Projeto em Seguranca da Informação

Projeto em Segurança da

Informação

Adaptado de um case de diagnóstico em gestão de S.I. por Fernando Palma e Marcelo Gaspar

www.portalgsti.com.br

Objetivos

� Abordar os benefícios e objetivos da gestão da Segurança da Informação na prática

� Apresentar o planejamento do projeto de Segurança da Informação

www.portalgsti.com.br

Agenda

� Equipe do projeto

� Segurança da Informação (S.I.) – overview

� Incidentes comuns em Segurança da Informação

� Segurança da Informação na Prática

� O projeto da <<confidencial>>

� Introdução

� Escopo e Andamento

Agenda




� Segurança da Informação da Prática


� Introdução


Agenda


� Segurança da Informação – overview




� Introdução


No mundo

Ataques

Incidentes em Segurança da Informação – no mundo

Vazamento de informações

www.estado.com.br

Vazamento de informações

Deixou vazar a informação..

www.computerworld.com.br

Perda / indisponibilidade da informação

No Brasil

Ataques

Incidentes em Segurança da Informação – no Brasil

Globo.com – Junho 2011

Ataques

Malwares (software malicioso)

Incidentes em Segurança da Informação – no Brasil

Globo.com

Vazamento de Informações

www.estado.com.br


www.globo.com

Perda / indisponibilidade da informação


Incidentes em Segurança da Informação – Saúde

Indisponibilidade da informação

Ataques

Ataques

www.idgnow.com.br

Agenda






� Introdução


Segurança da Informação na prática

Segurança da Informação

É a proteção da informação contra diversos tipos de ameaças

Obtida a partir de um conjunto de controles

O que é?

Como?

Qual o objetivo?

Garantir a Continuidade

ao Negócio

Minimizar o risco ao negócio

Maximizar

Retorno sobre

investimentos

Oportunidades de

negócio

Pilares da Segurança da Informação

Segurança da Informação – Pilares da S.I.

Confidencialidade

Integridade

Disponibilidade

Somente pessoas autorizadas terão acesso às

informações.

As informações manipuladas devem manter

todas as características originais estabelecidas

pelo proprietário da informação.

A informação deve estar disponível, sempre

que necessário, quando requisitada por

pessoas autorizadas.

Ainda: Autenticidade e Não Repúdio

Segurança da Informação – Pilares da S.I.

Confidencialidade

Integridade

Disponibilidade

a) Informações de prontuários do paciente devem ser

visualizadas apenas pelo médico responsável.

b) Informações sobre as Reuniões Estratégicas são

limitadas aos participantes.

Exemplos

Nível de integridade das informações de: a)Relatórios

de glosa b) Informações do paciente

c) Indicação de OPME padronizada não padronizada

c) Medicamentos prescritos para pacientes UTI

Nível de disponibilidade de: a) Relatório financeiro no

fim do mês b) Prontuário do paciente c) Documentos

dos profissionais no RH (carteira de trabalho,

diploma) d) informações pessoais sobre visitantes. e)

informações do controle de estoque

Impacto de incidentes de segurança: exemplos

Segurança da Informação – casos reais incidentes de S.I.

Confidencialidade

Integridade

Disponibilidade

Impacto na falta de...

Da informação

“A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço das informações foi constatado na madrugada de quinta-feira, quando seria feito um back-up dos dados dos servidores.”

“A decisão regional acrescentou que a enfermeira fez uso das cópias dos prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja, violou segredo profissional em duas oportunidades, e que o fato de não ter recebido punições disciplinares anteriores não impediria a aplicação da justa causa.” http://www.tst.jus.br/

Confidencialidade

Integridade

Segurança da Informação –impactos gerais de incidentes de S.I.

Confidencialidade

Integridade

Disponibilidade

Impacto na...

Da informação

Processos Judiciais Perdas financeiras

Exposição Não conformidade

Perda de vida humana

Perdas financeirasTomada de decisão

errada

Impacto na saúde do paciente

Impacto na imagem da empresa

Perda de vida humana

Perdas financeirasTomada de decisão

errada

Não conformidadeBaixa performance ou até indisponibilidade

dos processos de negócio: atendimento, internação, ambulatorial.

Do que devemos proteger?

Segurança da Informação - ameaças

Ameaças físicas

Incêndio EnchentesAcesso indevido de pessoasProblemas elétricos

Ameaças Tecnológicas

VírusBugs de SoftwareIndisponibilidade de rede

Ameaças Humanas

SabotagemFraude Negligência

“Um grande erro nas organizações é pressupor que pessoas sensatasfazem coisas sensatas.” (Mintzberg, 2010)

Ameaças são mais comuns do que imaginamos...

Conclusão: adoção de controles como forma de gerenciar os riscos

Segurança da Informação na prática


É a proteção da informação contra diversos tipos de ameaças

Obtida a partir de um conjunto de controles

O que é?

Como?

Qual o objetivo?

Garantir a Continuidade

ao Negócio

Minimizar o risco ao negócio

Maximizar

Retorno sobre

investimentos

Oportunidades de

negócio

Segurança da Informação – controles

Controles

O que são?

Como?

Políticas

Pro

cedim

ento

s/N

orm

as

Pro

cessos

Estrutu

ras o

rganizacio

nais

Práticas

Devem ser

ImplementadosEstabelecidos

Monitorados

Avaliados criticamente

Melhorados

Segurança da Informação - controles

Controles

Pro

cedim

ento

s/N

orm

as

Pro

cessos

Estrutu

ras o

rganizacio

nais

Práticas

Políticas

Exemplos: � Política de mesa limpa� Política de acesso ao centro cirúrgico� Política de Licenciamento de Software

Uma política define um resultado esperado. São intenções e diretrizes

formalmente expressas pela direção


Controles

Pro

cedim

ento

s/N

orm

as

Pro

cessos

Estrutu

ras o

rganizacio

nais

Práticas

Políticas

Normas estabelecem obrigações e procedimentos definidos de acordo com as

diretrizes da Política. O procedimento instrumentaliza o disposto nas normas.

