Segurança e Auditoria de Sistemas - · PDF fileABNT NBR ISO/IEC 27002 0. ... e deve ser apoiada por uma gestão e ... requisitos do negócio para o processamento da

1Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])

Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas

ABNT NBR ISO/IEC 27002

0. Introdução


RoteiroRoteiro

● Definição● Justificativa● Fontes de Requisitos● Análise/Avaliação de Riscos● Seleção de Controles● Ponto de Partida● Fatores Críticos de Sucesso● Diretrizes Próprias


Definição (1/4)Definição (1/4)

● A informação é um ativo.– Necessita ser adequadamente protegida.– Importante em negócios cada vez mais

interconectados.– A informação está exposta a uma crescente

quantidade de AMEAÇAS e VULNERABILIDADES.



● A informação pode existir em diversas formas.– Independente da forma, deve ser protegida

adequadamente.



● SEGURANÇA DA INFORMAÇÃO é:– a proteção da informação contra vários tipos de

ameaças;– para garantir a continuidade do negócio;– minimizar o risco ao negócio;– maximizar o retorno sobre os investimentos e;– as oportunidades de negócios.



● SEGURANÇA DA INFORMAÇÃO é obtida:– a partir da implementação de um conjunto de

controles adequados;– incluindo políticas;– processos; – procedimentos;– estruturas organizacionais e;– funções de software e hardware.


Justificativa (1/4)Justificativa (1/4)

● Definir, alcançar, manter e melhorar a segurança da informação pode ser essencial para assegurar:– a competitividade;– o fluxo de caixa;– a lucratividade;– o atendimento aos requisitos legais;– a imagem da organização junto ao mercado.



● As organizações, seus sistemas de informação e redes de computadores são expostos a ameaças.

● A segurança da informação é importante para instituições públicas e privadas.

● Também serve para proteger as infra-estruturas críticas.

● Sua função é viabilizar os negócios e evitar ou reduzir os riscos importantes.



● Muitos sistemas não foram projetados para serem seguros.

● A segurança fornecida por tecnologias é limitada e deve ser apoiada por uma gestão e procedimentos adequados.



● Pode ser necessária a participação de:– acionistas;– clientes;– terceirizados;– outras partes externas;– consultorias.


Fontes de RequisitosFontes de Requisitos

● Existem três principais fontes de requisitos:– análise/avaliação de riscos para a organização;– legislação vigente, estatutos, regulamentação e

cláusulas contratuais no âmbito da organização;– conjunto particular de princípios, objetivos e

requisitos do negócio para o processamento da informação na organização.


Análise e Avaliação de Riscos (1/2)Análise e Avaliação de Riscos (1/2)

● Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas.

● Os resultados da análise/avaliação de risco ajudam a direcionar e determinar:– ações gerenciais adequadas;– prioridades para o gerenciamento do risco;– os controles que foram selecionados para a proteção

de riscos.


Análise e Avaliação de Riscos (2/2)Análise e Avaliação de Riscos (2/2)

● A análise/avaliação de riscos deve ser repetida periodicamente para contemplar mudanças que possam influenciar os resultados da análise/avaliação.

● O item 4.1. da norma descreve melhor isso.


Seleção de Controles (1/4)Seleção de Controles (1/4)

● Uma vez que: – tenham sido identificados os requisitos de segurança

da informação e os riscos; – tenham sido tomadas as decisões para o tratamento

dos riscos; ● convém que controles apropriados sejam

selecionados e implementados reduzir os riscos sejam a um nível aceitável.



● Os controles podem ser:– selecionados a partir da NBR 27002; – escolhidos de um outro conjunto de controles;– ou novos controles podem ser desenvolvidos para

atender às necessidades específicas, conforme apropriado.

● A seleção de controles de segurança da informação depende das decisões da organização.



