Segurança da Informação Aula 9 – Políticas de Segurança .criticidade; –Definir níveis de

Embed Size (px)

Text of Segurança da Informação Aula 9 – Políticas de Segurança .criticidade; –Definir níveis de

  • Segurana da Informao

    Aula 9 Polticas de Segurana

    Prof. Dr. Eng. Fred Sauer

    http://www.fredsauer.com.br

    fsauer@gmail.com

    http://www.fredsauer.com.br/

  • 2/33

    Poltica de Segurana da

    Informao

    Poltica de Segurana deInformaes

    um documento que serve comomecanismo preventivo de proteo dosdados e processos importantes de umaorganizao, que define um padro desegurana a ser seguido pelo corpo tcnicoe gerencial e pelos usurios, internos ouexternos.

  • 3/33

    Poltica de Segurana da

    Informao

    A Poltica de Segurana um conjunto

    de diretrizes, normas, procedimentos e

    instrues, destinadas respectivamente aos

    nveis estratgico, ttico e operacional,

    com o objetivo de estabelecer, padronizar

    e normatizar a segurana tanto no escopo

    humano como no tecnolgico.

  • 4/33

    A Segurana da Informao "inicia" atravs

    da definio de uma poltica clara e concisa

    acerca da proteo das informaes.

    Atravs de uma Poltica de Segurana da

    Informao, a empresa formaliza suas

    estratgias e abordagens para a preservao

    de seus ativos.

    Poltica de Segurana da

    Informao

  • 5/33

    A Poltica de Segurana da Informao deve ser

    compreendida como a traduo das expectativas da

    empresa em relao a segurana considerando

    o alinhamento com os seus objetivos de

    negcio, estratgias e cultura.

    Poltica de Segurana da

    Informao

  • 6/33

    Poltica de Segurana de Informaes

    Deve estabelecer os papis e responsabilidadesdas funes relacionadas com a segurana

    Deve discriminar as principais ameaas, riscos eimpactos envolvidos.

    Deve integrar-se s polticas institucionaisrelativas segurana em geral, s metas denegcios da organizao e ao plano estratgicode informtica.

    Gera impactos sobre todos os projetos deinformtica, tais como planos de desenvolvimentode novos sistemas e plano de contingncias.

    No envolve apenas a rea de informtica, mastodas as informaes da organizao.

    Poltica de Segurana da

    Informao

  • Estratgia geral da organizao

    Plano estratgico

    de

    informtica

    Poltica de

    segurana de

    informaes

    Planos de desenvolvimento de sistemas

    Plano de continuidade de servios

    Define

    Estabelece

    Especifica Gera impactos sobre

    Contribui

    para

    atingir-se

    as metas

    Relacionamentos da poltica de segurana de informaes:

    Poltica de Segurana da

    Informao

  • 8/33

    Objetivos e Escopo

    Prover uma orientao da direo e apoio

    para a segurana da informao de acordo

    com os requisitos do negcio e com as

    leis e regulamentaes relevantes.

    [ISO 27002:2013]

    Poltica de Segurana da

    Informao

  • 9/33

    Elaborao da poltica As atividades bsicas do desenvolvimento da Poltica

    de Segurana da Informao so:

    Estruturar o Comit de Segurana;

    Definir Objetivos;

    Realizar Entrevistas e Verificar a Documentao Existente;

    Elaborar o Glossrio da Poltica de Segurana;

    Estabelecer Responsabilidades e Penalidades;

    Preparar o Documento Final da PSI;

    Oficializar a Poltica da Segurana da Informao;

    Sensibilizar os Colaboradores.

    Poltica de Segurana da

    Informao

  • 10/33

    Participao na Poltica de

    Segurana

    Devem estar envolvidos:

    - A alta gerncia;

    - A gerncia de segurana de informaes;

    - Os vrios gerentes e proprietrios dos sistemas

    informatizados e, finalmente;

    - Os usurios.

  • 11/33

    Ciclo de vida da informao

    Manuseio Refere-se ao instante em que a informao criada e/ou

    passa a ser manipulada

    Armazenamento Como / onde armazenar determinados tipos de

    informaes

    Transporte Abrange todo o tipo de transporte possvel para uma

    informao (fax, e-mail, entrega via transportadora, etc.)

    Descarte Procedimentos a serem adotados no momento da

    excluso de um informao e quando o descarte deve ocorrer .

    Poltica de Segurana da

    Informao

  • 12/33

    Classificao da Informao

    Objetivos

    Identificar quais os nveis de proteo que as

    informaes disponveis na organizao requerem;

    Uma informao pode ser classificada com base

    em diversos critrios, entre eles: sigilo, valor e

    criticidade;

    Definir nveis de proteo e os controles a serem

    implementados ao longo do ciclo de vida da

    informao.

