Embed Size (px)
DESCRIPTION
2013 - 06 - 18
Citation preview
Bem-vindo ao Circuito de Palestras EXIN 2013 Nosso foco de hoje:
APRESENTAÇÃO
EXIN• Instituto de Pesquisa para a Ciência da Informação, é um
provedor global e independente de TI, com mais de 40 anos de experiência e sem fins lucrativos, especializada em programas de qualificação.
• Oferece exames dos programas de qualificação para a ISO/IEC 20000, ISO/IEC 27002, formação completa da ITIL Foundation, Intermediate e Expert, o MOF, ASL, TMap, Green IT e Cloud Computing.
Missão:• Melhorar a qualidade do setor, dos profissionais e os
usuários de TI, por meio de testes e certificações.
APRESENTAÇÃO
PMG eDucation, uma sábia escolha na sua capacitação técnica e crescimento profissional. Agregue valor ao seu currículo escolhendo produtos e serviços diferenciados, atualizados e de qualidade. Com o nosso apoio, obtenha suas certificações profissionais mais cobiçadas no mercado, na realização de exames oficiais ou habilitação nas práticas, frameworks, modelos e normas do mercado de TI. Transforme a teoria em práticas aplicáveis, seremos o elo entre você e o seu futuro.
Valorize o seu investimento, exija cursos oficiais, agregue valor ao seu negócio e ao seu currículo com a PMG Education!
APRESENTAÇÃO
Conceitos Gerais e tendências 2013 - Segurança da Informação
• Palestrante: Haddan de Queiroz RochaE-mail: [email protected]: haddan.rocha
Tópicos Abordados:
• Conceitos e Princípios Básicos e Práticos.
• Pilares da Segurança da Informação.
• Bring Your Own Device, ou “Traga Seu próprio Dispositivo”.
• Cloud Computing.
• Visão Geral da Organização ISO.
• Visão Geral das normas ISO/IEC 27001 e 27002.
• Apresentação do EXIN e do processo de certificação ISO 27002.
Biografia:Graduado em Sistema de Informação pela Universidade Pitágoras
Uberlândia - MG, onde atua na área de TI há 5 anos. Grande experiência em Service Desk e Infraestrutura de TI, atuando em grandes clientes como Bradesco Cartões, BR Distribuidora e atualmente Service Desk da Multinacional Pearson.
Certificações:• ITIL® V3 Foundation Certificate; • ISO 20000 Foundation (Service Quality Management Foundation - SQMF); • Cobit 4.1 Foundation; • HDI – Customer Service Representative; • Information Security Foundation based on ISO/IEC 27002; • Cloud Computing Foundation; • Green IT;• Certified Integrator Secure Cloud Services;• Instrutor credenciado da EXIN - Certificações ISO 20000 e ISO 27002.
O que é Segurança da Informação?“É a proteção da informação contra vários tipos de ameaças para
garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidade de negócios”.
NBR ISO/IEC 27002:2005
“A Segurança da Informação refere-se à proteção requerida para proteger as informações de empresas ou de pessoas, ou seja, o conceito se aplica tanto as informações corporativas quanto às pessoais. “
Importância da Informação
Quando falamos em segurança da informação, logo nos vem à mente as instituições financeiras, as empresas de transporte aéreo e as organizações virtuais da internet. Esses segmentos são alvo dos ladrões cibernéticos e um desastre pode diretamente trazer grande impacto (financeiro, operacional ou de imagem) ao negócio.
A informação sempre foi um dos bens mais importantes da organização. A diferença é que há alguns anos a informação mais crítica para a empresa poderia ser guardada e trancada dentro de uma gaveta. Atualmente, independente do estágio de tecnologia da organização, a proteção da informação deve ser uma das preocupações dos executivos e proprietários das empresas.
O que são Ativos ?
Um ativo da informação é algo que a organização atribui valor.
Exemplos: Informação Eletrônica Documentos em papel Softwares Hardwares Pessoas Serviços
Tipos de Informações
Impressa ou escrita em Papel
Transmitida pelo correio ou por meios eletrônicos
Armazenada eletronicamente
Mostrada em Vídeos.
Verbalmente.
Pilares da Segurança da Informação
CONFIDENCIALIDADEPrincípio que trata sobre a disponibilidade de informações apenas as pessoas autorizadas.
• Controles devem ser implementados para garantir que o acesso à informação seja sempre restrito àquelas pessoas que necessitam efetivamente tê-lo.
• Muitos crimes cibernéticos acontecem através da quebra de sigilo e do roubo da informação.
• Para ser confidencial deve ter uma classificação que determine as medidas de segurança necessárias quando estiver sendo tratada.
