Upload
hoanganh
View
241
Download
0
Embed Size (px)
Citation preview
1Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
ABNT NBR ISO/IEC 27002
0. Introdução
2Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
RoteiroRoteiro
● Definição● Justificativa● Fontes de Requisitos● Análise/Avaliação de Riscos● Seleção de Controles● Ponto de Partida● Fatores Críticos de Sucesso● Diretrizes Próprias
3Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Definição (1/4)Definição (1/4)
● A informação é um ativo.– Necessita ser adequadamente protegida.– Importante em negócios cada vez mais
interconectados.– A informação está exposta a uma crescente
quantidade de AMEAÇAS e VULNERABILIDADES.
4Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Definição (2/4)Definição (2/4)
● A informação pode existir em diversas formas.– Independente da forma, deve ser protegida
adequadamente.
5Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Definição (3/4)Definição (3/4)
● SEGURANÇA DA INFORMAÇÃO é:– a proteção da informação contra vários tipos de
ameaças;– para garantir a continuidade do negócio;– minimizar o risco ao negócio;– maximizar o retorno sobre os investimentos e;– as oportunidades de negócios.
6Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Definição (4/4)Definição (4/4)
● SEGURANÇA DA INFORMAÇÃO é obtida:– a partir da implementação de um conjunto de
controles adequados;– incluindo políticas;– processos; – procedimentos;– estruturas organizacionais e;– funções de software e hardware.
7Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Justificativa (1/4)Justificativa (1/4)
● Definir, alcançar, manter e melhorar a segurança da informação pode ser essencial para assegurar:– a competitividade;– o fluxo de caixa;– a lucratividade;– o atendimento aos requisitos legais;– a imagem da organização junto ao mercado.
8Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Justificativa (2/4)Justificativa (2/4)
● As organizações, seus sistemas de informação e redes de computadores são expostos a ameaças.
● A segurança da informação é importante para instituições públicas e privadas.
● Também serve para proteger as infra-estruturas críticas.
● Sua função é viabilizar os negócios e evitar ou reduzir os riscos importantes.
9Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Justificativa (3/4)Justificativa (3/4)
● Muitos sistemas não foram projetados para serem seguros.
● A segurança fornecida por tecnologias é limitada e deve ser apoiada por uma gestão e procedimentos adequados.
10Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Justificativa (4/4)Justificativa (4/4)
● Pode ser necessária a participação de:– acionistas;– clientes;– terceirizados;– outras partes externas;– consultorias.
11Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Fontes de RequisitosFontes de Requisitos
● Existem três principais fontes de requisitos:– análise/avaliação de riscos para a organização;– legislação vigente, estatutos, regulamentação e
cláusulas contratuais no âmbito da organização;– conjunto particular de princípios, objetivos e
requisitos do negócio para o processamento da informação na organização.
12Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Análise e Avaliação de Riscos (1/2)Análise e Avaliação de Riscos (1/2)
● Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas.
● Os resultados da análise/avaliação de risco ajudam a direcionar e determinar:– ações gerenciais adequadas;– prioridades para o gerenciamento do risco;– os controles que foram selecionados para a proteção
de riscos.
13Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Análise e Avaliação de Riscos (2/2)Análise e Avaliação de Riscos (2/2)
● A análise/avaliação de riscos deve ser repetida periodicamente para contemplar mudanças que possam influenciar os resultados da análise/avaliação.
● O item 4.1. da norma descreve melhor isso.
14Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Seleção de Controles (1/4)Seleção de Controles (1/4)
● Uma vez que: – tenham sido identificados os requisitos de segurança
da informação e os riscos; – tenham sido tomadas as decisões para o tratamento
dos riscos; ● convém que controles apropriados sejam
selecionados e implementados reduzir os riscos sejam a um nível aceitável.
15Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Seleção de Controles (2/4)Seleção de Controles (2/4)
● Os controles podem ser:– selecionados a partir da NBR 27002; – escolhidos de um outro conjunto de controles;– ou novos controles podem ser desenvolvidos para
atender às necessidades específicas, conforme apropriado.
● A seleção de controles de segurança da informação depende das decisões da organização.
16Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Seleção de Controles (3/4)Seleção de Controles (3/4)
● A seleção de controles baseia-se: – nos critérios para aceitação de risco; – nas opções para tratamento do risco;– no enfoque geral da gestão de risco aplicado à
organização.● Convém que a seleção esteja sujeita a todas as
legislações e regulamentações relevantes.
17Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Seleção de Controles (4/4)Seleção de Controles (4/4)
● Alguns dos controles da NBR 27002 podem ser considerados como princípios básicos para a gestão da segurança da informação e podem ser aplicados na maioria das organizações.
18Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Ponto de Partida (1/5)Ponto de Partida (1/5)
● Uma certa quantidade de controles pode ser um bom início de implementação da segurança da informação.
● Os controles devem ser baseados em: – requisitos legais; – melhores práticas de segurança da informação
normalmente usadas.
19Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Ponto de Partida (2/5)Ponto de Partida (2/5)
● Os controles considerados essenciais para uma organização incluem:– proteção de dados e privacidade de informações
pessoais;– proteção de registros organizacionais;– direitos de propriedade intelectual.
20Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Ponto de Partida (3/5)Ponto de Partida (3/5)
● São controles considerados boas práticas para a segurança da informação:– documento da política de segurança da informação;– atribuição de responsabilidades para a segurança da
informação;– conscientização, educação e treinamento em
segurança da informação;– processamento correto nas aplicações;– (...continua)
21Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Ponto de Partida (4/5)Ponto de Partida (4/5)
– (...continuação)– gestão de vulnerabilidades técnicas;– gestão da continuidade do negócio;– gestão de incidentes de segurança da informação e
melhorias.● Estes controles se aplicam à maioria das
organizações e à maioria dos ambientes.
22Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Ponto de Partida (5/5)Ponto de Partida (5/5)
● A relevância de qualquer controle deve ser determinada pelos riscos específicos a que uma organização está exposta.
● Um bom ponto de partida também inclui a seleção de controles baseada na análise e avaliação de riscos.
23Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Fatores Críticos de Sucesso (1/4)Fatores Críticos de Sucesso (1/4)
● Fatores críticos para o sucesso da implementação da segurança da informação:– política de segurança da informação, objetivos e
atividades, que reflitam os objetivos do negócio;– uma abordagem e uma estrutura consistentes com a
cultura organizacional para a implementação, manutenção, monitoramento e melhoria da segurança da informação;
– (continua...)
24Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Fatores Críticos de Sucesso (2/4)Fatores Críticos de Sucesso (2/4)
– (...continuação)– comprometimento e apoio visível de todos os níveis
gerenciais;– bom entendimento dos requisitos de segurança da
informação, da análise, avaliação e gestão de riscos;– divulgação eficiente da segurança da informação a
todos envolvidos para se alcançar a conscientização;– (continua...)
25Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Fatores Críticos de Sucesso (3/4)Fatores Críticos de Sucesso (3/4)
– (...continuação)– distribuição de diretrizes e normas sobre a política de
segurança da informação a todos na organização;– recursos financeiros para as atividades da gestão de
segurança da informação;– conscientização, treinamento e educação;– processo de gestão de incidentes de segurança da
informação;– (continua...)
26Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Fatores Críticos de Sucesso (4/4)Fatores Críticos de Sucesso (4/4)
– (...continuação)– sistema de medição para avaliar o desempenho da
gestão da segurança da informação e obtenção de sugestões para a melhoria.
27Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Diretrizes Próprias (1/2)Diretrizes Próprias (1/2)
● A NBR 27002 é um ponto de partida para o desenvolvimento de diretrizes específicas.
● Nem todos os controles e diretrizes contidos na NBR 27002 podem ser aplicados.
● Controles adicionais e recomendações podem ser necessários.
28Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
Diretrizes Próprias (2/2)Diretrizes Próprias (2/2)
● Documentos contendo controles adicionais levam a realização de uma referência cruzada com a NBR 27002.– O objetivo é a facilitação do processo de auditoria
e/ou verificação da conformidade por auditores ou parceiros.
29Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
ConsideraçõesConsiderações
● A NBR 27002 é um conjunto de diretrizes de segurança da informação que podem ser aplicadas em uma organização.
● A aplicação destas diretrizes não implica em segurança total, mas diminui a probabilidade de ocorrência dos riscos.
● Existem empresas especializadas em implantar e verificar/auditar a implantação da NBR 27002.
30Prof. Othon Batista ([email protected])Prof. Othon Batista ([email protected])
ConsideraçõesConsiderações
● Desta forma, a NBR 27002 é objeto de estudo de qualquer profissional de segurança da informação.
● Por isso, ela será estudada durante todo o curso.