Roadsec PRO - Segurança Cibernética Através da ITIL Security

O MAIOR EVENTO DE HACKING, SEGURANÇA E TECNOLOGIA DO BRASIL DO CONTINENTE

Segurança Cibernética através da "ITIL Security"

Rafael Maia

MAS QUEM É RAFAEL MAIA?

29/04/2016 3

Rafael MaiaProfissional/Esdutantil

Estudante independente de GRC(Governança, Risco e Compliance)ITSM and Security EvangelistDiretor de Marketing – SUCESU CEARÁProfessor UniversitárioInstrutor Oficial – EXIN pela HSI InstitutePerito em Computação Forense e Diretor Financeiro – APECOF

FormaçãoFIC

Superior de Formação Específica em Projetos e Implementação de Redes de ComputadoresTecnólogo em Redes de Computadores

FATENEMBA em Gerência de Redes de Computadores e Telecomunicações

CertificaçõesITIL PPO INTERMEDIATE – EXINITIL RCV INTERMEDIATE – EXINITIL SO INTERMEDIATE – EXINITIL OSA INTERMEDIATE – EXINITIL Foundation V2/V3 – EXINISO 20000 Foundation – EXINISO 27002 Foundation – EXINMTA Security Fundamentals - MSGreen IT Citizien – EXIN

29/04/2016 4

Objetivo

Demonstrar como o processo degerenciamento de segurança dainformação(SI) do framework degerenciamento de serviços de TI, ITIL,pode ser utilizado como melhorprática, somando a outras, desegurança cibernética.

29/04/2016 5

Agenda

• Introdução

• Desenvolvimento

• Conclusão

• Referências

29/04/2016 6

IntroduçãoO que é informação?

04/05/2016 7

“Informação é um ativo que, comoqualquer outro ativo, importantepara os negócios, tem valor para aorganização e consequentementenecessita ser adequadamenteprotegida.” – ISO 27002

IntroduçãoDiferença entre dados e Informação

04/05/2016 8

• Dados com significado após seremprocessados por TI são informações quepodem ser: Impressa ou escrita em papel Armazenada Eletronicamente Transmitida pelo correio ou por meios

Eletrônicos Vídeos ou Áudio Verbalizada

IntroduçãoExiste SI antes do ITIL?

04/05/2016 9

• Sim. É a Preservação da confidencialidade, integridade

e disponibilidade da informação; adicionalmente,outras propriedades, tais como autenticidade,responsabilidade, não repúdio e confiabilidade,podem também estar envolvidas – ISO 27001

É a proteção da informação de vários tipos deameaças para garantir a continuidade do negócio,minimizar o risco ao negócio, maximizar o retornosobre os investimentos(ROI) e as oportunidadesde negócio. – ISO 27002

IntroduçãoOutras palavras chaves

04/05/2016 10

Ameaça

Impacto/Dano

Vulnerabilidade

Ativo

Risco

IntroduçãoRelacionando as Palavras

04/05/2016 11

Como está a sua percepção?

04/05/2016 12

DesenvolvimentoO que é ITIL?

04/05/2016 13

Information Technology Infrastructure Library É um framework que descreve as

melhores práticas em gerenciamento deserviços de TI• Fornece uma estrutura para a Gestão e

Controle dos serviços de TI

• Centra-se na medição e melhoria contínuada qualidade dos serviços de TI entregues

DesenvolvimentoEstágios do Ciclo de Vida do Serviço

04/05/2016 14

DesenvolvimentoEstágios do Ciclo de Vida do Serviço

04/05/2016 15

Estratégia do Serviço• Estratégia de Serv. de TI

• Financeiro

• Portfólio

• Demanda

• Relacionamento de Negócio

Desenho do Serviço• Coordenação de Desenho

• Catálogo

• Nível de Serviço

• Disponibilidade

• Capacidade

• Continuidade

• Segurança da Informação

• Fornecedor

Transição do Serviço

• Planejamento de Suporte de Transição

• Mudança

• Configuração e Ativo

• Liberação e Implantação

• Serviço de validação e teste

• Avaliação da Mudança

• Conhecimento

Operação do Serviço• Eventos

• Incidentes

• Cumprimento de Requisição

• Problemas

• Acesso

Melhoria Continuada• processo de melhoria em 7 passos

DesenvolvimentoSegurança Cibernética através da "ITIL Security"

04/05/2016 16

O que é SI?

A segurança da informação é um processo degestão dentro da estrutura de governançacorporativa, que fornece a direçãoestratégica para as atividades de segurançae garante que os objetivos sejamalcançados.


04/05/2016 17

O que é Governança Corporativa?• É o conjunto de responsabilidades e práticas

exercidas pelo conselho de administração e gestãoexecutiva.