• Manter-se confidencial significa que o meio utilizado para tratar a informação Permite proteção adequada
Pilares da Segurança da Informação
INTEGRIDADEPrincípio da proteção da informação ou dos bens contra a criação ou modificação não autorizada.
Perda de Integridade pode estar relacionada com erro humano, ações intencionais ou contingências.
A perda da integridade de uma informação pode torná-la sem valor, ou mesmo perigosa.
As consequências de se utilizar dados incorretos pode ser desastrosa.
Pilares da Segurança da Informação
DISPONIBILIDADEPrincípio que trata sobre prevenir que a informação
ou o recurso esteja disponível quando requerido.
Aplica-se não só à informação em si mas também aos canais eletrônicos, equipamentos de rede e outros elementos da estrutura tecnológica.
Os ataques intencionais contra a infraestrutura tecnológica podem ter a finalidade de tornar os dados indisponíveis assim como de roubar informações.
Quando o problema acontece com o público interno pode-se não ter perda significativa de imagem mas, se for com público externo haverá um reflexo negativo para a imagem da instituição.
Bring Your Own Device, ou “Traga Seu próprio Dispositivo”.
Empresas adotam cada vez mais a virtualização na nuvem para permitir que funcionários usem os próprios aparelhos no ambiente de trabalho.
A ideia é que o empregado tenha liberdade para levar os próprios aparelhos para o trabalho e os utilize de maneira pessoal e personalizada, sem a necessidade de usar uma máquina custeada pela companhia.
A prática é recente, mas tem sido vista com bons olhos pelos recrutadores. De acordo com um relatório da Cisco, que contou com mais de 600 líderes dos mercados de TI e de negócios dos Estados Unidos, 95% das organizações norte-americanas já permitem que os funcionários tragam os dispositivos de sua propriedade para o local de trabalho. Além disso, 84% fornecem algum tipo de apoio técnico ou funcional, e 36% oferecem suporte completo para qualquer aparelho que o empregado traz para o ambiente profissional (smartphone, tablet, notebook, etc).
Bring Your Own Device, ou “Traga Seu próprio Dispositivo”.
Para as empresas é vantajoso, principalmente no aspecto financeiro: com cada funcionário utilizando os dispositivos trazidos de casa, os únicos custos seriam apenas os de manutenção da conta de cada pessoa e não de uma base de vários desktops - isso sem contar a possibilidade de um trabalho mais dinâmico graças a mobilidade.
Para os empregados, isso traz mais facilidade na hora de desempenhar suas tarefas diárias com seus aparelhos de uso pessoal e atende melhor as necessidades em nível corporativo, colaborando mais e aumentando a produtividade.
Cloud Computing
• A denominação Cloud Computing chegou ao conhecimento de muita gente em 2008, mas tudo indica que ouviremos este termo ainda por um bom tempo. Também conhecido no Brasil como computação nas nuvens ou computação em nuvem, Cloud Computing se refere, essencialmente, à ideia de utilizarmos, em qualquer lugar e independente de plataforma, as mais variadas aplicações por meio da internet com a mesma facilidade de tê-las instaladas em nossos próprios computadores.
• Cloud Computing é a entrega de serviços hospedados na Internet.
• Tipo de computação escalável através de diversos recursos de TI que entregam como um serviço, sob demanda, para os clientes externos que usam a Internet.
• Fornece meios através da infraestrutura, da tecnologia, aplicações e de processos, podem entregar ao usuário o que ele precisa, em forma de serviço.
Exemplo de Serviços – Cloud Computing
Fundamentos de Cloud Computing
Baseados em Serviços.
Usam tecnologia da Internet.
Escalável e elástico.
Compartilhável.
Medido pelo uso.
Usam Recursos Virtuais.
Computação em Nuvem, independente do provedor do serviço, é essencialmente uma forma em que os
serviços de TI são prestados ao usuário final.
A nuvem como facilitadora
As redes eram definidas como intranet, extranet e internet, onde os usuários pesquisavam recursos, enviavam e-mail, e faziam interface com clientes e fornecedores através da Internet. Quando havia esta interface entre as organizações, era feita através da extranet. Era uma área protegida, que havia uma limitação nas capacidades da aplicação, onde os clientes podiam, por exemplo, fazer pedidos usando a capacidade da extranet. Hoje, com os dados e aplicativos na nuvem, a extranet não precisa ser definida, pois está colaboração entre as organizações é feita via ambiente de Cloud.
Fornecedores e clientes podem interagir com os funcionários através de serviços baseados na nuvem.
