Escolar Documentos
Profissional Documentos
Cultura Documentos
Mdulo 1 - Introduo
1. Introduo Segurana da Informao Gesto e no um processo tecnolgico! Implantar um SGSI ISO 20000-1 (Gesto de Servios de TI) + ISO 27001 + ISO 27002 ISO 27001:2006 (old BS 7799-2:2002 Sistema de Gesto de SI Requisitos Considera segurana fsica, tcnica, procedimental e em pessoas. (Requisitos) Tm toda parte de elaborao de Matriz e acompanhamento do SGSI com anexo dos controles. Pode ser auditada por terceiros. ISO 27002:2005 (baseada na BS7799-1:1999 old ISO 17799:2000) Cdigo de Prticas para Gesto de SI] Melhores Prticas para a Gesto da Seg. da Informao. 11 Captulos 39 objetivos 133 controles Baseada no PDCA um guia, e mostra como implementar os Controles Ambas so metodologias estruturadas reconhecidas internacionalmente, dedicadas Seg. da Informao. Um processo definido para avaliar, implementar, manter e gerenciar a Seg. da Informao. Um grupo completo de controles contendo as melhores prticas para Seg. da Inf. No so Normas Tcnicas / Dirigidas para produtos ou tecnologia A ISO 27001 e a 27002 podem ser implantadas em conjunto (SLIDE 15) Implantar centralmente e desdobrar globalmente so uma boa prtica. Dificuldades para Implantar um SGSI Abordagem sistemtica, simples e clara para gesto de riscos. Ineficincia ao utilizar um plano de continuidade de negcios (falta teste). Designar a TI para ser responsvel pelo projeto Falta de viso ao estabelecer os parmetros dos controles da norma Falta de ao para identificar e usar controles fora da norma. Limitao de Oramento. Benefcios da Implantao ISO 27001 / 27002 Reduo de riscos de responsabilidade pela no implementao de um SGSI ou determinar polticas. Oportunidade de identificar e corrigir pontos fracos. A Alta direo assume a responsabilidade pela Seg. da Inf. Permite reviso independente do Sistema de Gesto da Seg. da Informao. Oferece confiana aos parceiros comerciais, partes interessadas e clientes. Melhora conscientizao sobre segurana Combina recursos com outros sistemas de gesto Metas da ISO 27001 / 27002 Salvaguardar a CONFIDENCIALIDADE / INTEGRIDADE / DISPONIBILIDADE da informao. ISO 27003 Orientao a partir do uso do PDCA para implantao de um SGSI ISO 27004 Planos de emergncia e mtricas para Sistemas de Seg. da Informao.
2.
3.
4.
Aumento da complexidade e eficcia das ferramentas de hacking /vrus E-mails e outras formas de troca da informao Inexistncia de planos de recuperao a desastres. Desastres naturais ou no. Falta de polticas e procedimentos implementados. (Termo de confidencialidade, mesa limpa, etc.) Impactos Exemplos Perda de Clientes e Contratos Danos imagem Perda de Produtividades Aumento no custo do trabalho e retrabalho Aumento de Seguros Penalidades e Multas
ASPECTOS (Trip, onde um puxa mais o outra tm menos Equilibrar !!!) CIA Confidentiality / Integrity / Availability ou CID. Confidencialidade Somente para pessoas autorizadas. o grau no qual o acesso informao restrito para determinadas pessoas. Exemplos de medidas Acesso informao garantido somente onde necessrio. Medidas para garantir que a inf. no est disponvel para quem no tem direito de acesso. Gesto de Acesso Lgico um desenvolvedor no pode alterar o seu salrio na base. Separao de ambientes de produo, testes, aceitao, etc. Integridade Exatido da informao em sua completa forma. Atualizao da Informao sem erros / completa e correta. Exemplos de medidas Mudanas autorizadas de dados Uso correto dos termos (usurios/Clientes) Aes de usurios registradas Aes importantes no podem ser feitas por somente uma pessoa Uso de criptografia para garantir a segurana da informao. Disponibilidade Assegurar o acesso aos usurios autorizados. Ter a informao quando eu quero! Caractersticas Pontualidade : disponvel quando necessrio Continuidade : continuar trabalhando em caso de falhas Robustez : capacidade suficiente. Exemplos de medidas Gesto de Estocagem de Dados (Store SAS/NAS) e no em um pc local. Procedimentos de Backup Procedimentos de Emergncia.
Resumo Alcanamos a seg. da Inf. atravs da implementao de um conjunto de controles, polticas, processos. Cada empresa nica em suas exigncias e requisitos de controle para o CIA. No necessrio que todos os controles da norma se apliquem a uma organizao.