En09 aula6-segurança da informação

BACHARELADO EM ENGENHARIA DE PRODUÇÃOEN09Gestão da Tecnologia da Informação

Profa. Rachel de Camargo

SEGURANÇA DA INFORMAÇÃO:PRINCÍPIOS BÁSICOS

2

GUARDAR ARQUIVOSEM LOCAL SEGURO


3

SUBIR O BACKUPDE DADOS


4

CUIDAR DA SEGURANÇA

DA REDE

AGORA, BRINCADEIRAS À PARTE ...

De onde vem a regulamentação para a gestão de segurança da informação?

Para que serve a gestão de segurança da informação?

O quanto a empresa deve investir nisso?

Que dimensões a segurança da informação engloba?

5

A SEGURANÇA DA INFORMAÇÃO É NORMATIZADA

ISO 27001:2006 – SGSISistemas de Gestão da Segurança

da Informação ISO 27002:2007

Boas práticas de Gestão da Segurança da Informação

ISO 27005:2008 Gestão de Risco em Segurança da

Informação6

ISO 27001 - SGSI

Requisitos plenamente compreendidos Estabelecimento de uma Política de

Segurança Controles para Gerência de Riscos ao Negócio Melhoria contínua baseada em medições

efetivas Exemplos:

Requisitos: “Incidentes de SegInfo não devem comprometer significativamente a situação financeira nem a imagem da corporação”

Expectativas: “Se um incidente ocorrer, deve haver uma equipe de resposta à Incidentes pronta e apta a minimizar os impactos decorrentes”

ESTRUTURA DOS PROCESSOS

SGSI Política, objetivos, processos e

procedimentos do SGSI Foco na Gestão do nível de risco Atendimento das políticas e objetivos

globais da organização

Política Controles Processos Procedimentos

Métrica – política e objetivos dos controles

Resultados criticamente analisados pela Direção

Orientação por resultados

Reação por informações de impropriedade do SGSI com os objetivos e expectativas definidos

REQUISITOS DE UM SGSI

Assegurar a seleção de controles adequados à proteção dos ativos da informação.

Termos relevantes: Ativo - Elemento de valor para a organização (Físicos,

Tecnológicos, Humanos, Informação).

Atributos da Informação - Disponibilidade (acessível sob demanda por alguém autorizado); Confidencialidade (vedar acesso a alguém não-autorizado); Integridade (exatidão e completeza da informação).

9


Atributos Adicionais - Autenticidade (genuinidade da informação, ligada a sua origem); Responsabilidade (identificação de autoria e credenciamento para criação e modificação); Não-repúdio (garantia de não negação da criação ou alteração da informação, durante o ciclo de vida da informação); Confiabilidade (grau de certeza da veracidade e precisão de uma informação); Legalidade (grau de conformidade da informação com aspectos legais e do negócio).

10


Evento de SegInfo - Ocorrência identificada de um estado de sistema, serviço ou rede, indicando: uma possível violação da política de segurança; falha de controles ; ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Incidente de SegInfo - Um ou mais eventos de segurança indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Declaração de Aplicabilidade – associada ao nível de risco presente no negócio. O risco pode ser entendido como a probabilidade de ocorrência de um Incidente de SegInfo.

11

COMO MONTAR UM PLANO DE SGSI EFICAZ?

1. Definir escopo2. Definir política que:

a. Inclua uma Estrutura para SegInfob. Esteja alinhada com o negócioc. Estabeleça critérios para avaliação de riscosd. Seja aprovada pela Direção

3. Definir abordagem de análise/avaliação de riscos4. Identificar/analisar/avaliar/tratar riscos5. Selecionar objetivos de controles6. Obter aceitação da direção para os riscos residuais7. Obter aprovação da direção para operar o SGSI8. Elaborar a declaração de aplicabilidade

12

ISO 27002 (17799) BOAS PRÁTICAS

Fontes de requisitos para SegInfo: Identificação de ameaças, vulnerabilidades e seus

impactos. Legislação que a corporação, parceiros, clientes e

provedores tem que cumprir, bem como a cultura Requisitos do negócio

Análise e avaliação dos riscos: Gastos com controles devem ser balanceados com

os danos causados ao negócio pelos incidentes de segurança.

Repetição periódica. Controles devem ser escolhidos visando reduzir o

risco a um patamar aceitável.

13

ISO 27002 (17799) BOAS PRÁTICAS

Controles Essenciais (ponto de vista legal): Proteção de Dados e Privacidade das

Informações pessoais Proteção dos Registros Organizacionais Direitos de Propriedade Intelectual

Controles Práticos para SegInfo: Documento da Política de SegInfo Atribuição de Responsabilidades Conscientização, educação e treinamento Processamento Correto das Aplicações Gestão de Vulnerabilidades Técnicas Gestão da Continuidade do Negócio Gestão de Incidentes e Melhorias

14

ORGANIZANDO A QUESTÃO DA SEGURANÇA DA INFORMAÇÃO

Partes Externas – Manter a SegInfo quando há acesso, processamento, comunicação ou gerência externa. Identificação dos riscos:

No relacionamento com o Cliente –Os requisitos de SegInfo para este segmento devem ser considerados antes de se conceder o acesso aos ativos ou informações da organização.

Nos acordos com terceiros –Os acordos com terceiros devem cobrir todos os requisitos de SegInfo relevantes.

15

Gestão de Ativos - Alcançar e manter a proteção adequada dos ativos da organização:

Inventário dos Ativos – Inventário com clara identificação deve ser estruturado e mantido.

