PolSeg-Aulas SI 2011

PS-GRADUAO EM SEGURANA DA INFORMAO
Tecnologia da Informao: Gesto em Segurana da Informao

Emir Mansur Smaka
Instrutor
Formao acadmica:
Graduado em Processamento de Dados (FES-MS). MBA em Gesto de Negcios (FGVRJ). Mestrado em Cincia da Informao (PUCCAMP).
ESTAMOS SEGUROS????
Sociedade do Conhecimento e da Informao

Um governo do povo, sem informao para o povo ou sem os meios para que ele a obtenha, no nada mais do que o prlogo de uma farsa ou de uma tragdia ou talvez de ambas. A informao deve sempre governar sobre a ignorncia, e o povo que quer ser seu prprio governante deve armar-se com o poder que a informao proporciona.
(JAMES MADISON, QUARTO PRESIDENTE DOS E.U.A.)

Previso do surgimento de uma sociedade informatizada surge em 1963 na universidade de Kyoto A principal caracterstica desta sociedade ter os processos de gesto da informao e do conhecimento como pontos centrais
(German, 2000)
Christiano German

A nossa sociedade vem passando por uma transformao, saindo do estado de sociedade industrial para um estado de sociedade ps-industrial
(Druker, 1993)
Manuel Castells
Estamos vivenciando um tempo de mudanas, ou um intervalo na histria. Intervalo este cuja caracterstica a transformao de nossa cultura material pelos mecanismos de um novo paradigma tecnolgico que se organiza em torno da tecnologia da informao
(Castells, 1999)
Peter Drucker

(...) Uma sociedade na qual a qualidade de vida, bem como as perspectivas de transformao social e de desenvolvimento econmico, dependem crescentemente da informao e da sua explorao. Em tal sociedade, os padres de vida, trabalho e lazer, o sistema educacional e o posicionamento no mercado so todos influenciados marcadamente por avanos na informao e no conhecimento. Isso evidencia em um crescente acmulo de produtos e servios de elevado grau de intensidade de informao, difundidos por um extenso leque de meios de comunicao, muitos dos quais de natureza eletrnica (...) (German, 1999, p. 15)
Christiano German

(...) O fator decisivo no surgimento dessa nova sociedade foi a evoluo das tecnologias de informao e de comunicao (...) a revoluo das tecnologias da informao e da comunicao (T.I.C.) Proporcionaram sociedade capitalista a reestruturao que a Perestroyka, na Rssia de Gorbachev, no conseguiu realizar na sociedade comunista, terminando assim por implodir este modelo. (Castells, 1999)
Manuel Castells

Dentro de poucos anos, com receptores to pequenos que nenhuma polcia secreta poder impedir seu uso dentro das casas e satlites transmitindo programas a todos os pontos do globo, a informao, para melhor ou para pior, ter se tornado verdadeiramente transnacional e alm do controle de qualquer pas. (Druker, 1993, p. 105).
Peter Drucker

Em meados do sculo XVII o frade Paolo Sarpi, ento conselheiro do governo de Veneza, era defensor da idia de que difundir a informao era uma arma estratgica para a poltica, mais eficaz do que suprimi-la (Burke, 2003).
Peter Burke
Conceitos Importantes
CONFIDENCIALIDADE
SEG U RAN A DA INFORMAO

