Beruflich Dokumente
Kultur Dokumente
Gesto da Segurana da
Informao
Ps-graduao Ruy Barbosa
Prof(a) Gabriela Mota
Apresentao
Mestra em Modelagem Computacional e Tecnologia
Industrial Faculdade de Tecnologia SENAI CIMATEC
(2014)
Bacharel em Anlise de Sistemas - Universidade do
Estado da Bahia, UNEB (2010)
Pesquisadora nas reas: Web Colaborativa, Web
Semntica e Teoria de Redes Complexas
Atua com: Engenharia de Software, Processos de
Software, Metodologias geis e Gerenciamento de
Projetos
14/06/2016
Objetivos da Disciplina
Aplicar a segurana da informao na gesto de
projetos de polticas de segurana da Informao
Interpretar os modelos ISO 27001 e ISO 27002 para a
Gesto da Segurana da Informao
Aplicar o processo normatizado de implementao,
operao e monitoramento
Monitorar e melhorar um Sistema de Segurana de
Informao (SGSI)
Diagnosticar a real situao da empresa - governana,
riscos, plano contingncia
Expectativas
Assiduidade e pontualidade
Concentrao nas aulas
Desenvolvimento das atividades prticas em sala de
aula
14/06/2016
Contedo Programtico
30/05
31/05
01/06
02/06
03/06
07/06
Avaliao
Metodologia de avaliao: individual em todos os
encontros e em grupo na apresentao ao final da
semana;
Tipo de avaliao: trabalho desenvolvido em sala de
aula gradativamente;
Local da avaliao: faculdade.
14/06/2016
Agenda
Conceitos de Segurana da Informao
Gerenciamento e avaliao de Riscos
Deteco de Vulnerabilidades
Ataque
Normas de Segurana
ABNT NBR: ISO 27001 Sistemas de Gesto de Segurana
da Informao
ISO 27002 Cdigo de Prtica em Segurana da
Informao
Conceitos de Segurana da
Informao
(PRIMEIRO DIA)
14/06/2016
Conceitos iniciais
Informao
1 Ato ou efeito de informar. 2 Transmisso de notcias. 3
Instruo, ensinamento. 4 Transmisso de conhecimentos.
5 Opinio sobre o procedimento de algum. 6
Investigao. 7 Inqurito.
Fonte: Dicionrio Michaelis
Seguro (Segurana)
1 Livre de inquietaes. 2 Sossegado. 3 Confiado. 4 Livre
de perigo ou no exposto a ele. 5 Que oferece segurana
contra ataques, acidentes, desastres ou danos de qualquer
outra natureza...
Fonte: Dicionrio Michaelis
Informao X processos de
negcio
14/06/2016
Dependncia da informao
(1/2)
business-to-business
business-to-consumer
business-to-government
e-commerce
eprocurement
sistemas integrados de gesto ERP (Enterprise
Resource Planning),
Dependncia da informao
(2/2)
14/06/2016
14/06/2016
14/06/2016
Regulao
CVM Governana
Bacen Acordo da Basilia II
Resoluo 2554 Controles Internos
Sistemas de Pagamento Brasileiro
Cdigo Civil
Governana Corporativa
Confiana da Cadeia Produtiva
Lei Sarbanes-Oxley
Opinio Pblica
Inspirado na SOx
Desqualificao da pessoa jurdica
para efeitos de garantia obrigacional
Amplia a responsabilidade civil dos
diretores
Exigncia de prova da ao efetiva,
ou no omisso
14/06/2016
Ciclo PDCA
10
14/06/2016
Segurana da informao
POR QUE proteger as informaes?
Segurana da informao
QUANDO proteger as informaes?
Durante seu ciclo de vida
Manuseio
Armazenamento
Transporte
Descarte
11
14/06/2016
Segurana da informao
ONDE proteger as informaes?
Nos ativos que as custodiam:
Fsicos
Tecnolgicos
Humanos
Segurana da informao
O QUE proteger nas informaes?
