Escolar Documentos
Profissional Documentos
Cultura Documentos
O que PSI?
[conjunto de] Documentos que descrevem quais os objetivos das atividades relacionadas a SegInf Quais os princpios (de SI) importantes devem estar presentes nas atividades
Quem usar?
Todos! Principalmente os profissionais de tecnologia e segurana
Quando desenvolver?
Antes que os problemas graves ocorram?
Devido aos objetivos: preveno e resultados
Como desenvolver?
A PSI permite viabilizar objetivos estratgicos da empresa
Ex: Proteo da imagem da empresa; Proteo de segredos corporativos ou industriais; Minimizar os problemas de indisponibilidade
Quais as prioridades?
Anlise e Avaliao de riscos (dividir para conquistar)
Equipe? Terceirizar?
6
Etapas
Identificar recursos crticos Analisar necessidades de segurana Elaborar proposta e promover discusso aberta Apresentar documento Aprovar e implementar Manter a poltica de segurana
7
Questes
O que proteger? Contra o qu ou quem? Quais as ameaas provveis? Qual a relevncia de cada recurso? Qual o grau de proteo necessrio? Quanto tempo, recursos e pessoal pretendese gastar Quais as expectativas?
8
Protegendo de quem?
Principais pontos de preocupao
Fraudes? Espionagem? Desastres naturais?
10
Responsabilidades
A PSI tem o objetivo de atribuir responsabilidades (definir e explicar) A PSI permite criar uma cultura de segurana e divulg-la na organizao
13
Alinhamento Estratgico
Alinhamento com requisitos do negcio
Tipo do Documento Nvel de atuao Diretriz Estratgico Norma Ttico Procedimentos e Instrues Operacional
14
Determinando os requisitos
5W1H (Who, What, When, Where, Why e How)
Requisitos Legais Requisitos de Negcio Anlise de Risco
Diversificando as audincias
A PSI pode ser dividida em diversos documentos Audincia
Tcnicos: implementam os controles Usurios: usam os sistemas/manipulam as informaes sujeitos aos controles
16
Equipe
Principais
Security Officer Comit de Segurana da Informao Profissonais de SI Profissionais de TI
Opcionais
Jurdico RH Segurana Fsica e Patrimonial Auditoria Usurios
17
Estruturao
19
Exemplos
Diretriz: os funcionrios devem ter acesso fsico e lgico somente aos recursos e locais necessrios ao desempenho das atividades Norma tcnica:
Segurana lgica: Acesso remoto: O acesso remoto deve ser controlado e registrado em log
Norma de uso
Segurana lgica: acesso remoto: a liberao de uso de aplicaes remota somente aps aprovao do gestor da informao
Procedimentos
Detalhe (passo a passo) da execuo de uma tarefa
20
Outros documentos
Guia de recomendaes Frameworks
cobit ISO 27001 COSO
21
Recomendaes
Estilo Formal x Informal Clareza e Simplicidade Sentenas negativas Inserir apenas o necessrio
22
Manuteno
Conformidade e aplicao Monitoramento e mtricas Reviso peridica
Mudana Rotina Tecnologia Empresa Deve-se utilizar Procedimentos e instrues Normas (e procedimentos) Diretrizes (e normas e procedimentos) Frequencia Alta Mdia Baixa Volume Baixo Mdio Alto
23
25
Contedo (captulos)
0 objetivo da norma 1 termos e definies 2 a estrutura da norma 3 anlise/avaliao e tratamento de riscos 4 seo introdutria
26
Contedo (captulos)
A partir do captulo 5, chama os restantes de sees (11 sees) Para cada seo, pelos menos 1 categoria de segurana (39 categorias ao todo) Cada categoria tm 1 objetivo de controle e um ou mais controles para serem aplicados visando atingir o objetivo de controle
27
Sees
28
Atividade B1
Segundo a NBR ISO/27002:2005, qual o objetivo de controle da PSI? Segundo a NBR ISO/27002:2005, quais as diretrizes para implementao da PSI?
29
Atividade B2
Voc foi encarregado de apresentar uma proposta de poltica de segurana para o servio de arquivos do IFAL. Quais os passos para concluir? Quem ir aprovar a proposta? Qual a atividade essencial aps a concluso e aprovao da poltica? Justifique sua resposta.
30
Atividade B3
Quantas e quais so as categorias principais de segurana da informao que constituem a norma NBR 27002:2005? Como est estruturado cada categoria de controle?
31
Atividade B4
Qual o objetivo da categoria 10.1 (procedimentos e responsabilidades operacionais)? Descreva o controle 6.1.2 (coordenao da segurana da informao)? Explique as diretrizes para implementao do controle 11.5.5 (limite de tempo por sesso)? Descreva as informaes adicionais para 15.1.5 (preveno de mau uso de recursos de processamento da informao).
32
Atividade B5
Qual a definio de
Ativo Segurana da informao Poltica
33
Leitura
ABNT NBR 27002:2005
34