Embed Size (px)
Citation preview
ISO 27001 unicamente com ferramentas livres é
possível?
ISO 27001 unicamente com ferramentas livres é
possível?
DEPENDE!
ISO 27001 unicamente com ferramentas livres é
possível?
ISO 27001 unicamente com ferramentas livres é
possível?
● O que é a ISO 27001?
● E como é que eu faço ?
● Quem já fez?
● Devo ou não devo fazer?
ISO 27001 unicamente com ferramentas livres é
possível?
ISO 27001 unicamente com ferramentas livres é
possível?
Tópicos:
✔ Sistema de Gestao da Seguranca da Informacao
✔ Responsabilidades da Direcao
✔ Audtorias Internas do SGSI
✔ Analise critica do SGSI pela direcao
✔ Melhoria do SGSI
ISO 27001 unicamente com ferramentas livres é
possível?
$$
Controles Danos
ISO 27001 unicamente com ferramentas livres é
possível?
Fatores críticos de sucesso:
● Política de Segurança da informação, objetivos e atividades, que reflitam os
objetivos do negócio;
● Uma abordagem e uma estrutura para a implementação, manutenção,
monitoramento e melhoria da segurança da informação que seja consistente
com a cultura organizacional;
● Comprometimento e apoio visível de todos os níveis gerenciais;
● Um bom entendimento dos requisitos de segurança da informação, da
análise/avaliação de riscos e da gestão de risco;
● Divulgação eficiente da segurança da informação para todos os gerentes,
funcionários e outras partes envolvidas para se alcançar a conscientização;
● Distribuição de diretrizes e normas sobre a política de segurança da
informação para todos os gerentes, funcionários e outras partes envolvidas;
● Provisão de recursos financeiros para as atividades da gestão da informação;
● Provisão de Conscientização, treinamento e educação adequados;
● Estabelecimento de um eficiente processo de gestão de incidentes de
segurança;
ISO 27001 unicamente com ferramentas livres é
possível?
P D C A
ISO 27001 unicamente com ferramentas livres é
possível?
NTP
Antí-vírus
Back-up
Login
Logs
10.10.6 – Sincronização dos relógios
10.4.1 - Controle contra softwares maliciosos
10.5 - Cópias de Segurança
11.5 – Controle de acesso ao sistema operacional
10.10.2 - Monitoramento do uso do sistema
Do básico...
ISO 27001 unicamente com ferramentas livres é
possível?
11.4 Controle de acesso a rede Firewall
11.4.2 Autenticação para conexão externa do usuário
11.4.5 Segregação de redes
11.4.6 Controle de conexão de rede
VPN
DMZ
Layer 7
12.3 Controles Criptográficos
...ao avançado!
ISO 27001 unicamente com ferramentas livres é
possível?
● 11.5.6 - Limitação de horário de conexão
● 11.5.4 - Uso de utilitários de sistema
● 10.10.3 – Proteção das informações dos dos registros (log)
● 11.2.2 – Gerenciamento de privilégios
Só uma curiosidade...
ISO 27001 unicamente com ferramentas livres é
possível?
Más Notícias:
Para Nós:
15.1.2-g : Conduzir verificações para que somente produtos de software autorizados e licenciados sejam instalados;
15.1.5 : Prevenção de mau uso de recursos de processamento da informação
ISO 27001 unicamente com ferramentas livres é
possível?
ISO 27001 unicamente com ferramentas livres é
possível?
ISO 27001 unicamente com ferramentas livres é
possível?
Más Notícias:
Para Eles:
11.5.1: Procedimentos seguros de entrada no sistema (log-on)
ISO 27001 unicamente com ferramentas livres é
possível?
ISO 27001 unicamente com ferramentas livres é
possível?
Palavrinhas Mágicas
ISO 27001 unicamente com ferramentas livres é
possível?
Área:Indústria
Nicho: Ferramentaria
100 Estações10 Servidores1 Storage EMC120 Funcionários
Principais Pontos:
12.5.4: Gerenciamento de mídias removíveis10.8.2: Acordos para a troca de informações
Cases
ISO 27001 unicamente com ferramentas livres é
possível?
Área: Serviços
Nicho: Clipping para Advogados
30 Estações8 Servidores40 Funcionários
Principais Pontos:
11.4: Controle de acesso a rede14: Gestão da continuidade do negócio13: Gestão de incidentes de segurança da informação
Cases
ISO 27001 unicamente com ferramentas livres é
possível?
How-to Projeto de Segurança
- Preparação: Conseguir Normas, pesquisar ...
- Escopo
- Politica de Segurança
- Defina os Controles
- Plano de implementação
- Implemente o plano
- Planos de Contingência
- Sistema de Gerenciamento de Segurança
- Auditoria
- Ultimos Ajustes
- Tome Doril, Maracujina e submeta-se a certificação
ISO 27001 unicamente com ferramentas livres é
possível?
1. Não seja 100% técnico. Resolva conceitualmente
2. Use as pessoas - Conscientização
3. Primeiro vem o treino, depois a pancadaria!
4. Navegar Planejar é preciso, viver não é preciso !
5. Segurança da Informação != Segurança da Computação
6. Segurança não é o negócio da empresa.
7. Não se faz um omelete sem se quebrar alguns ovos
8. Tenha um EXCELENTE/MARAVILHOSO/ESPETACULAR relacionamento com a
Diretoria
9. Seja Honesto (Na medida do possível!)
Dicas Preciosas
ISO 27001 unicamente com ferramentas livres é
possível?
Referências / Links:
➢ http://www.google.com/➢ http://www.iso.org/➢ http://www.abntnet.com.br/➢ http://www.17799central.com/index.htm➢ http://www.computersecuritynow.com/➢ http://www.modulo.com/➢ http://17799.denialinfo.com/➢ http://iso-17799.safemode.org/➢ http://pt.wikipedia.org/wiki/ISO_27001➢ http://www.17799.com/➢ http://www.17799-toolkit.com/➢ http://17799.standardsdirect.org/ ➢ ABNT NBR ISO/IEC 17799:2005➢ ABNT NBR ISO/IEC 27001➢ BS7799 - Da tática a prática em servidores Linux
ISO 27001 unicamente com ferramentas livres é
possível?
:wq!root@server:~# cat perguntas.sh#!/bin/bashecho -ne “Alguma Pergunta?”read perguntaif [ $pergunta != 0 ]; then
answer.shelse
shutdown -h nowfiroot@server:~#
ISO 27001 unicamente com ferramentas livres é
possível?
Muitíssimo Obrigado pela atenção!
Alberto J. Azevedo
Consultor de Segurança
http://www.securityexperts.com.br/ajazevedo/
Projeto Security Experts
http://www.securityexperts.com.br