Os atributos principais:
Confidencialidade
Integridade
Disponibilidade
Os aspectos:
Legalidade
Autenticidade
12
14/06/2016
Segurana da informao
DO QUE proteger as informaes?
De ameaas:
Fsicas
Tecnolgicas
Humanas
O que segurana da
informao, afinal?
Segurana da Informao (SI) a proteo de
sistemas de informao contra desastres, erros e
manipulao de modo a minimizar a probabilidade
e impacto de incidentes
Preveno:
Confidencialidade
Integridade
Disponibilidade
13
14/06/2016
Atributos da SI
Confidencialidade
Garantia de que a informao acessvel somente por
pessoas autorizadas
No deve acontecer divulgao intencional (ou no) de
informaes reservadas
Questes de confidencialidade surgem porque processos e
informao sensveis do negcio s devem ser divulgados
para pessoal / programas autorizados
Necessidade de controlar acesso
Atributos da SI
Confidencialidade
14
14/06/2016
Atributos da SI
Integridade
Garantia da exatido e completude da informao e dos
mtodos de processamento
Informaes no devem ser
Modificadas por pessoas/processos desautorizados
Modificaes desautorizadas no sejam feitas por
pessoas/processos autorizados
Inconsistentes
Atributos da SI
Integridade
15
14/06/2016
Atributos da SI
Disponibilidade
Garantia que usurios autorizados obtenham acesso
informao e aos ativos correspondentes sempre que
necessrio
Informao e servios do negcio devem estar disponveis
quando necessrios
Necessidade de controles para garantir confiabilidade dos servios
Atributos da SI
Disponibilidade
16
14/06/2016
Segurana da Informao
Como a SI pode ser obtida?
Implementando controles para garantir que os
objetivos de segurana sejam alcanados
Porque SI necessria?
A informao, processos, sistemas e redes so
importantes ativos para os negcios
Confidencialidade, integridade e disponibilidade so
essenciais para preservar o negcio
As informaes so constantemente ameaadas
Dependncia dos SIs gera vulnerabilidades
Quase nada projetado para ser seguro
Segurana da Informao
Requisitos de segurana
Avaliao de riscos dos ativos
Avaliao de ameaas, vulnerabilidades, probabilidade de
ocorrncia de incidentes, impacto ao negcio
17
14/06/2016
Atividade 1
Pesquisar notcias recentes sobre incidentes
envolvendo segurana da informao;
Discutir sobre quais vulnerabilidades foram
exploradas, que aes (controles) poderiam ter
evitado os prejuzos causados s empresas.
Gerenciamento e Avaliao de
Riscos
(SEGUNDO DIA)
36
18
14/06/2016
Viso Geral
Viso Geral
19
14/06/2016
Terminologia (1/2)
Risco
Possibilidade de sofrer perda ou dano; perigo ou
possibilidade de perigo
Ataque
Acesso a dados ou uso de recursos sem autorizao
Execuo de comandos como outro usurio
Violao de uma poltica de segurana, etc.
Vulnerabilidade
uma falha que pode permitir conduo de um ataque
Terminologia (2/2)
Incidente
A ocorrncia de um ataque; explorao de
vulnerabilidades
Ameaa
Qualquer evento que pode causar dano a um sistema ou
rede
A existncia de uma vulnerabilidade implica em uma
ameaa
Exploit code
Um cdigo preparado para explorar uma vulnerabilidade
conhecida
20
14/06/2016
Exemplos de Ameaas
Pessoas chaves para uma organizao
Ferimento, morte
Servidores de arquivos
Ataques DoS
Equipamentos de produo
Desastre natural
Exemplos de Vulnerabilidades
Pessoas chaves para uma organizao
Sem controle de acesso
Servidores de arquivos
Aplicao incorreta de correes (patches)
Equipamentos de produo
Controles fracos de acesso fsicos
21
14/06/2016
Equao do risco
22
14/06/2016
Gerenciamento de Riscos
O gerenciamento de riscos baseado no:
Identificao (conhecimento) e avaliao (estimativa) de
riscos
Controle (minimizao) de riscos
23
14/06/2016
Identificao de Riscos
Conhecimento do Ambiente
Identificar, examinar e compreender como a informao e
como ela processada, armazenada e transmitida
Iniciar um programa detalhado de gerenciamento de riscos
Conhecimento do inimigo
Identificar, examinar e compreender as ameaas
Gestores devem estar preparados para identificar as
ameaas que oferecem riscos para a organizao e a
segurana dos seus ativos
Estimativa de Riscos
Passo 1: Caracterizao do sistema
O que h para gerenciar?