Torna o funcionário mais produtivo, já que possibilita o acesso ao escritório virtualmente independente do lugar onde esteja, bastando somente acesso a internet, sem ter a necessidade de instalação de software de VPN.
Tipos de Nuvens Publica ou Externa
A nuvem pública utiliza serviços que são fornecidos por alguns provedores de serviços externo.
Exemplo: Dropbox, este recurso fica fora das instalações da organização e para obter o acesso a esse recurso, deve-se utilizar da navegação na Internet.
Tipos de Nuvens Privada ou Interna
A organização pode construir uma nuvem privada dentro de seus datacenters.
Exemplo: Adquirindo licenças do Microsoft Office e instalando os produtos em um servidor central, os usuários que forem acessar o Word da Microsoft iriam utilizar uma conexão remota e fariam login no servidor onde os produtos estão instalados.
Tipos de Nuvens Hibridas
Como o nome sugere, a nuvem híbrida é uma mistura de nuvem privada com pública. De tempos em tempos, as empresas podem precisar somente de capacidade extra de servidor durante um período movimentado em particular.Outras empresas podem usar uma nuvem pública para testar a viabilidade de um aplicativo, trazendo-o de volta à infraestrutura de TI interna após ser validado. Especialistas afirmam que é necessário trabalhar mais nos padrões de interoperabilidade antes que a visão do setor, de uma nuvem verdadeiramente híbrida, se torne realidade, embora já existam motivação e tecnologia para isso.
Serviços da Cloud 5 ofertas mais comuns da Cloud
CaaS (Communication-
as-a-Service)
PaaS (Platform-as-a-Service)
MaaS (Monitoring-as-a-
Service)
SaaS (Software-as-a-
Service)
IaaS (Infrastructure-as-
a-Service)
Serviços da Cloud Comunicação como Serviço
CaaS representa o uso e a aplicações da comunicação como serviço, que são fornecidos por prestadores de serviços localizados fora da organização, para os serviços de VOIP (voz sobre IP), IM (instant messaging), e as telecomunicações com vídeos.
O modelo de Communication-as-a-service permite que seus clientes corporativos implementem seletivamente os serviços e recursos em toda a empresa a partir de uma base de serviços utilizados, seguindo o preceito de que somente paga pelo o quê demanda, denominado de pay-per-use.
SIP Session Initiation Protocol – É um protocolo de sinal que estabelecem chamadas e conferências através de redes via Protocolo IP.
Serviços da Cloud Software como serviço
É uma forma de distribuição e comercialização de software. No modelo SaaS o fornecedor do software se responsabiliza por toda a estrutura necessária para a disponibilização do sistema (servidores, conectividade, cuidados com segurança da informação) e o cliente utiliza o software via internet, pagando um valor recorrente pelo uso.
Serviços da Cloud Vantagens Software como serviço
Permite aumentar ou reduzir as licenças ao longo do tempo, de acordo com as necessidades do negócio.
Não exige que o cliente crie uma estrutura e capacite os profissionais para manter o sistema funcionando, permitindo que ela se foque no seu negócio.
Permite uma abordagem gradual de implantação, podendo começar com poucas licenças e expandir conforme tiver um retorno positivo do seu investimentos, reduzindo os riscos e o tempo para o retorno do investimento.
Serviços da Cloud Plataforma como serviço
• É utilizado para o desenvolvimento de aplicações, pois ao invés de realizar a aquisição de Hardware e Software para os programadores locais utilizarem em um determinado projeto, as organizações contratam um provedor de serviços para estes recursos de computação.
Vantagem:Quando o projeto de desenvolvimento acaba, os recursos são devolvidos ao provedor de serviços de cloud, eliminando investimentos altos que ficaram obsoletos.
Serviços da Cloud Infraestrutura como Serviço
• É a entrega da infraestrutura de computação como um serviço em um ambiente típico de plataforma virtualizada. Também conhecida como HaaS (Hardware-as-a-service), o cliente aluga o hardware que necessita do provedor de serviços para implementar servidores.
• Ao invés de adquirir espaço em datacenter, servidores, software, equipamento de rede, etc, clientes da IaaS essencialmente alugam estes recursos como um serviço terceirizado completo. O serviço é cobrado em uma base de serviços prestados e consumidos pelo cliente ao mês. O cliente somente paga por aquilo que consumir de recursos.
Visão Geral da Organização ISO
• O que é organização ISO ?
• A ISO – International Organization for Standardization – é a maior organização para desenvolvimento e publicação de normas. Ela faz o relacionamento entre os órgãos nacionais de normatização de diferentes países. É uma organização não governamental, que forma uma ponte entre os setores público e privado. Sediada em Genebra, na Suíça, foi fundada em 1946.