04/05/2016 18

O que SI garante?• Os riscos de SI sejam devidamente geridos; e

• Os recursos de informação da empresa são utilizadosde forma responsável.

O que o gerenciamento de SI oferece?• Um foco para todos os aspectos de segurança da TI; e

• Gerencia todas as atividades de segurança da TI.


04/05/2016 19

Propósito• Alinhar a segurança de TI com a segurança do

negócio e assegurar que a confidencialidade,integridade e disponibilidade dos ativos,informações, dados da organização e de serviços deTI sempre correspondam às necessidades de negócioacordadas.


04/05/2016 20

Objetivo

• Proteger os interesses daqueles quedependem das informações e ossistemas e comunicações queproporcionam a informação, dos danosresultante de falhas de CID


04/05/2016 21

Quando é cumprido esse objetivo?1. A informação é absorvida ou divulgadas somente

para aqueles que têm o direito de saber

2. A informação é completa, precisa e protegidoscontra modificações não autorizadas

3. A informação está disponível e utilizável quandonecessário, e os sistemas que fornecem podeapropriadamente resistência a ataques erecuperar ou prevenir falhas

4. As transações comerciais, bem como o intercâmbiode informações entre as empresas, ou comparceiros, possam ser confiáveis


04/05/2016 22

Escopo• Operação de negócios atual e seus requisitos de

segurança;

• Planos e requisitos de negócios futuros;

• Requisitos legais e regulamentares;

• Obrigações e responsabilidades em matéria de segurança contidas no ANS´s;e

• A gestão dos riscos de TI e do negócio.

• Política e planos de segurança do negócio;


04/05/2016 23

SGSI• Um sistema formal para estabelecer política e

objetivos.

Um SGSI consiste em:• Uma política de segurança da informação principal

e políticas de segurança específicas que tratam cada aspecto da estratégia, controle e regulação;

• Um conjunto de controles de segurança para apoiara política;

• A gestão de riscos de segurança; e • Processos de monitoramento para garantir a conformidade

e fornecer feedback sobre a eficácia.


04/05/2016 24

Políticas• Uma política global de segurança da informação.

• Uso e abuso dos ativos de TI política;

• Uma política de controle de acesso;

• Uma política de controle de senha;

• Uma política de e-mail;

• Uma política de internet;

• Uma política antivírus;

• Uma política de classificação da informação;

• A política de classificação de documentos;

• A política de acesso remoto;

• A política relativa ao acesso fornecedor de serviços de TI, ainformação e os componentes;

• A política de violação de direitos autorais de material eletrônico; e

• Uma política de alienação de bens.


04/05/2016 25

Políticas• Uma política global de segurança da informação.

• Uso e abuso dos ativos de TI política;

• Uma política de controle de acesso;

• Uma política de controle de senha;

• Uma política de e-mail;

• Uma política de internet;

• Uma política antivírus;

• Uma política de classificação da informação;

• A política de classificação de documentos;

• A política de acesso remoto;

• A política relativa ao acesso fornecedor de serviços de TI, ainformação e os componentes;

• A política de violação de direitos autorais de material eletrônico; e

• Uma política de alienação de bens.


04/05/2016 26

SGSI

• Elementos de UM SGSI:• 4P´s – Pessoal, Processos, Produtos e Parceiros

Na figura 3, no próximo slide, mostra umaabordagem que é amplamente utilizada e ébaseada no aconselhamento e orientaçãodescrita em muitas fontes, incluindoISO/IEC 27001.


04/05/2016 27


04/05/2016 28

Atividades• Produção e manutenção de uma política global ede apoio específicas

• Comunicação, implementação e execução daspolíticas de segurança• Prestação de aconselhamento e orientação

• Avaliação e classificação de todos os ativos deinformação e documentação

• Implementação, análise, revisão e melhoria doconjunto de controles de segurança e avaliaçãode riscos e respostas, incluindo:• Avaliação do impacto• Implementação de medidas proativas


04/05/2016 29

Atividades• Monitoramento e gerenciamento de todas

as violações de segurança e incidentes de segurança

• Monitoramento e gerenciamento de todas asanálises de segurança, relatórios e redução dosvolumes e do impacto de falhas de segurança eincidentes violações e de segurança

• Programação e realização de revisões desegurança, auditorias e testes de penetração


04/05/2016 30

O Gestor de SI• Deve garantir que as pessoas, produtos,processos e parceiros estão alinhado e que estáem vigor a política geral desenvolvida e bempublicada; e

• Se responsabilizar pela segurança naarquitetura, autenticação, autorização,administração e recuperação dos ativos de TI


04/05/2016 31

Gatilhos• Novas ou alteradas diretrizes de governançacorporativa;

• Novas ou alteradas políticas de segurançaempresarial;

• Novos ou alterados diretrizes e processos degerenciamento de risco corporativo;

• Novas ou alteradas necessidades de negócio ounovas mudanças de serviços;

• Novos ou alterados requerimentos dentro dos acordos como CA´s, ANS´s, ANO´s ou contratos;

• Análise e revisão dos negócios e planose estratégias e modelos de TI.