Como a TI est integrada no processo?
24
14/06/2016
Estimativa de Riscos
Passo 5: Determinao das possibilidades
Alta, Mdia e Baixa
Vulnerabilidades
RFC 2828 Glossrio de segurana da Internet
Uma falha ou fraqueza em um sistema
Que pode ocorrer
No projeto
Na implementao
Na operao ou gerenciamento
Livro do Nessus
Erro de programao ou configurao errada que pode
permitir que um intruso tenha acesso no autorizado a
algum ativo
25
14/06/2016
Tipos de Vulnerabilidades
No existe ainda consenso sobre classificao e/ou
taxonomia para vulnerabilidades
Por servio afetado
Por gravidade
Por sistema operacional alvo
Vulnerabilidades Crticas
Vazamento de informaes
Negao de servios
Falha em implementar melhores prticas
Vulnerabilidades crticas
So os problemas de mais alta prioridade
A sua explorao podem levar a execuo de
programas, escalada de privilgios,
comprometimento do sistema, etc
Critrios para classificar uma falha como crtica
26
14/06/2016
Vulnerabilidades crticas
(exemplos)
Sasser worm
Buffer overflow no Local Security Authority Subsystem
Service (LSASS) do Windows
Witty worm
Buffer overflow no parser do ICQ de produtos para IDS da
Internet Security Systems (ISS)
Slapper worm
Falha na biblioteca OpenSSL do Apache que permite
executar uma shell remota e explorar DoS
Solaris sadmind
O servio RPC do sadmind permite que usurios no
autenticados executem comandos como root
Vulnerabilidades crticas
(classificao)
27
14/06/2016
Vulnerabilidades crticas
Buffer Overflow
O tipo mais famoso e explorado de vulnerabilidade crtica
O programador no limita a quantidade de informao que pode
ser escrita em uma determinada rea de memria (string, array,
etc)
Vulnerabilidades crticas
Travessia de Diretrios
Problema comum encontrado em vrios
protocolos/aplicaes que mapeiam pedidos dos usurios
para caminhos de arquivos locais
Exemplo: atravs de uma conta de FTP que remete ao
/home/userX, o atacante consegue acessar outros
diretrios e arquivos
Vulnerabilidades descobertas
TFTP
Apache
rsync
Mcrosoft IIS
28
14/06/2016
Vulnerabilidades crticas
Formatao de strings
Permite que um atacante passe como parmetro
especificadores de converso (ex: %d, %s) e faa com
que seja processados mais dados do que o programador
considerou originalmente
Permite que endereos de memria sejam sobrescritos e
cdigo malicioso seja executado
O atacante precisa ter muito conhecimento, ou seja,
precisa ser um hacker de verdade
Vulnerabilidades descobertas
Solaris rpc.rwalld
Tripwire
Vulnerabilidades crticas
Senhas default
A maioria dos equipamentos e softwares vem
configurados com usurios e senhas default (padro),
documentados e bem conhecidos
Elas facilitam a instalao e configurao inicial
29
14/06/2016
Vulnerabilidades crticas
Configuraes erradas
A vida dos administradores de sistemas e de redes dura
Eles sempre tm que fazer tudo s pressas
Vulnerabilidades crticas
Backdoors conhecidos
Geralmente so programas que escutam portas e
possibilitam algum tipo de acesso
Redes com administradores inexperientes facilmente tm
pelo menos um sistema com backdoors conhecidos
Trojans: capturadores de teclado, mouse, senhas, rea de desktop,
relay para outros sistemas
30
14/06/2016
Tipos de impacto
Quebra de confidencialidade
Vazamento de informaes
Chantagem
Espionagem industrial
Quebra de integridade
Fraude
Sabotagem
Perda de credibilidade
Quebra de disponibilidade
Retrabalho
Inoperncia
Perda de oportunidade
Etapas de um Ataque