DISPONIBILIDADE INTEGRIDADE
S E G U RAN A
CICLO DE VIDA DA INFORMAO
IN F O R MA O
IN F O R MA O
A Questo da Informao
Informao: estruturas significantes. Produo da informao: atividades relacionadas reunio, seleo, codificao, reduo, classificao e armazenamento da informao. Estoques de informao
IN F O R MA O
A Questo da Informao
A produo da informao segue padres de produtividade , relacionados a decises polticas e econmicas. Quem detm a propriedade dos estoques de informao determina sua distribuio e condiciona, potencialmente, a produo do conhecimento
Viso Sistmica Processos de Negcio
NEGCIO
Viso Empresarial Desenvolvimento de Negcios Desenvolvimento de Solues Execuo de Servios Gesto do Conhecimento Apoio Gesto Aplicaes Infra-estrutura Fsica, Tecnolgica e Humana ...
Fonte: SMOLA, 2003
IN F O R MA O
Processo de Negcio
Informao
Ativo Tecnolgico Processo de Negcio Ativo Fsico Ativo Fsico Processo de Negcio Ativo Tecnolgico Processo de Negcio Ativo Fsico
Ativo Humano
Fonte: SMOLA, 2003
MANUSEIO:
Momento em que a informao criada e manipulada, seja ao folhear um mao de papis, ao digitar informaes recm-geradas, ou, ainda, ao utilizar sua senha de acesso para autenticao.
ARMAZENAMENTO:
Momento em que a informao armazenada, seja em um banco de dados compartilhado, em uma anotao de papel, ou, ainda, em uma mdia magntica ou tica depositada na gaveta da mesa de trabalho.
TRANSPORTE:
Momento em que a informao transportada, seja ao encaminhar informaes por correio eletrnico (e-mail), ao postar um documento via fax, ou, ainda, ao falar ao telefone uma informao confidencial.
DESCARTE:
Momento em que a informao descartada, seja ao depositar na lixeira da empresa um material impresso, seja ao eliminar um arquivo eletrnico, ou ainda, ao descartar um CD-ROM usado.
IMAGINE...... Voc gera, em reunio, uma nova definio: informao estratgica confidencial. A mesma anotada em papel e armazenada posteriormente em um cofre adequado. No momento imediatamente posterior, voc delega secretria que digite tal informao e a envie por correio eletrnico aos envolvidos. Pense agora que, depois de completada a tarefa, a secretria proceda o descarte da informao, jogando o papel na lixeira mais prxima.
Quais so as principais vulnerabilidades envolvidas:
S E G U RAN A
segurana. S. f. 2. Estado, qualidade ou condio de seguro. 3. Condio daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convico.
seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitvel, incontestvel. 10. Eficaz, eficiente.
S E G U RAN A
Protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio.
NBR ISO/IEC 17799, 2001.
CONFIDENCIALIDADE
Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.
NBR ISO/IEC 17799, 2001.
INTEGRIDADE
Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.

NBR ISO/IEC 17799, 2001.
Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
NBR ISO/IEC 17799, 2001.
DISPONIBILIDADE
Fatores Crticos de Sucesso - Gesto Integrada -Conscientizao da alta Administrao -Normas e Procedimentos -Implementao, certificao e administrao -Viso Estratgica -Mudana de Processos -Controle Centralizado -Problema Generalizado -Ao Corporativa -Conformidade Aproveitamento dos 3 modelos mentais anteriores
Experincias Bug do Ano 2000 Software de Gesto ERP Qualidade ISO 9000 Gesto Corporativa de Segurana da Informao Fonte: SMOLA, 2003 Temporais
Plano de Segurana da Informao:
Gesto da Segurana da Informao

Plano de Segurana da Informao: a) Poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio;

Plano de Segurana da Informao: b) Um enfoque para a implementao da segurana que seja consistente com a cultura organizacional;

Plano de Segurana da Informao: c) Comprometimento e apoio visvel da direo;

Plano de Segurana da Informao: d) Um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco;

Plano de Segurana da Informao: e) Divulgao eficiente da segurana para todos os gestores e funcionrios;

Plano de Segurana da Informao: f) Distribuio das diretrizes sobre as normas e polticas de segurana da informao para todos os funcionrios e fornecedores;

Plano de Segurana da Informao: g) Proporcionar educao e treinamento adequados;

h) Um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.
Plano de Segurana da Informao:

