não são aceitáveis, deve-se procurar métodos que

reduzam as consequências. Ex.: Seguro contra fogo e contra as

consequêncais do fogo.

Quando as medidas necessários são

conhecidas, mas decide-se aceitar o risco

porque o custo para implantação da medida

não é aceitável ou porque não há medidas

possíveis.

89

www.CompanyWeb.com.br

infra-estrutura (TI e não TI), natural (desastre

natural)

com ou sem engenharia social

hacker, ex-funcionário, funcionário

90

www.CompanyWeb.com.br

Dano Direto

Dano Indireto

Expectativa de Perda Anual

Expectativa de Perda Única

91

Roubo, furto

ex.: causados por uso

inadequado de

extintores de

incêndio.

Por evento.

91

www.CompanyWeb.com.br

Aceitar (Risk Bearing)

• A organização vai optar por medidas de segurança repressivas.

Neutralizar/Reduzir (Risk neutral)

• Combinação de medidas preventivas, detectivas e repressivas.

Evitar (Risk Avoiding)

• ex.: não usar uma nova tecnologia; Não fazer um upgrade.

92

www.CompanyWeb.com.br

A retenção do risco talvez seja o método mais comum de se lidar com riscos.

Organizações, assim como indivíduos, encaram diariamente um número quase ilimitado de riscos e, por muitas vezes nada é feito sobre eles. Quando nenhuma ação positiva é tomada no sentido de evitar, reduzir, ou transferir o risco, este é retido ou assumido pela pessoa ou organização que se encontra nessa situação.

A retenção de risco pode ser consciente ou inconsciente. Uma pessoa retém riscos conscientemente quando sabe de sua existência, deliberadamente, não toma nenhuma atitude sobre ele. Quando não é reconhecido, o risco é assumido inconscientemente.

A retenção de riscos é um método legítimo de se lidar com riscos; em muitos casos, é a melhor maneira. Toda organização deve decidir quais riscos deve assumir e quais deve evitar. Como regra geral, os riscos a serem retidos, devem ser aqueles que apresentam alguma possibilidade de ganho ou, ao menos, pequenas probabilidades de perda.

www.CompanyWeb.com.br 94

www.CompanyWeb.com.br 95

www.CompanyWeb.com.br 96

www.CompanyWeb.com.br 97

www.CompanyWeb.com.br

Você está preparado para o próximo Incidentede Segurança?

98

Documento

confidencial sem

proteção

Informações sobre

cliente e funcionário

foi 'liberado' na

internet sem controle

Violação no data

center

Invasões de hacker

Arquivos ‘perdidos’

www.CompanyWeb.com.br 99

www.CompanyWeb.com.br

Os funcionários devem reportar os

incidentes o mais rápido possível.

Normalmente via helpdesk/service desk.

Processo para resolver incidentes o mais

rápido possível.

100

1. Data/hora2. Nome da pessoa que

está abrindo o incidente3. Local4. Descrição5. Consequências6. Tipo de sistema

(servidor, desktop, email e etc)

7. Número/nome do sistema

www.CompanyWeb.com.br

Funcional: Transfere um incidente ou um problema para uma equipe técnica com nível mais especializado. Exemplo: Segundo nível, Terceiro nível, etc.

Hierárquica: Informa ou envolve níveis mais qualificados e com maior autoridade no gerenciamento para assessorar em uma Escalação

101

www.CompanyWeb.com.br 102

www.CompanyWeb.com.br 103

www.CompanyWeb.com.br

Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente

Redutivas

Aplicadas antes da ameaça levar a um incidente Preventivas

Detectar a ocorrência de um incidenteDetectivas

Para responder a um incidente a fim de conter o estragoda ameaça (usar o extintor de incêndio, por exemplo)

Repressiva

Reparar o que foi danificado (restaurar o backup, por exemplo)

Corretiva

104

www.CompanyWeb.com.br

1 – Ameaça 2 - Incidente 3 - Dano 4 - Recuperação

Medidas:

Prevenir (medidas preventivas), reduzir as ameaças (medidas redutivas), responder aos incidentes, parar ameaças

(medidas repressivas) e corrigir dos danos (medidas corretivas).