Footprinting (reconhecimento)
Scanning (varredura)
Enumeration (enumerao)
Ganhando acesso (invaso)
Escalada de privilgios
Acesso informao
Ocultao de rastros
Instalao de Back doors (portas de entrada)
Denial of Service (negao de servio)
31
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
32
14/06/2016
1. Footprinting
(reconhecimento)
Informaes bsicas podem indicar a postura e a
poltica de segurana da empresa
Coleta de informaes essenciais para o ataque
Nomes de mquinas, nomes de login, faixas de IP, nomes
de domnios, protocolos, sistemas de deteco de intruso
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
33
14/06/2016
2. Scanning (varredura ou
mapeamento)
De posse das informaes coletadas, determinar
Quais sistemas esto ativos e alcanveis
Portas de entrada ativas em cada sistema
Ferramentas
Nmap, system banners, informaes via SNMP
Descoberta da Topologia
Automated discovery tools: cheops, ntop,
Comandos usuais: ping, traceroute, nslookup
Mapeamento de rede
34
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
3. Enumeration (enumerao)
Coleta de dados intrusiva
Consultas diretas ao sistema
Est conectado ao sistema e pode ser notado
Identificao de permisses
35
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
36
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
5. Escalada de privilgios
Uma vez com acesso comum, busca acesso completo
ao sistema (administrator, root)
Ferramentas especficas para bugs conhecidos
"Exploits"
Tcnicas
37
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
6. Acesso a informao
Alguns conceitos relacionados informao
Confidencialidade trata do acesso autorizado
Integridade trata da alterao autorizada
Autenticidade trata da garantia da autoria da informao
Disponibilidade disponvel quando desejada, sem
demora excessiva (com autorizao)
Auditoria trata do registro do acesso
38
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
7. Ocultao de rastros
Invasor usa tenta evitar deteco da presena
Usa ferramentas do sistema para desabilitar
auditoria
Toma cuidados para no deixar buracos nos logs
excessivo tempo de inatividade vai denuciar um ataque
39
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
Back doors
Sistemas cliente/servidor
Cliente na mquina invasora controlando Servidor na mquina remota
No aparecem na "Task List" do Windows NT/2k
40
14/06/2016
Anatomia de um ataque
Varredura
Reconhecimento
Enumerao
Invaso
Escalando
privilgios
Acesso
informao
Instalao de
back doors
Ocultao
de rastros
Negao de
Servios
41
14/06/2016
Atividade 2
Escolha e descreva um cenrio de negcio (pode ser
o da empresa em que voc trabalha);
Aplique os conceitos sobre gerenciamento de riscos
para
1. identificar e avaliar os riscos (seguindo os passos vistos
em aula)
2. definir controles para minimizao dos riscos
Polticas de Segurana da
Informao
(TERCEIRO DIA)
84
42
14/06/2016
Retomando...
Tipos de polticas
1. Programa de Poltica (organizacional)
2. Polticas de sistemas
43
14/06/2016
Implementao de Polticas
Padres
Uniformidade de uso de tecnologias, parmetros ou
procedimentos, para beneficiar a organizao
Ex: Uso de Windows 2000 (mesmo existindo XP)
Diretrizes
Em alguns casos, a aplicao de padres no possvel,
conveniente ou acessvel (custos)
Ex: auxlio no desenvolvimento de procedimentos
Procedimentos
Passos detalhados para serem seguidos pelos
funcionrios
Ex: Cuidados na criao de contas de e-mail
Poltica (componentes)
Objetivo
Por que a poltica?