Espessura correspondente ao nvel de segurana Espessura correspondente ao nvel de segurana Espessura correspondente ao nvel de segurana
Negcio
Negcio
Negcio
Sem investimento Investimento isolado Baixo nvel de segurana do negcio Aumento relativo do nvel de segurana do negcio Falsa sensao de segurana Investimento integrado Aumento real do nvel de segurana do negcio Reduo dos riscos
Fonte: SMOLA, 2003
Comit Executivo de Segurana da Informao

Anlise crtica e aprovao da poltica da segurana da informao e das responsabilidades envolvidas Aprovao das principais iniciativas para aumentar o nvel da segurana da informao
Responsabilidades
Monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas
Anlise crtica e monitorao de incidentes de segurana da informao

Formao Interdisciplinar Definir responsabilidades
A criao dos comits de Segurana da Informao
Organizar, concentrar e planejar
Constitudo por pessoas pertencentes aos principais processos de negcio
de planejamento, execuo, monitorao Garantir posicionamento estratgico
Plano estratgico de Segurana da Informao Polticas Macro de Segurana PCN

Estrutura bsica da Segurana da Informao nas Organizaes
SECURITY OFFICE
Liderana do Comit Executivo; Atua como executor das atividades do Comit Executivo; Interage com os Comits Setoriais; Perfil tcnico aprofundado e viso corporativa; Funciona como mediador, questionador, analisador de ameaas, riscos, impactos e do conseqente estudo de viabilidade dos prximos passos.
Comits Setoriais
Devem aplicar as medidas de segurana no mbito dos processos de negcio; Responsveis por medir os resultados, reportar novas necessidades e situaes que exponham a informao;.
ISO/IEC 17799, 2001

Gera um mapa de relacionamento entre processos de negcio e infra-estrutura Processos de Negcio
Plano Diretor de Segurana da Informao
PN 1
PN 2
PN 3
PN n
Aplicaes
Infra-estrutura Fsica Tecnolgica Humana
Ativo 1
Ativo 2
Ativo 3
Ativo n
ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (no-breaks, ar-condicionado), moblia, acomodaes; servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade, refrigerao;
ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao, informaes armazenadas; ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;

Identificao dos Processos de Negcio Mapeamento da Relevncia Estudo de Impactos CIDAL
Estudo de Prioridades GUT
Estudo de Permetros
Estudo de Atividades
Os seis passos bsicos para a elaborao do Plano

Identificao dos Processos de Negcio
Clientes Atendidos Receita Margem

Fator Conformidade Estratgico Legal N
PN 1
PN 2
PN 3
PN n
Peso
$ multa

Identificao dos Processos de Negcio
Resultado esperado desta etapa:

Mapeamento dos Processos de Negcios crticos para a operao da empresa; Identificao dos gestores chaves dos processos mapeados; Incio da integrao e comprometimento dos gestores chaves envolvidos; Incio do entendimento sobre o funcionamento do negcio.

Mapeamento da Relevncia
ESCALA AUXLIO DE INTERPRETAO

Envolve o atingimento gerencivel do Processo de Negcio podendo provocar impactos praticamente irrelevantes Envolve o atingimento gerencivel do Processo de Negcio podendo provocar impactos apenas considerveis Envolve o atingimento gerencivel do Processo de Negcio podendo provocar impactos parcialmente significativos Envolve a paralisao do Processo de Negcio podendo provocar impactos muito significativos Envolve o comprometimento do Processo de Negcio podendo provocar impactos incalculveis na recuperao e na continuidade do negcio
NO CONSIDERVEL
RELEVANTE
IMPORTANTE
CRTICO
VITAL

Mapeamento da Relevncia

Mapeamento da relevncia dos Processos de Negcios crticos; Envolvimento dos gestores com viso holstica do negcio; Percepo dos fatores importantes considerados pelos gestores envolvidos;

CONFIDENCIALIDADE DISPONIBILIDADE
Estudo de Impactos CIDAL

AUTENTICIDADE INTEGRIDADE PN 1 LEGALIDADE
1 No Considervel 2 Relevante 3 Importante 4 Crtico 5 Vital