• O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.
• A sigla ISO foi originada da palavra isonomia.
Visão Geral das normas ISO/IEC 27001 e 27002.• Foram adotadas e traduzidas pela ABNT.
• NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos
• NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Gestão de Segurança da Informação
História das normas ISO 27001: 2006 e da 27002:2005
1993 Publicado o código de prática pelo governo Inglês
1995 Republicado pelo BSI como BS 7799
1999 Primeira grande revisão da BS 7799
2000Republicado como padrão internacional ISO/IEC 17799
2002Publicada a BS 7799-2 especificação do SGSI
2005A BS 7799-2 é publicada como ISO/IEC 27001 e ISO/IEC 1799 como ISO/IEC 27002
Abril 2006A ABNT publica a NBR ISO/IEC 27001:2006
Considerações sobre a Norma ISO/IEC 27002Objetivo da Norma Fornecer recomendações básicas e mínimas para a gestão de
segurança da informação nas diversas organizações. Na medida em que várias organizações seguem esta norma, tem início a criação de uma base comum para a prática da segurança da informação.
Considerações iniciais Quando da aplicação da norma na organização, talvez nem todos
os controles e recomendações possam ser aplicados, bem como alguns controles adicionais passam ser necessários.
As obrigações legais devem sempre ser consideradas principalmente porque determinados segmentos de negócio possuem mais regulamentos legais que outros. O profissional de segurança deve ter o conhecimento desses aspectos legais, já que eles não são descritos na norma.
Considerações sobre a Norma ISO/IEC 27002
Fatores críticos de sucesso Para que o processo da segurança da informação tenha sucesso é
necessário que os regulamentos estejam alinhados com os objetivos de negócio, a forma de implementação seja coerente com a cultura da organizacional, exista o apoio verdadeiro da alta administração, as ações de treinamento e educação sejam permanentes e existam recursos (financeiros, pessoas, tempo) para que o processo de segurança da informação seja efetivo, isto é, eficiente e eficaz ao longo do tempo.
Política de Segurança da Informação Deve existir uma política de segurança da informação com o
objetivo de prover uma orientação e apoio para a implementação das ações de proteção. Essa política será explicitada através de um documento que deverá ser de conhecimento de todos e deve estar alinhada aos requisitos de negócio.
Considerações sobre a Norma ISO/IEC 27002
Gestão de Ativos Para possibilitar a proteção adequada da informação é necessário
que se tenha a identificação dos ativos (recursos) de informação, seus responsáveis, sua forma de uso, sua classificação em termos de sigilo.
Segurança Física e do Ambiente Os ambientes físicos onde estão os recursos (ativos) de informação
devem ser protegidos contra ameaças que podem danificar esses recursos e prejudicar a utilização da informação para o negócio.
Considerações sobre a Norma ISO/IEC 27002
Controle de acesso Os procedimentos para um efetivo controle de acesso lógico têm
por objetivo garantir que apenas os usuários cadastrados e previamente autorizados acessarão a informação de acordo com o tipo de uso permitido: leitura, alteração, gravação e/ou remoção.
Conformidade• Evitar a violação de qualquer lei criminal ou civil, estatutos,
regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança é o objetivo desse item de conformidade. Para tanto, deve-se identificar a legislação vigente e outros regulamentos específicos a que negócio da organização está submisso.
Certificação ISO/IEC 27002 Foundation E composto por 40 questões de múltipla escolha, sendo necessária
acertar no mínima 26 questões (65%).
O exame pode ser realizado pela PMG EDUCATION onde poderá ser feito online de onde e quando quiser, não sendo necessário se deslocar até um centro PROMETRIC.
Disponível nos idiomas inglês, alemão, português, chinês, francês e espanhol.
Sem consulta.
Valor: R$ 399,99 parcelado em até 18x no PagSeguro direto no site.
A prova também poderá ser comprada diretamente do site do EXIN por U$179,00 com desconto de 6%, porém somente a vista com cartão de crédito – Utilize o voucher - F3292D2F9165
PROMOÇÃO DA PMG EDUCATION
WEBEXISO27002ALL
Utilize o voucher abaixo e ganhe 50% para a compra de todos os produtos da nossa loja.
OBRIGADA PELA PRESENÇA!
Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar
diretamente ao palestrante.
Perguntas ?
CONSIDERAÇÕES FINAIS:
• Vamos disponibilizar Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações.
• Ao fechar o Webex, a pesquisa aparecerá na sua tela.
Milena AndradeRegional Manager
Haddan de Queiroz RochaPalestrante e instrutor da
[email protected]://pmgeducation.com.br