Escopo
Toda a organizao ou parte dela?
Responsabilidades
Quem so as pessoas? Estrutura formal?
Conformidade
Como fiscalizar?
O que acontece para quem no cumprir?
Intencional, no-intencional (falta de treinamento?)
44
14/06/2016
Escopo
Todos os roteadores e switches conectados na rede de
produo da <organizao> so afetados.
Roteadores em laboratrios internos/seguros so
excludos
Roteadores dentro da DMZ devem seguir poltica
especfica
45
14/06/2016
SGSI Definio
Um Sistema de Gesto de Segurana da Informao
um conjunto de regras e normas adotado por uma
empresa, com o intuito de garantir a segurana de
suas informaes quanto a controles, perdas,
roubos, alteraes e consultas indevidas.
Baseado na Norma ISSO 27001
46
14/06/2016
Ciclo do SGSI
Abrangncia do SGSI
A delimitao da abrangncia muito importante
para o auditor, pois por meio desta que se
consegue constatar as responsabilidades dos
envolvidos.
47
14/06/2016
Benefcios do SGSI
1.
2.
3.
4.
5.
6.
7.
8.
9.
Patrocinadores e comit
A escolha dos patrocinadores fundamental para
o sucesso da implantao de um Sistema de Gesto
de Segurana de Informao (SGSI) em uma
organizao. por meio deles que se obtm o
respaldo para a implantao do SGSI, tornando vivel
a tomada de aes decorrentes da aplicao do
sistema. Geralmente, so escolhidos como
patrocinadores profissionais da alta direo da
organizao, alm de outras pessoas-chave da rea
do negcio.
48
14/06/2016
Conceitos-chave
Sanes: regras tm de ser cumpridas e, a cada no
cumprimento, uma sano pode ser aplicada. Todas
as regras devem ter os riscos associados ao seu no
cumprimento muito bem documentados, bem como
tm necessidade de deixar claros as sanses
possveis de aplicao.
Mecanismos de controle
No se gerencia o que no se mede no se mede o
que no se define, no se define o que no se
entende, no h sucesso no que no se gerencia
(William Edwards Deming).
49
14/06/2016
Mtricas (1/2)
Em vista da diversidade de atividades executadas,
quando se desenvolve e implanta um SGSI,
naturalmente este processo implica ao gestor
responsvel pela misso a necessidade de gerenciar
diversos mecanismos de controles implementados
em diversas plataformas e em vrios ambientes
organizacionais.
Mtricas (2/2)
Surge, ento, a necessidade iminente de responder
algumas questes:
Como podemos saber se o nvel atual de segurana est no
patamar requerido para o nosso negcio?
Como medir o nvel de eficcia dos controles atuais frente
aos riscos identificados?
50
14/06/2016
Definio
Mtricas em um SGSI so medidas estipuladas com
base em metas a serem atingidas, as quais so
comparadas aos resultados obtidos durante a sua
operao de um SGSI.
Um mtodo bastante importante no SGSI o
Benchmarking.
Tipos de mtricas
Mediante uma diversidade de mtricas, devemos
escolher as mais adequadas a cada caso.
Como exemplo de acompanhamento das mtricas,
podemos citar:
Benchmarking de pesquisas sobre segurana da
informao
Resultados de pesquisas internas de avaliao do SGSI
Gesto de incidentes de segurana
51
14/06/2016
Coleta de resultados
A atividade de medir demanda recursos e,
obviamente, tempo para a coleta e anlise dos
resultados
Por esta razo, as mtricas devem fazer sentido e ser
coerentes, alm de alinhadas aos objetivos a serem
alcanados
52
14/06/2016
Fatores-chave de sucesso
53
14/06/2016
Riscos
Os riscos devem ser mensurados e constados no SGSI
e estar bem claros para todos os envolvidos, assim
como para a alta gerncia. O auditor tem de
constatar se os riscos esto contemplados pelo SGSI
e se condizem com a realidade.