Estudo de Impactos CIDAL

Classificao de sensibilidade CIDAL de cada Processo de Negcio; Envolvimento dos gestores com viso holstica de processos especficos; Percepo dos fatores importantes considerados pelos gestores envolvidos;

Estudo de Prioridades GUT GRAVIDADE:
Seria muito grave para o processo de negcio em anlise se algum fato atingisse qualquer um dos conceitos e aspectos, provocando a quebra da segurana da informao? URGNCIA: Havendo quebra da segurana da informao, independentemente do conceito ou aspecto atingidos, qual seria a urgncia em solucionar os efeitos do ocorrido e em reduzir os riscos no processo de negcio em anlise?

TENDNCIA: Considerando os planos de curto, mdio e longo prazos associados evoluo do processo do negcio em anlise, qual seria sua tendncia dos riscos de segurana se nenhuma atividade preventiva ou corretiva fosse aplicada?


Urgncia
1. Sem pressa 2. Tolerante espera 3. O mais cedo possvel 4. Com alguma urgncia 5. Imediatamente
Gravidade
1. Sem gravidade 2. Baixa gravidade 3. Mdia gravidade 4. Alta gravidade 5. Altssima gravidade
Tendncia
1. No vai agravar 2. Vai agravar a longo prazo 3. Vai agravar a mdio prazo 4. Vai agravar a curto prazo 5. Vai agravar imediatamente


Mapeamento da prioridade de cada Processo de Negcio; Percepo das caractersticas de cada processo em funo das dimenses do GUT.

Estudo de Permetros
Agrupamento de um ou mais processos de negcio por similaridade de ativos

Processo de Negcio 5 Processo de Negcio 1 Processo de Negcio 6
Processo de Negcio 2
Agrupamento de um ou mais processos de negcio por similaridade de ativos

Estudo de Permetros

Mapeamento dos ativos; Mapeamento da relao entre ativos e processos de negcio.


PLANEJAMENTO DAS AES
1. Ocorrem em ambientes e permetros distintos 2. Esto em conformidade com as diretrizes de Segurana 3. So coordenadas 4. Propostas pelo modelo de gesto da Segurana


Mapeamento dos ativos; Mapeamento da relao entre ativos e processos de negcio.
Anlise de Vulnerabilidades, Ameaas e Riscos

Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais; b) salvaguarda de registros organizacionais; c) direitos de propriedade intelectual. (NBR ISO/IEC 17799, 2001, p. 3)

Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao; b) definio das responsabilidades na segurana da informao; a) educao e treinamento em segurana da informao; d) relatrio dos incidentes de segurana; e) gesto da continuidade do negcio. (NBR ISO/IEC 17799, 2001, p. 3)
Anlise de Vulnerabilidades
A anlise das ameaas para um ambiente de tecnologia da informao, deve incluir uma anlise das vulnerabilidades associadas ao ambiente dos sistemas. O objetivo desta etapa desenvolver uma lista das vulnerabilidades dos sistemas, que podem ser exploradas pelas ameaas em potencial. (NIST Special Publication 800-30, 2001, p. 15)
A vulnerabilidade um ponto no qual o sistema suscetvel a ataque. Por exemplo:
as pessoas que operam e usam os ativos de informao (elas foram treinadas adequadamente?); a conexo do sistema Internet (as comunicaes so criptografadas?); e o fato do prdio estar em uma rea sujeita a inundaes (o ativo de informao est no piso trreo do prdio?).
Vulnerabilidade: Uma falha ou fraqueza encontrada no projeto, implementao, procedimentos ou controles internos dos dispositivos de segurana de um sistema de informao, que podem ser explorados (intencional ou acidentalmente) e resultar em uma quebra ou violao das polticas de segurana da informao (NIST Special Publication 800-30, 2001, p. 15).
Classificao das Vulnerabilidades
As vulnerabilidades as quais os sistemas de informao esto sujeitos podem ser classificadas em: fsicas; naturais; de hardware e software; de mdia; por emanao; de comunicao; e humanas.
Vulnerabilidades Fsicas
Os prdios e salas que mantm o sistema so vulnerveis podendo ser invadidos, por exemplo, atravs de arrombamento.
Vulnerabilidades Naturais
Computadores so extremamente vulnerveis a desastres de ordem natural e s ameaas ambientais. Desastres como fogo, inundao, terremoto e perda de energia podem danificar computadores ou destruir dados. Poeira, umidade ou condies de temperatura inadequadas tambm podem causar estragos.
Vulnerabilidades de Hardware e Software
Falhas de hardware e software podem comprometer toda a segurana de um sistema. Falhas de software ou bugs podem abrir buracos ou portas no sistema, ou ainda, faz-lo comportar-se de forma imprevista. Mesmo que individualmente os componentes de hardware e software sejam seguros, a sua instalao ou conexo inadequadas pode comprometer a segurana do sistema.
Vulnerabilidades de Mdia Discos, fitas e material impresso pode ser facilmente roubado ou danificado. Informaes sensveis podem ser mantidas em discos ou fitas mesmo aps terem sido logicamente removidas, mas no fisicamente apagadas.
Vulnerabilidades por Emanao Todo equipamento eletrnico emite radiao eltrica e eletromagntica. Os sinais emitidos por computadores, equipamentos de rede e monitores podem ser captados e decifrados permitindo a obteno das informaes contidas no sistema ou a inferncia sobre seu contedo.
Vulnerabilidades de Comunicao Mensagens em trnsito podem ser interceptadas, desviadas ou forjadas. Linhas de comunicao podem ser escutadas ou interrompidas.
Vulnerabilidades Humanas
As pessoas que administram e usam o sistema representam sua maior vulnerabilidade. Normalmente a segurana de todo o sistema est sob o controle do administrador do sistema. Os usurios, operadores ou administradores do sistema podem cometer erros que comprometam o sistema ou ainda, podem ser subornados ou coagidos a cometer atos danosos.
Ativos de Informao
Servios de Segurana
Confidencialidade Vulnerabilidades Integridade Disponibilidade
... ... Vulnerabilidades ... ... Vulnerabilidades ... ...
Perda de Integridade: a integridade perdida caso alteraes no-autorizadas sejam realizadas em dados ou informaes constantes em sistemas de T.I., por aes intencionais ou no-intencionais. O uso continuado dos dados e/ou informaes afetados poder acarretar impreciso de informaes geradas e conseqente tomada de decises errnea.
Perda de Disponibilidade: se um sistema de T.I., considerado de misso crtica torna-se indisponvel para o seu usurio final, o objetivo principal (a misso) da organizao poder estar comprometida. A perda da funcionalidade e da operacionalidade de um sistema de informao pode resultar na baixa da produtividade de uma equipe de trabalho, comprometendo a misso da organizao.
Perda de Confidencialidade: o impacto da descoberta no autorizada, de informaes confidenciais pode colocar em risco toda uma organizao. A revelao de tais informaes, intencionais ou no, podem causar danos que vo desde o constrangimento pblico, podendo gerar at mesmo aes de cunho legal contra a organizao (NIST Special Publication 800-30, 2001, p. 28).
Anlise das Ameaas

Princpios Bsicos
Consiste em possveis perigos para os ativos de informao O perigo pode ser originado por:
uma pessoa (um espio, um criminoso profissional, um hacker ou mesmo um funcionrio mal intencionado); uma coisa (uma pea de hardware ou software defeituosa); ou um evento (fogo, queda de energia, uma inundao ou terremoto).
Anlise das Ameaas

Classificao das Ameaas
As ameaas que podem ser oferecidas pelo ambiente ao qual o sistema est exposto podem ser classificadas em:
naturais e fsicas; no-intencionais; e intencionais.
Anlise das Ameaas

