POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - CJF

Tópicos:

Ameaças Virtuais Política de Segurança da Informação Resolução No 006/2008-CJF Documentos Acessórios

Ameaças Virtuais

Matéria da RedeTV! no dia 18/06/2011:

“Dados sigilosos são alvo de crimes virtuais”

Link de acesso: http://www.redetv.com.br/Video.aspx?52,15,197993,jornalismo,redetv-news,dados-sigilosos-sao-alvo-de-crimes-virtuais

Ameaças Virtuais

Em 2010 o Brasil ficou entre os 10 países que mais enviou spams (ESET);

O número de spams no país saltou de 17,2 milhões em 2009 para 41 milhões

em 2010, um aumento de 138% (CERT.br);

Brasil ficou em 3º lugar no ranking de ataques virtuais em 2009 (Symantec);

Foram lançados cerca de 20 milhões de novos malwares em 2010 (McAfee

Labs).

Ameaças Virtuais

Resumo diário de entrada de e-mail no anti-spam – 11/09/2011:

Política de Segurança da Informação – Conceitos

Documento que norteia todas ações relacionados à segurança da informação

da organização;

Realizada em uma abordagem a partir do topo;

Visa promover ações pró-ativas para proteção e disponibilidade dos serviços;

Recomendação de normas internacionais (BS 7799 , ISO/IEC 17799, NBR

ISO/IEC 27001 e NBR ISO/IEC 27001).

Política de Segurança da Informação – Conceitos

Contempla os itens:

Definição de segurança

Meta

Escopo

Importância para organização

Política de Segurança da Informação – Conceitos

Recomenda-se para uma PSI:

Regras gerais e estruturais que se aplicam ao contexto de toda organização;

Abrangente o bastante para abarcar possíveis exceções;

Complementada com normas e procedimentos.

Política de Segurança da Informação – Conceitos

Aspectos de Segurança:

Tecnológicos

Humanos

Processuais

Jurídicos

Negociais

Resolução No 006/2008-CJF

Define as diretrizes e regulamentações relativas à segurança da informação no âmbito do Conselho da Justiça Federal e na Justiça Federal de primeiro e segundo graus.

Cada órgão responsável pela implantação da Política de Segurança da

Informação deverá elaborar documentos próprios e diferenciados.

Prazo de dois anos a partir de 22/04/2008.

Resolução No 006/2008-CJF

Agentes Responsáveis:

Comitê de Segurança da Informação da Justiça (CSI-Jus)

Comitê de Resposta a Incidentes de Segurança da Justiça (CRI-Jus)

Comissão Local de Segurança da Informação (CLSI)

✔ Tribunais Regionais Federais

✔ Seções Judiciárias

Comissão Local de Resposta a Incidentes de Segurança da Informação (CLRI)

✔ Tribunais Regionais Federais

✔ Seções Judiciárias

Resolução No 006/2008-CJF

Composição do CLSI:

Presidida pelo dirigente do órgão ou seu representante;

Chefia técnica da área de Segurança da Informação;

Área Administrativa;

Área Judiciária;

Área Jurídica.

Resolução No 006/2008-CJF

Cabe ao CLSI:

• Manter ações preventivas e educativas;

• Manter atualizados os documentos acessórios;

• Dar ciência ao CSI-Jus de todas as modificações e ajustes;

• Propor ações de treinamento e atualização necessárias;

• Coordenar as atividades e analisar os resultados do CLRI.

Obs: Cabe à área de TI a implementação e o cumprimento das práticas

propostas na política de segurança da informação no escopo de seu

órgão.

Documentos Acessórios

Contém as orientações e melhores práticas para as diversas disciplinas abordadas seguindo as especificidades de cada órgão participante;

Todos os documentos deverão possuir prazo de revisão sugerido explícito em seu bojo.

Documentos Acessórios

Tipos de Documentos:

Documentos Acessórios Comuns

Documentos Acessórios Diferenciados até o nível de Região

Documentos Acessórios Diferenciados até o nível de Seção Judiciária

Documentos Acessórios

Documentos Acessórios Comuns:

Padrão para Criação de Documentos

Política de Auditoria de Segurança da Informação

Política de Gestão de Risco

Política de Segurança para Aquisição, Desenvolvimento e Manutenção de

Sistemas

Metodologia de Avaliação de Efetividade da Implementação da Política de

Segurança

Documentos Acessórios

Diferenciados até o nível de Região:

Política de Segurança de Acesso Físico Política Permanente de Conscientização e Treinamento Penalidades

Documentos Acessórios

Diferenciados a nível de Seção Judiciária:

Política de Controle de Acesso Lógico Política de Utilização de Recursos de TI Política de Classificação de Informações Plano de Continuidade de Negócios

Considerações Finais

A Segurança da Informação é um trabalho cíclico, contínuo e persistente;

Representa um desafio de inédita magnitude para os profissionais do setor e,

também, para a organização como um todo;

As medidas de segurança devem reduzir as fragilidades da organização sem

impactar fortemente na produtividade;

A principal ameaça à segurança das transações corporativas são as pessoas.

Níveis de Maturidade de SI

Nível 1Inicial

Nível 1Inicial

Nível 2Conhecido

Nível 2Conhecido

Nível 3Padronizado

Nível 3Padronizado

Nível 4Gerenciado

Nível 4Gerenciado

Nível 5Otimizado

Nível 5Otimizado

✔ Nenhuma iniciativa da organização OU iniciativas pessoais isoladas;✔ Resistência à alterações das práticas existentes.

✔ Conhecimento básico de segurança para os principais colaboradores;✔ Estabelecimento de uma linguagem comum.

✔ Mapeamento dos processos desde o Planejamento Estratégico.✔ Metodologia desenvolvida, implantada, testada e em uso.✔ Informatização de partes da metodologia em uso.✔ Estrutura organizacional implantada e em uso.

✔ Habilidades avançadas em segurança da informação;✔ Alinhamento com os negócios;✔ Metodologia estabilizada com identificação e eliminação de causas de desvios da meta de segurança.

✔ Otimização dos processos com ganhos em prazos, custos e qualidade.✔ Grande experiência em segurança da informação e capacidade de assumir riscos maiores.

Níveis de Maturidade de SI

Qual o nível de maturidade da

JFCE?

É o fim.

Obrigado!