Proprietário dos Ativos – Associação dos recursos de processamento da informação com um responsável (pessoa ou organismo).

Uso Aceitável dos Ativos – Regras para o uso das informações e de ativos.

Classificação da Informação – Assegurar que a informação tenha um nível adequado de proteção.


16

Segurança em Recursos Humanos: Antes da Contratação – Assegurar que todos

entendam suas responsabilidades e estejam de acordo com papéis definidos, reduzindo risco de roubo, fraude ou mau uso de recursos.

Durante a Contratação – Assegurar que todos estejam permanentemente conscientes dos aspectos de SegInfo, estando assim aptos a apoiar a política de SegInfo e reduzir riscos.

Encerramento ou Mudança da Contratação –Assegurar que todos que deixam o vínculo com a organização o façam de forma ordenada.


17

Segurança Física e do Ambiente: Áreas Seguras – Prevenir acesso físico não-

autorizado. Segurança de Equipamentos – Impedir perdas,

danos, furto ou comprometimento de ativos e interrupção das atividades da organização.

Gerenciamento das Operações e Comunicações: Procedimentos e Responsabilidades operacionais –

Garantir a operação correta dos recursos de processamento da informação.

Gerenciamento de Serviços Terceirizados –Implementar o nível de SegInfo e garantir o cumprimento dos acordos de entrega de serviços.

Planejamento e Aceitação de Sistemas – Minimizar o risco de falhas em sistemas.

Proteção contra códigos maliciosos e códigos móveis –Proteger a integridade do software e da informação.


18

Gerenciamento das Operações e Comunicações (continuação): Cópias de Segurança – Manter a integridade e a

disponibilidade da informação e dos recursos de processamento da informação.

Gerenciamento da Segurança em Redes – Garantir a proteção das informações em redes e a proteção da infraestrutura de suporte.

Manuseio de Mídias – Prevenir divulgação não-autorizada, modificação, remoção ou destruição de ativos e interrupções das atividades do negócio.

Troca de Informações – Manter a SegInfo nas trocas de informações internas e externas.

Serviços de Comércio Eletrônico – Garantir a segurança de serviços de comércio eletrônico e sua utilização segura.

Monitoramento – Detectar atividades não autorizadas de processamento de informação.


19


Controle de Acessos Requisitos de Negócio para Controle de Acesso –

Controlar o acesso à informação. Gerenciamento de Acesso do Usuário – Assegurar acesso

ao usuário autorizado e prevenir o acesso não autorizado. Responsabilidades dos Usuários – Prevenir acesso não

autorizado e evitar o comprometimento ou roubo da informação e seus recursos.

Controle de Acesso à Rede – Prevenir o acesso não autorizado.

Controle do Acesso ao Sistema Operacional – Prevenir acesso não autorizado.

Controle do Acesso à Aplicação e à Informação – Prevenir acesso à informação contida nos sistemas.

Computação Móvel e Trabalho Remoto – Garantia da segurança.

20


Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação Requisitos de Segurança de Sistemas de Informação –

Garantir a integração da segurança em Sistemas de Informação.

Processamento correto de aplicações – Prevenir ocorrência de erros, perdas, modificação não autorizada ou mau uso das informações.

Controles Criptográficos – Proteger a confidencialidade, a autenticidade ou a integridade.

Segurança dos Arquivos do Sistema – Garantir a segurança de arquivos do sistema.

Segurança em Processos de Desenvolvimento e de Suporte –Manter a segurança de aplicativos e da informação.

Gestão de Vulnerabilidades Técnicas – Reduzir riscos resultantes da exploração de vulnerabilidades técnicas conhecidas.

21


Gestão de Incidentes de Segurança da Informação Notificação de Fragilidades e Eventos de Segurança

da Informação – Assegurar que fragilidades e eventos de SegInfo sejam comunicados, visando a ação corretiva em tempo hábil.

Gestão de Incidentes de Segurança da Informação e melhorias – Assegurar um enfoque consistente e efetivo.

22


Gestão da Continuidade do Negócio Aspectos da Gestão da Continuidade do Negócio,

relativos à SegInfo – Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres e assegurar sua retomada em tempo hábil.

Conformidade Conformidade com Requisitos Legais – Evitar

violação de qualquer requisito legal. Conformidade com Normas e Políticas de SegInfo e

Conformidade Técnica – Garantir conformidade dos sistemas com as políticas e normas organizacionais.

Considerações quanto à Auditoria de Sistemas –Maximizar a eficácia e minimizar a interferência no processo de auditoria.

23

ISO 27005:2008

VIVENCIANDO ... A última etapa do processo de análise das políticas de

Tecnologia da Informação na empresa selecionada pelo grupo diz respeito à Gestão da Segurança da Informação. Nesse aspecto, cabe ao grupo: Identificar se há, formalmente, uma política de SegInfo em

vigor na empresa. Verificar quantos profissionais se envolvem nessa área, e

de que tipo (pessoal de informática, administrativo, terceiros?).

Ainda que não exista um plano formal de SegInfo, exemplifique ações de SegInfo com relação: À proteção de dados e privacidade das informações pessoais. À proteção dos registros organizacionais. Aos direitos de propriedade intelectual.

Que ações de melhoria podem ser propostas para um ganho de efetividade nas políticas de SegInfo desta empresa.

25

En09 aula6-segurança da informação

Documents

Transcript of En09 aula6-segurança da informação