Ameaas Naturais e Fsicas
So ameaas s quais todos os equipamentos ou instalaes fsicas de uma organizao podem estar sujeitas: fogo, inundaes, quedas de energia. Normalmente difcil evitar a ocorrncia de tais eventos. Pode-se minimizar as chances de que o estrago seja severo, e tambm fazer o planejamento para a recuperao aps a ocorrncia de um desastre de ordem natural.
Anlise das Ameaas

Ameaas No Intencionais
So os perigos trazidos pela ignorncia. Por exemplo:
um usurio ou administrador de um ativo de informao que no tenha sido treinado; que no tenha lido a documentao; ou que no tenha entendido a importncia do cumprimento das regras de segurana estabelecidas.
A maior parte dos danos causados nos sistemas de informao surgem pela ignorncia dos seus usurios ou administradores e no por aes maliciosas.
Anlise das Ameaas

Ameaas Intencionais
So as ameaas que viram notcias de jornal e sobre as quais os produtos de segurana melhor podem atuar. As ameaas intencionais podem surgir a partir de dois tipos de viles: internos ou externos. Viles externos incluem:
Criminosos profissionais Hackers Terroristas Empresas competidoras
Anlise das Ameaas

Ameaas Intencionais
Viles externos podem ter acesso a um sistema de vrias formas: arrombamento, falsificao de documentos de identificao, atravs de modems ou conexes de rede ou ainda atravs do suborno ou coao de pessoal interno. A maior parte dos problemas de segurana so provocados por viles internos: Os inimigos j esto dentro da nossa organizao -- ns os contratamos!
Anlise das Ameaas

Determinao das Ameaas
Ativos de Informao
Servios de Segurana
Confidencialidade Ameaas Integridade Disponibilidade
... ... Ameaas ... ... Ameaas ... ...
Anlise dos Riscos

Princpios Bsicos
A probabilidade de uma determinada ameaa vir a explorar uma vulnerabilidade existente, consiste em um risco para o ativo de informao envolvido.
Anlise dos Riscos

Princpios Bsicos
Uma vez tendo sido identificadas as vulnerabilidades do ambiente e as ameaas potenciais, possvel quantificar a probabilidade de ocorrncia dos riscos existentes. A complexidade desta atividade funo do nvel de detalhamento desejado.
Anlise dos Riscos

Classificao dos Riscos
Nvel de ocorrncia da Probabilidade
Alto
Definio
A origem da ameaa est altamente motivada e suficientemente capaz, e os controles para proteger a vulnerabilidade envolvida so ineficientes. A origem da ameaa est motivada e tem capacidade, mas os controles para proteo da vulnerabilidade envolvida podem impedir sua explorao. A origem da ameaa tem baixa motivao ou baixa capacidade, ou ainda, os controles existentes para proteo da vulnerabilidade envolvida so 800-30, 2001. Fonte: NIST Special Publication suficientemente capazes de impedir sua explorao.
Mdio
Baixo
Anlise dos Riscos

Reviso Constante dos Riscos
O trabalho de anlise de risco deve ser feito constantemente. Novas ameaas podem surgir, vulnerabilidades no identificadas em primeiras anlises podem ser notadas em revises futuras, e as probabilidades de ocorrncia das ameaas podem ser alteradas. Sempre que forem feitas mudanas significativas no sistema, uma nova anlise de risco deve ser feita.
Anlise dos Riscos

Riscos no podem ser Eliminados
Os riscos podem ser identificados, quantificados e ento reduzidos, mas no possvel elimin-los completamente. No importa quo seguro se faa um sistema, sua segurana sempre poder ser quebrada dados suficientes recursos, tempo, motivao e dinheiro.
Anlise dos Riscos