    Poltica de Segurana da

    Informao

  • 13/33

    Classificao da Informao

    Definio

    Conjunto de normas, procedimentos e instrues

    existentes que tratam sobre como proteger as informaes

    A poltica define

    Tipos de classificao

    Critrios de avaliao e proteo

    Responsabilidades

    Poltica de Segurana da

    Informao

  • 14/33

    Classificao da Informao

    Benefcios Proteo das informaes importantes / vitais para o

    negcio;

    Define e compartilha responsabilidades entre as partes;

    Ajuda na tomada de decises, uma vez que as informaes

    esto bem categorizadas;

    Ajuda a criar a cultura da segurana da informao

    (conscientizao)

    Uso racional dos recursos (controles) utilizados para

    proteger as informaes

    Cria nveis de proteo de acordo com o valor da informao

    Poltica de Segurana da

    Informao

  • 15/33

    Classificao da Informao

    Premissas Deve estar em conformidade com a cultura e

    realidade (complexidade) da organizao

    Need to Know, nada mais do que o necessrio, apenas isso

    Privilgio mnimo!

    As informaes (independente do seu formato) possuem finalidades especficas e, portanto, destinam-se a determinados grupos de usurios

    Confidencialidade!

    Poltica de Segurana da

    Informao

  • 16/33

    Classificao da Informao

    Grau de sigilo

    Rtulo atribudo a informao.

    Contedo X Pblico que ter acesso.

    Empresas:

    Confidencial

    Privada

    Sigilosa

    Pblica

    Governo/militar:

    Ultra Secreta

    Secreta

    Confidencial

    Reservada

    No Classificada

    Poltica de Segurana da

    Informao

  • 17/33

    Classificao da Informao

    Prazo de validade da classificao.

    Estabelecido pelas normas.

    Em geral, quanto maior o sigilo, maior a durao.

    Critrios

    Valor da Informao

    Consequncia do vazamento dessa informao

    Consequncia da modificao indevida dessa informao

    Reviso da classificao

    Poltica de Segurana da

    Informao

  • 18/33

    Classificao da Informao

    Proprietrio da Informao Normalmente o responsvel por atribuir os nveis de

    classificao.

    Custodiante aquele que zela pelo armazenamento e preservao de

    informaes que no lhe pertencem.

    Equipe de segurana Responsvel por desenvolver, implementar e monitorar

    estratgias de segurana que atendam aos objetivos da organizao.

    Gerente de usurios Reponde pela ao dos usurios;

    Responsvel por solicitar, transferir e revogar as permisses de acesso para os seus funcionrios.

    Poltica de Segurana da

    Informao

  • Polticas de

    Segurana

  • 21/33

    Fases do Processo de Implantao

    Identificao dos recursos crticos.

    Classificao das informaes.

    Definio, em linhas gerais, dos objetivos de segurana a serem atingidos.

    Anlise das necessidades de segurana (identificao das possveis ameaas, anlise de riscos e impactos).

    Elaborao de proposta de poltica.

    Discusses abertas com os envolvidos.

    Apresentao de documento formal gerncia superior.

    Aprovao.

    Implementao.

    Avaliao da poltica e identificao das mudanasnecessrias.

    Reviso.

    Poltica de Segurana da

    Informao

  • A estrutura organizacional;

    Processos sistemticos e recursos associados; Metodologia de medio e avaliao; Processo de anlise crtica para assegurar que os problemas socorrigidos e as oportunidades de melhoria so identificadas eimplementadas quando necessrio.

    Sistema de Gesto

    Definio: um sistema de gesto um sistema para estabelecer poltica e objetivos, e para atingir estes objetivos utilizando:

    SGSI Sistema de Gesto da

    Segurana da Informao

  • Poltica (demonstrao de compromisso). Planejamento (identificao das necessidades, recursos,

    estrutura e responsabilidades). Implementao e operao (construo da conscincia

    organizacional e treinamento). Avaliao de desempenho (monitoramento e medio,

    auditoria e tratamento de no conformidades). Melhoria (ao preventiva e corretiva, melhoria contnua). Anlise crtica pela direo.

    Elementos de um Sistema de Gesto

    SGSI Sistema de Gesto da

    Segurana da Informao

  • A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI.

    A adoo de um SGSI deve ser estratgico para a organizao. Projeto e implementao: devem ser escalados conforme as

    necessidades da organizao. Uma situao simples requer uma soluo simples.

    Espera-se que o SGSI mude com o tempo.

    SGSI Sistema de Gesto da

    Segurana da Informao

  • 25/33

    O que a ISO?

    ISO o nome usual com o qual conhecida a International Organization for Standardization (Organizao Internacional de Padronizao).

    uma entidade fundada em 1947, sediada na Suia. Congrega organismos de normalizao nacionais, cuja prin