Implantao do SGSI
Antes de realizar a implantao do SGSI, preciso
checar se o mesmo condiz com as medidas e as
regras condizentes, por sua vez, com a natureza da
segurana da informao de que a empresa
necessita.
54
14/06/2016
Execuo do SGSI
O auditor tem que conferir detalhadamente as
normas contidas no SGSI e verificar in loco se esto
sendo cumpridas. O no cumprimento do SGSI
representa um risco de alto nvel. Pior que no ter
um SGSI ter um que no cumprido, ter a
sensao que as informaes esto protegidas,
quando no esto.
Acompanhamento do SGSI
O acompanhamento deve existir e um relatrio deve
ser divulgado constantemente a todos os envolvidos,
inclusive os erros e ajustes que se fizeram
necessrios devem constar a. Para que o SGSI no
seja relegado a segundo plano, justifica-se a
importncia do acompanhamento,
55
14/06/2016
Curiosidades
Aps a implantao do Sistema de Gesto da
Segurana da Informao e aps ter realizado pelo
menos um ciclo de auditoria interna e pelo menos
uma anlise crtica pela direo, a empresa pode
solicitar a realizao da pr-auditoria para verificar o
nvel de adequao norma em questo (ISO 27001)
Atividade 3
Pesquisar sobre as normas:
ISO 27001 Sistemas de Gesto de Segurana da
Informao
ISO 27002 Cdigo de Prtica em Segurana da
Informao
ISSO 27005 - Gesto de Riscos de Segurana da Informao
56
14/06/2016
Material complementar
Artigo: Sistema de Gesto de Segurana da
Informao (SGSI) Parte I
http://www.tiespecialistas.com.br/2013/10/sistemagestao-seguranca-informacao-sgsi-i/
Normas para
Segurana da Informao
(QUARTO DIA)
114
57
14/06/2016
O que norma?
um documento estabelecido por consenso e
aprovado por um organismo reconhecido, que
fornece, para uso comum e repetitivo, regras,
diretrizes ou caractersticas para atividades ou seus
resultados, visando obteno de um grau timo de
ordenao em um dado contexto.
Definio internacional Fonte: ABNT
Cronologia publicaes
58
14/06/2016
59
14/06/2016
60
14/06/2016
Detalhe importante:
Deve-se pagar pelas normas
ISO 27001
Norma ISO 27001 (Tecnologia da Informao Sistemas de
gesto de segurana da informao), trata sobre a
implantao do Sistema de Gesto da Segurana da
Informao (SGSI) atravs de requisitos para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter
e melhorar um SGSI documentado dentro do contexto dos
riscos de negcio globais da organizao
Pode ser utilizada em conjunto com a ISO 27002 (Cdigo de
Boas Prticas da Gesto de Segurana da Informao)
61
14/06/2016
ISO 27001
Tambm estabelece critrios para a certificao
possvel que alguns dos controles necessrios para satisfazer
aos critrios de aceitao de riscos sejam excludos desde que
as excluses sejam justificadas e sejam apresentadas
evidncias de que os riscos associados foram aceitos pelos
responsveis
62
14/06/2016
63
14/06/2016
Implantao de um SGSI
A norma ISO 27001 fornece o mtodo para
implantao do SGSI
Porm o seu objetivo orientar o processo de
implantao do projeto de segurana, sem definir
tecnologias, hardware ou software
Com essa metodologia, o gestor de segurana tem a
possibilidade de fazer o planejamento pensando no
custo e tambm no retorno que a implantao do
projeto ir trazer
64
14/06/2016
Implantao de um SGSI
Alm disso, a norma ISO 27001 utiliza o modelo
PDCA (Plan-Do-Check-Act)
acompanhamento de todas as fases do SGSI
possibilita rever algumas medidas adotas
quais os impactos na cadeia de valor do negcio da
empresa
65
14/06/2016
Implantao de um SGSI: Do
A poltica deve ser desenvolvida constantemente, num
processo de melhoria contnua, no sendo algo esttico, pois
a tecnologia e os processos mudam constantemente
Quando a poltica for desenvolvida e aprovada, necessrio
realizar um treinamento com todos na empresa e a divulgar a
poltica junto aos clientes e fornecedores.