04/05/2016 32

Inputs• Governança Corporativa;

• Informação do Negócio;

• Informações de TI;

• Informações de Serviços

• Processos de avaliação de risco e relatórios;

• Os detalhes de todos os eventos de segurança eviolações;

• De Mudanças;

• SGC; e

• Detalhes de acessos de parceiros e fornecedores.

INPUT


04/05/2016 33

OutPuts• Um SGSI;

• Processos de avaliação de riscode segurança revistos e relatórios;

• Um conjunto de controles de segurança;

• As auditorias de segurança e relatórios deauditoria;

• Programações de teste e planos de segurança;

• Um conjunto de classificações de segurança e umconjunto de ativos de informação classificados; e

• Políticas, processos e procedimentos de gestão deparceiros e fornecedores e seu acesso a serviços einformações.

OUTPUT


04/05/2016 34

Interfaces• Gerenciamento de nível de serviço;

• Gerenciamento de Acesso;

• Gerenciamento de Mudança;

• Gerenciamentos de Incidente e Problema;

• Gerenciamento de Continuidade de Serviços de TI;

• Gerenciamento de Configuração e Ativo;

• Gerenciamento de Disponibilidade;

• Gerenciamento de Capacidade;

• Gerenciamento Financeiro para Serviçosde TI; e

• Gerenciamento de Fornecedores Parceiros.


04/05/2016 35

Fatores Críticos de Sucesso(FCS) e Indicadores(ID)• FCS O negócio está protegido contra violações de segurança?

• ID Diminuição do percentual de violações de segurançarelatado para o servicedesk

• FCS A determinação de uma política é clara e consensual, integradacom as necessidades do negócio?

• ID Diminuição do número de não-conformidades do processo degestão de segurança da informação com a política e processode segurança empresarial.

• FCS Há um mecanismo para a melhoria?

• ID O número de melhorias sugeridas aos procedimentos econtroles de segurança

• FCS A segurança da informação é uma parte integral detodos os serviços de TI e todos os processos de SGSI?• ID Aumento do número de serviços e processos em conformidades com

os procedimentos e controles de segurança


04/05/2016 36

Desafios• Garantir que haja um apoio adequado da empresa,segurança empresarial e da gestão sênior; e

• A percepção do negócio é que a segurança é umaresponsabilidade de TI.


04/05/2016 37

Riscos• Aumentar requisitos de disponibilidade e robustez;

• Crescente potencial do uso indevidoe abuso de sistemas de informação que afetam os valores de privacidade e ética; e

• Perigos externos de hackers crackers ou hacktivista ou criminoso cibernético, levando a ataques de negação de serviços e vírus, a extorsão, espionagem industrial e vazamento de informações organizacionais ou dados privados.


04/05/2016 38

Valor para o Negócio• Garante que uma política de segurança dainformação está mantida e executada atendendo asnecessidades da política de segurança da empresae as exigências de governança corporativa

• Aumenta a consciência da necessidade de segurança em todos os serviços de TI e ativos em toda a organização; e

• Garante que a política é adequadapara as necessidades da organização.


04/05/2016 39

Valor para o Negócio• Gerencia todos os aspectos de TI e segurança dainformação em todas as áreas de TI e atividadesde gerenciamento de serviços;

• Garantia dos processos de negócio através da aplicação de controles de segurança apropriados em todas as áreas de TI e de gestão de riscos de TI; e

• Alinhamento com os processos de negócios e gerenciamento de riscoscorporativos e diretrizes.

CONCLUSÃO

04/05/2016 40

Todos os processos dentro daorganização devem incluir consideraçõesde segurança da informação,fortalecendo a segurança cibernética. Eo processo de Gerenciamento deSegurança da Informação, a “ITILSecurity”, pode auxiliar nessa missão.

Referências

04/05/2016 41

Processo de Gerenciamento deSegurança da Informação ITIL 2011

ISO/IEC 27001 e ISO/IEC 27002

#dontstophacking

"...But if you never try you'll never know

Just what you're worth..."

Obrigado!

#dontstophacking

Roadsec PRO - Segurança Cibernética Através da ITIL Security

Technology

Transcript of Roadsec PRO - Segurança Cibernética Através da ITIL Security