Segurança da Informação e Proteção ao Conhecimento · Planejando a continuidade de segurança...
Transcript of Segurança da Informação e Proteção ao Conhecimento · Planejando a continuidade de segurança...
Segurança da Informação e
Proteção ao Conhecimento
Douglas Farias Cordeiro
ABNT NBR ISO/IEC 27002Gestão de incidentes de segurança da
informação
Objetivo
Os incidentes de segurança da informação precisam ser
gerenciados de forma consistente e efetiva!– É importante que as fragilidades e eventos sejam
comunicadas.
Responsabilidades e procedimentos
É necessário estabelecer as responsabilidades e
procedimentos de gestão:– Respostas rápidas, efetivas e ordenadas;
– Procedimentos para preparação e planejamento de respostas a incidentes;
– Monitoramento, detecção, análise e notificação de incidentes;
– Tratamento para evidências forenses;
Responsabilidades e procedimentos
Assegurar:– Tratamento de incidentes feito por pessoal
competente;
– Manter contatos apropriados com autoridades, grupos de interesse ou fóruns de segurança da informação;
Responsabilidades e procedimentos
Procedimentos de notificação:– Preparar formulários para notificação de eventos:
• Apoiar o notificador;• Mostrar o que, como e para onde relatar;
– Referência a processos disciplinares formais;
– Processos de realimentação adequado para informar os notificadores sobre os resultados obtidos.
Notificação de eventos de segurança da informação
É importante estabelecer canais apropriados para relatar
os eventos de segurança da informação;– Controle de segurança ineficaz;
– Erros humanos;
– Não-conformidade com políticas de segurança;
– Mau funcionamento de software ou hardware;
– Violação de acesso;
– Violação de disponibilidade, confidencialidade e integridade da informação.
Notificação de fragilidade de segurança da informação
Funcionários e partes externas devem ser instruídos a
registrar e notificar quaisquer fragilidades de segurança
da informação;– Prevenção de incidentes;
– Notificação rápida, fácil e acessível.
Respostas aos incidentes
– Coleta de evidências;
– Realização de análise forense de segurança da informação;
– Comunicação e tratamento;
– Encerramento e registro.
ABNT NBR ISO/IEC 27002Segurança da informação na
continuidade do negócio
Planejando a continuidade de segurança da informação
Durante uma crise ou desastre, a segurança da
informação não pode ser perdida!– Avaliar se a continuidade de segurança faz parte
da política de continuidade de negócio;
Na falta de um planejamento formal de continuidade:– Assumir que requisitos de segurança não sejam
modificados;
– Realizar uma análise de impacto de negócio.
Redundâncias
O principal foco é assegurar a disponibilidade dos recursos
de processamento de informação;– Os recursos devem ser implementados com
redundância suficiente para atender os requisitos de disponibilidade;
• Identificar requisitos de negócio;• Identificar situação quando a disponibilidade
não pode ser assegurada por arquitetura ou componentes redundantes;
• Testar a redundância.
ABNT NBR ISO/IEC 27002Conformidade
Conformidade com requisitos legais e contratuais
Deve-se evitar violação de quaisquer obrigações legais,
estatuárias, regulamentares ou contratuais;– Explicitar todos os requisitos relacionados;
– Definir controles e responsabilidades específicos;
– Os gestores devem identificar toda a legislação aplicável!
Direitos de propriedade intelectual
O que é propriedade intelectual?
“É um conjunto de direitos que incidem sobre a criação do intelecto humano.”
– “É o conjunto de princípios e de normas que regulam a aquisição, o exercício e a perda de direitos e de interesses sobre ativos intangíveis diferenciadores suscetíveis de serem utilizados na produção econômica de bens e de serviços.”
Arcabouço legal no Brasil
– Lei da Propriedade Industrial, no 9279/96 - em vigor desde maio de 1997, substituiu o antigo Código da Propriedade Industrial (Lei no 5.772/71).
– Lei de Cultivares, no 9456/97 - em vigor desde abril de 1997. Instituiu a proteção para plantas.
– Lei de Programa de Computador, no 9609/98 - em vigor desde fevereiro de 1998.
– Lei de Direitos Autorais, no 9610/98 - em vigor desde junho de 1998, substituiu a Lei 5988/73.
Direito Autoral
Direito do autor:– Conjunto de normas jurídicas que visam regular as
relações oriundas da criação e da utilização de obras artísticas.
– Perduram por setenta anos contados a partir do ano de falecimento do autor.
Plágio
O plágio: assinar ou apresentar uma obra intelectual de
qualquer natureza contendo partes de uma obra que
pertença a outra pessoa sem colocar os créditos para o
autor original.– No Brasil, plágio é crime!
Direito Autoral
Direitos conexos:– Interpretações, execuções, execuções, fonogramas
e emissões de radiodifusão;
– Perduram por setenta anos a partir do ano de sua execução.
Direito Autoral
Programa de computador:– Conjunto de instruções que, quando incorporada a
um suporte legível por máquina, pode realizar uma tarefa ou alcançar um resultado.
– Órgão de registro: INPI (Instituto Nacional de Propriedade Industrial).
Propriedade Industrial
Patente:– Título de propriedade temporária outorgado pelo
Estado ao inventor ou pessoa legitimada.
– Classificação:
• Invenção: vinte anos;• Modelo de utilidade: quinze anos.
Propriedade Industrial
Desenho industrial:– Forma ornamental de um objeto que possa ser
aplicada a um produto, proporcionando resultado novo e original.
– Proteção:
• Dez anos, prorrogáveis por três períodos de cinco anos.
Propriedade Industrial
Marcas:– Sinais distintos
visualmente;
– Proteção:
• Dez anos, prorrogável por períodos iguais e sucessivos.
Identificações Geográficas
Identificação de um produto ou serviço como originário de
um local, região ou país:– Reputação;
– Característica;
– Qualidade.
– Não há tempo definido para a proteção.
– Exemplo: o caso da rapadura.
Proteção Sui Generis
Sui Generis (de seu próprio gênero);
Topografia de Circuito Integrado:– Série de imagens relacionadas representando a
configuração tridimensional das camadas de um circuito integrado;
Proteção Sui Generis
Cultivar:– Variedade de qualquer espécie ou gênero que seja
claramente distinguível de outras conhecidas;
– Quinze anos para plantas;
– Dezoito anos para árvores.
– Registro no Ministério da Agricultura.
Sistema de Propriedade Intelectual no Brasil
E o que diz a norma?
A norma diz que:– As conformidades com os direitos de propriedade
relacionados à informação devem ser definidos e divulgados;
– Softwares devem ser adquiridos de fontes conhecidas e de reputação;
– Deve-se garantir conscientização para proteção dos direitos autorais;
– Manter provas de propriedades de licenças, discos-mestres, manuais, etc.;
– Usar somente software autorizado e licenciado.
E o que a norma diz?
– Definir uma política para transferência de software;
– Não duplicar, copiar ou converter registros, livros, relatórios ou outros documentos, além do que é permitido em Lei.