� Norma de controle de acesso a instituição: catraca, identificação de visitantes

� Procedimento de identificação de visitantes: cadastro de nome, RG, departamento a visitar, etc.

� Procedimentos para contabilidade e balanço


Controles

Pro

cedim

ento

s/N

orm

as

Pro

cessos

Estrutu

ras o

rganizacio

nais

Práticas

Políticas

� Processo de Gestão da Continuidade de Negócio. � Adaptações em processos. Ex: internação de pacientes� Processo de análise contínua de riscos de SI


Controles

Pro

cedim

ento

s/N

orm

as

Pro

cessos

Estrutu

ras o

rganizacio

nais

Práticas

Políticas

� Escritório de Segurança da Informação� Comitê de Segurança da Informação� Departamento de segurança coorporativa

Funções e papeis


Controles

Pro

cedim

ento

s/N

orm

as

Pro

cessos

Estrutu

ras o

rganizacio

nais

Práticas

Políticas

� Conscientização e capacitação em S.I. para todos profissionais � Documentação da política da Segurança da Informação (faz

parte do escopo deste projeto).

Ações cotidianas ou ocasionais

Agenda






� Introdução


Escopo da norma ISO 27002

Introdução ao projeto - metodologia

Seção Alguns controles

1) Política de segurança da

informação

(...) “documento da política de segurança da informação”(...) “Convém que a política de segurança da informação seja analisada criticamente”

2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança da informação” (...) “Convém que sejam mantidos acordos de confidencialidade” (...)

3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos e documente a importância destes ativos.” (...)

4) Segurança em recursos

humanos

(...) ”Convém que exista um processo disciplinar para os funcionários que tenham cometido uma violações.”

5) Segurança Física e do Ambiente (...)6) Gerenciamento de operações (...)7) Controle de Acesso (...)8) Aquisição, desenvolvimento e

manutenção de sistemas

(...)

9) Gestão de Incidentes de SI (...)10) Gestão de Continuidade (...)

11) Conformidade (...)

Introdução ao projeto - metodologia

Exemplos de controles aplicáveis

�Controle de acessos:• Implantação de catracas / identificação de colaboradores e

visitantes.• Identificar autores de possíveis incidentes, assim como

mitigá-los� Segurança em Recursos Humanos:

• Na contratação: Solicitar antecedentes criminais para áreas que necessitem. Solicitar comprovação por diploma para cargos de nível superior

• Possíveis impactos: incidentes intencionais ou por imprudência.

Agenda






� Introdução


Escopo do Projeto

Diagnóstico e Plano de ação em Segurança da Informação

Planejamento do Projeto

Avaliação da Situação atual

Elaboração do Plano de Ação

Elaboração da Política de


Já executado

A executar

Escopo do Projeto







Escopo do Projeto

Planejamento

Conduzir reuniões de planejamento

Estudo inicial da organização

Levantamento de histórico

Elaboração do plano global do projetoVisitas preliminares

Conduzir palestras iniciais

� Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do projeto

� Datas previstas: 29/07 a 09/08

Entrega prevista

Plano Global do Projeto

� Escopo do trabalho� Cronograma� Riscos previstos� Detalhes sobre as entregas� Plano que está sendo apresentado

neste instante

Escopo do Projeto







Processo de Análise da Situação atual

1) Análise

preliminar2) Entrevistas

3) Visitas

técnicas

4) Análise de

dados e

elaboração

de relatórios

Fase de PlanejamentoFase de Diagnóstico

Plano de Ação

Escopo do Projeto

Política de Segurança da Informação

Processo de Análise da Situação atual

Escopo do projeto – análise preliminar e entrevistas

1) Análise

preliminar

Fase de Planejamento

Visita inicial

� Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em segurança com o apoio do líder do comitê gestor (cliente)

� Datas previstas:

Fase de diagnóstico

2) Entrevistas

Entrevistas com

coordenadores

Detecção de riscos de SI


3) Visitas

técnicas

Escopo do projeto – Visitas técnicas

Colher de evidencias necessárias para

diagnósticos realizados

Obter informações que contribuam com a análise

de impacto para controles não identificados;

Análise dos riscos de SI

� Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do comitê gestor (cliente)

� Datas previstas:


4) Análise de

dados e

elaboração

de relatórios

Escopo do projeto – Relatórios de diagnóstico

Entrega prevista

Relatório de Análise da Situação Atual� Controles avaliados;� Ameaças e consequentes riscos� Avaliação dos processos relacionados

recurso humanos e responsabilidades� Lista, classificação e prioridade dos riscos� Recomendações.

� Data prevista:

Apresentação prevista:

Escopo do Projeto







Entrega prevista

Política de Segurança

� Objetivos, aplicações, princípios

� Responsabilidades � Gestão de recursos

Humanos, Segurança Física, gerenciamento de operações, controle de acesso, gestão de incidentes, conformidade, entre outros itens.

Escopo do projeto – Plano de Ação

Entrega prevista

Plano de Ação

� Lista e detalhamento das recomendações

� Categorização das recomendações

� Recomendações a curto, médio e longo prazo

� Responsabilidades, esforços, instrumentos

� Estrutura e ambiente previstos

� Data prevista:

Provisão apresentação:

Elaboração do Plano de

Ação

Elaboração da Política

de S.I.

� Data prevista:

Previsão apresentação:

Agenda





� O projeto

� Introdução


Projeto em Seguranca da Informação

Technology

Transcript of Projeto em Seguranca da Informação