105

www.CompanyWeb.com.br

•Desenvolve a estratégia geral de segurança para a empresa inteira

•Superintendente de Segurança da Informação

Chief Information Security Officer (CISO)

•Desenvolve uma política para uma unidade de negócio com base na política da empresa

•Diretor de Segurança da Informação

Information Security Officer (ISO)

•Desenvolve uma política de segurança da informação para a área de TI

•Gerente de Segurança da Informação

Information Security Manager (ISM)

•Responsável pela Proteção dos DadosData Protection Officer

106

www.CompanyWeb.com.br 107

www.CompanyWeb.com.br 108

www.CompanyWeb.com.br

• Inclui cuidados para não haver interferências

Medidas para cabeamento

• Anel externo | Proteção em torno do prédioda empresa

• Edíficio/prédio | salas especiais (sala de servidores)

• Espaço de trabalho (algumas áreas da empresapodem não estar acessíveis a todos, como RH)

• Objeto | Refere-se a parte mais sensível queprecisa ser protegida (armários/cofre)

Medidas para anéis de proteção

• Uso de sensores

Alarmes

Medidas para Mídias de armazenamento

109

www.CompanyWeb.com.br

Ativo

Área de trabalho

Prédios

Anel externo

As medidas de segurança não devem ser iniciadas nas estações ou locais de trabalho, mas fora da empresa. O acesso aos ativos da empresa deve ser difícil ou impossível, deve-se pensar em termos de uma série de perímetros:

110

www.CompanyWeb.com.br

Inclui cuidados com manuseio de pen-drives,

smartphones, cartões de memória, laptops, que

armazenam informações sensíveis

111

www.CompanyWeb.com.br

1) Gerenciamento de acesso lógico;2) Requisitos de segurança para os sistemas;3) Criptografia.

112

www.CompanyWeb.com.br

• A política de controle de acesso é determinada pelo proprietário (owner) do recurso.

Controle de acesso discricionário (DAC)

• A política de acesso é determinada pelo sistema e não pelo proprietário do recurso.

Controle de acesso mandatório (MAC)

• Na concessão de acesso fazemos distinção entre as palavras identificação, autenticação e autorização.

• Identificação | Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha)

• Autenticação | Sistema determina se o token é autêntico e quais recursos o usuário pode acessar

• Autorização | Aloca o direito de acesso

Passos para conceder o acesso

113

www.CompanyWeb.com.br 114

www.CompanyWeb.com.br

A informação é codificada para não ser lida por pessoas não autorizadas

• Existe um algoritmo e uma chave secreta que o remetente e destinário compartilham. É mais vulnerável.

Simétrica

• Diferentes chaves são usadas para criptograr e descriptografar. Assinaturas digitais são criadas usando este tipo.

Assimétrica

• Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou sistemas pertencem a uma chave pública. É frequentemente gerenciada por uma autoridade independente.

Infraestrutura de Chave Pública (PKI – Public Key Infrastructure)

• A mensagem é convertida em um valor numérico e não pode ser descriptografada. Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é verificado se dois valores hash combinam.

Criptografia de mão única

115

www.CompanyWeb.com.br

Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação.

Sistema de Gestão da Segurança da Informação (SGSI)

Política de Segurança da Informação

Pessoal

Gerenciamento da Continuidade do Negócio

Gerenciamento de Comunicações e Processos Operacionais

116

www.CompanyWeb.com.br

Sistema de Gestão da Segurança da Informação (SGSI)•A ISO 27001 ajuda a definir uma estrutura para SGSI

•Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação

•Baseado no ciclo PDCA

•Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos

•Existe para preservar a confidencialidade, integridade e disponibilidade

Política de Segurança da Informação• Documento importante do SGSI

• Serve para a gerência fornecer direção e suporte à organização

• Deve ser divulgada para todos na organização

• Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada

• Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos

Pessoal• Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos

• Pessoal precisa seguir o código de conduta

• Novos funcionários precisam pessar por uma checagem de ficha limpa

• Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade

• Visitantes precisam passar por um controle de acesso

117

www.CompanyWeb.com.br

http://www.youtube.com/watch?v=vkMIMdeuOFQ&feature=related

Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc).