● A seleção de controles baseia-se: – nos critérios para aceitação de risco; – nas opções para tratamento do risco;– no enfoque geral da gestão de risco aplicado à

organização.● Convém que a seleção esteja sujeita a todas as

legislações e regulamentações relevantes.



● Alguns dos controles da NBR 27002 podem ser considerados como princípios básicos para a gestão da segurança da informação e podem ser aplicados na maioria das organizações.


Ponto de Partida (1/5)Ponto de Partida (1/5)

● Uma certa quantidade de controles pode ser um bom início de implementação da segurança da informação.

● Os controles devem ser baseados em: – requisitos legais; – melhores práticas de segurança da informação

normalmente usadas.



● Os controles considerados essenciais para uma organização incluem:– proteção de dados e privacidade de informações

pessoais;– proteção de registros organizacionais;– direitos de propriedade intelectual.



● São controles considerados boas práticas para a segurança da informação:– documento da política de segurança da informação;– atribuição de responsabilidades para a segurança da

informação;– conscientização, educação e treinamento em

segurança da informação;– processamento correto nas aplicações;– (...continua)



– (...continuação)– gestão de vulnerabilidades técnicas;– gestão da continuidade do negócio;– gestão de incidentes de segurança da informação e

melhorias.● Estes controles se aplicam à maioria das

organizações e à maioria dos ambientes.



● A relevância de qualquer controle deve ser determinada pelos riscos específicos a que uma organização está exposta.

● Um bom ponto de partida também inclui a seleção de controles baseada na análise e avaliação de riscos.


Fatores Críticos de Sucesso (1/4)Fatores Críticos de Sucesso (1/4)

● Fatores críticos para o sucesso da implementação da segurança da informação:– política de segurança da informação, objetivos e

atividades, que reflitam os objetivos do negócio;– uma abordagem e uma estrutura consistentes com a

cultura organizacional para a implementação, manutenção, monitoramento e melhoria da segurança da informação;

– (continua...)



– (...continuação)– comprometimento e apoio visível de todos os níveis

gerenciais;– bom entendimento dos requisitos de segurança da

informação, da análise, avaliação e gestão de riscos;– divulgação eficiente da segurança da informação a

todos envolvidos para se alcançar a conscientização;– (continua...)



– (...continuação)– distribuição de diretrizes e normas sobre a política de

segurança da informação a todos na organização;– recursos financeiros para as atividades da gestão de

segurança da informação;– conscientização, treinamento e educação;– processo de gestão de incidentes de segurança da

informação;– (continua...)



– (...continuação)– sistema de medição para avaliar o desempenho da

gestão da segurança da informação e obtenção de sugestões para a melhoria.


Diretrizes Próprias (1/2)Diretrizes Próprias (1/2)

● A NBR 27002 é um ponto de partida para o desenvolvimento de diretrizes específicas.

● Nem todos os controles e diretrizes contidos na NBR 27002 podem ser aplicados.

● Controles adicionais e recomendações podem ser necessários.


Diretrizes Próprias (2/2)Diretrizes Próprias (2/2)

● Documentos contendo controles adicionais levam a realização de uma referência cruzada com a NBR 27002.– O objetivo é a facilitação do processo de auditoria

e/ou verificação da conformidade por auditores ou parceiros.


ConsideraçõesConsiderações

● A NBR 27002 é um conjunto de diretrizes de segurança da informação que podem ser aplicadas em uma organização.

● A aplicação destas diretrizes não implica em segurança total, mas diminui a probabilidade de ocorrência dos riscos.

● Existem empresas especializadas em implantar e verificar/auditar a implantação da NBR 27002.


ConsideraçõesConsiderações

● Desta forma, a NBR 27002 é objeto de estudo de qualquer profissional de segurança da informação.

● Por isso, ela será estudada durante todo o curso.

Documents

Segurança e Auditoria de Sistemas - · PDF fileABNT NBR ISO/IEC 27002 0. ... e deve ser apoiada por uma gestão e ... requisitos do negócio para o processamento da