Implantao de um SGSI:
Check
Essa etapa necessria para mapear os processos da
organizao e analisar como a informao trafega pela
empresa e de como a mesma sai dela, mediante os
relacionamentos existentes com clientes e fornecedores
Classificar as informaes de acordo com as caractersticas
que envolvem o negcio da empresa
Por exemplo, as informaes financeiras que so transmitidas aos
bancos so confidenciais e s devem ser visualizadas pelas pessoas
autorizadas pela direo da empresa
A classificao de informaes um passo necessrio para aplicao
de ferramentas de segurana como criptografia, VPN entre outras.
66
14/06/2016
Melhoria contnua
O processo de segurana da informao sempre deve passar por
melhorias contnuas
Realimentao do processo, iniciando com uma nova coleta de
dados e estatsticas e voltando para o plano de ao
O gestor de segurana deve ficar atento s alteraes das
normas ISO 27001 e ISO 27002, pois as normas passam por
alteraes constantes e as alteraes podem trazer outras vises
e novos requisitos
O Sistema de Informao de uma empresa dinmico, sofre
alteraes constantes, com a criao de novos processos e
descontinuao de outros
A melhoria do SGSI uma etapa contnua e deve existir durante
toda a vida do projeto de segurana da informao
67
14/06/2016
ISO 27002
Norma ISO 27002: Cdigo de Boas Prticas da Gesto de
Segurana da Informao
Estabelece Controles de segurana para vulnerabilidades e
riscos (Tecnologia da Informao Sistemas de gesto de
segurana da informao)
Oferece uma viso abrangente dos controles que podem ser
utilizados em uma organizao
Poltica de segurana
Segurana organizacional
Classificao e controle de ativos de informao
Segurana relacionada s pessoas
Segurana ambiental e fsica
Gerenciamento das operaes e comunicaes
Controle de acesso
Desenvolvimento e manuteno de sistemas
Gesto de incidentes de segurana
Gesto da continuidade do negcio
Conformidade com as diretrizes da empresa
68
14/06/2016
Atividade 4
Esta a ltima atividade da primeira semana da
disciplina
Chegou o momento de voc consolidar os
conhecimentos adquiridos em sala de aula e durante
a execuo das atividades 1, 2 e 3
Com base nos dados levantados at aqui, voc deve
criar o documento de Poltica de Segurana da
Informao para a organizao (negcio) escolhida
69
14/06/2016
Concluses (1/2)
SGSI o conjunto de processo, procedimentos, normas e
polticas para Gerenciamento de Segurana da Informao na
organizao
A PSI deve ser planejada e implementada com base nos
objetivos alinhados s necessidades da organizao
A Norma ISO 27001 recomenda que se tome como base o
documento de Gesto de Anlise de Riscos para elaborao
da PSI
Uma boa prtica para a elaborao da PSI a utilizao da
metodologia 5W2H (Who, What, When, Where, Why, How,
How Much/ Quem, O que, Quando, Onde, Porque, Como,
Quanto)
Concluses (2/2)
A garantia de conformidade com a PSI depende de uma
verificao peridica do comportamento de todos os
envolvidos na implementao dos controles, de modo que
eventuais desvios em relao s diretrizes estabelecidas
possam ser identificados e corrigidos (etapas de avaliao e
ao corretiva do ciclo PDCA da gesto da segurana)
Essa avaliao deve abranger todos os processos crticos da
organizao e as responsabilidades so divididas entre as reas
responsveis pelos diferentes aspectos da segurana:
humanos, tecnolgicos, fsicos, administrativos etc.
Eventuais auditorias de conformidade com a PSI devem ser
desempenhadas por indivduos que no participem
diretamente das atividades auditadas, para garantir a iseno
da anlise
70
14/06/2016
Referncias
Referncias
71