118

www.CompanyWeb.com.br

• A teoria darwiniana está sempre presente nas estatísticas.

• São as empresas mais aptas que sobrevivem e não as mais fortes

2 em cada 5 empresas que sofrem interrupção por uma semana fecham as portas em menos de 3 anos. Fonte: Disaster Recovery Institute (DRI)

119

www.CompanyWeb.com.br 120

www.CompanyWeb.com.br

Gerenciamento da Continuidade do Negócio

• Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre

Continuidade

• Incidente de grande impacto

Desastre

• Estabelece qual a continuidade dos processos de negócio que será garantida

Plano de Continuidade de Negócios (PCN)

• Como se recuperar do desastre, como: Espaços de trabalho alternativos; Data center redundante; Hot site sob demanda

Plano de Recuperação de Desastre

121

www.CompanyWeb.com.br

Documentar procedimentos de operação dos equipamentos e quem são os responsáveis.

• A segregação de funções ajudaa estabelecer quem faz o quê; Testes e aceites antes de entrar em produção.

As mudanças nos sistemas precisam ser gerenciadas

• Separar as funções e responsabilidades de cada umSegregação de Funções

• Documentar requisitos que precisam ser atendidos; Estabelecer contratos/ acordos SLA.

Terceirização

Proteção contra malware, phishing e spam

• Estabelecer orientações para como manusear mídias a fim de evitar que informações valiosas caiam nas mãos de pessoas erradas; Política mesa limpa deve sempre ser empregada.

Manuseio de mídias

122 122

www.CompanyWeb.com.br

Termo genérico para software malicioso; Pode ser um vírus, worm, trojan ou sypwareMalware

Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo)Phishing

Nome do coletivo de mensagens indesejáveisSpam

Pequeno programa de computador que se replica; Tem natureza destrutiva.Vírus

Pequeno programa de computador que se replica; Não depende da ação do usuário para se espalhar pela redeWorm

É um programa que conduz atividades secundárias não percebidas pelo usuário; Usado frequentemente para coletar informações confidenciais do sistema infectadoTrojan

Histórias falsas recebidas. Mensagem que tenta convencer o leitor da sua veracidade e então persuadí-lo a fazer alguma açãoHoax

Pedaço de código deixado dentro de um sistemaLogic bomb

Programa de computador que coleta informação de um computador e envia para um terceiroSypware

Uma rede de computadores utilizando software de computação distribuída.Botnet

Conjunto de ferramentas de softwares utilizado por um hackerRootkit 123

www.CompanyWeb.com.br

1. ISO 27002:20052. Conformidade3. Propriedade intelectual4. Proteção de dados pessoais5. Prevenção de abuso das facilidades de TI6. Responsabilidade7. Lei Sarbanes-Oxley

124

www.CompanyWeb.com.br

• É um código de boas práticas para a segurança da informação; Há práticas que ajudam a atender a leis e regulamentos

ISO 27002:2005

• Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da empresa;

• A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos

• Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática

Conformidade

• Precisam ser considerados quando a empresa usa software ou material sujeito à tal. Deve haver orientações internas para proteger estes direitos

Propriedade intelectual

• Independente de obrigação regulatória, as empresas precisam se preocupar

Proteção de dados pessoais

• Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados

• Estabelecer código de conduta

Prevenção de abuso das facilidades de TI

• A alta gerência é a responsável final pelo cumprimento de leis e regulamentos

Responsabilidade

• Aplica-se a todas empresas que negociam ações nas bolsas de valores americanas

Lei Sarbanes-Oxley

125

www.CompanyWeb.com.br

www.CompanyWeb.com.br

[email protected]

11 3532-1076

twitter.com/companyweb

slideshare.net/companyweb

facebook.com/companyweb

Vídeos: Gestão & Governança

http://bit.ly/eMR2Vt

126