=
Bens ou Recursos
Vulnerabilidades Ameaas Riscos
...
...
Anlise de Custo/Benefcio
Aps se completar a anlise de risco, necessria a realizao de uma Anlise de Custo-Benefcio. Esta anlise consiste na determinao do custo gerado caso uma ameaa se concretize, denominado Custo da Perda, e na determinao do custo do estabelecimento de mecanismos de defesa contra a ameaa, denominado Custo da Proteo.
O Custo da Perda
O clculo de custos uma tarefa complicada. Um clculo simples pode considerar apenas o custo de reparo ou substituio de um item. Clculos mais complexos podem considerar o custo de se ter o equipamento fora de uso, o custo de treinamento adicional, o custo do estabelecimento de novos procedimentos e o custo devido m publicidade.
O Custo da Perda
Na prtica podem ser estabelecidos nveis de custo para a quantificao de um determinado item afetado pela ocorrncia de uma ameaa.
Por exemplo, a perda de uma dezena de fitas magnticas pode representar um custo abaixo de $500. No entanto, a ocorrncia de um incndio na sala dos computadores pode significar um custo maior que $1.000.000.
O Custo da Perda
Alguns itens ainda podem ser classificados como irreparveis ou insubstituveis.
Por exemplo, a perda de todas as fitas dos backups efetuados no sistema ou a sada do funcionrio que conhecia os detalhes do sistema.
O Custo da Proteo
Deve ser considerado o custo associado utilizao de mecanismos de segurana que evitem ou minimizem a ocorrncia de danos decorrentes das ameaas. Por exemplo, o custo da perda no caso de uma falha momentnea no sistema de energia pode ser apenas relativo ao tempo em que os usurios ficaram parados. No entanto, o custo da proteo pode ser o da aquisio de um sistema ininterrupto de energia.
>> ?
Bens ou Recursos
Riscos Custo da Perda Custo da Proteo
...
...
Conscientizao, Treinamento e Educao

Os rgos e agncias federais no podem assegurar a proteo da integridade, confidencialidade e disponibilidade da informao em ambientes de sistemas de informao com alta disponibilidade em redes de comunicao de dados, sem assegurar que cada pessoa envolvida entenda suas funes e responsabilidades e esteja adequadamente capacitada e treinada para as suas execues (NIST Special Publication 800-16, 1998, p. 3).

(...) os programas de conscientizao so especialmente complexos pelo motivo de estarmos trabalhando com mudanas de comportamento das pessoas. Na maioria das vezes nos deparamos com situaes nas quais os funcionrios transferem para o ambiente de trabalho muitos dos conceitos e valores utilizados na sua vida particular, inclusive seus hbitos domsticos. (MARINHO, 2003)

INICIANTE
CONSCIENTIZAO
TREINAMENTO
INTERMEDIRIO
EDUCAO
AVANADO

Objetivo: Prover direo uma orientao e apoio para a segurana da informao.
Convm que a direo
estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.
ISO/IEC 17799, 2001

a) Definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao; Declarao de comprometimento da alta direo, apoiando as metas e princpios da segurana da informao;
b)
ISO/IEC 17799, 2001

c) Breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao; Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana;
d)
ISO/IEC 17799, 2001

e) Referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.
ISO/IEC 17799, 2001
Trabalho de Concluso do Mdulo

1. 2. 3. IDENTIFICAR (NO MNIMO) 04 PROCESSOS DE NEGCIO EM UMA EMPRESA/ORGANIZAO REAL. RELACIONAR OS ATIVOS DE INFORMAO ASSOCIADOS AOS PROCESSOS DE NEGCIO. DESENVOLVER: a) b) c) 4. 5. 6. 7. 8. MAPEAMENTO DA RELAVNCIA ESTUDO DE IMPACTO CIDAL ESTUDO DE PRIORIDADES GUT
IDENTIFICAR AS VULNERABILIDADES RELACIONADAS AOS ATIVOS DE INFORMAO IDENTIFICADOS NOS PROCESSOS DE NEGCIO. REALIZAR, PARA CADA ATIVO DE INFORMAO, A DETERMINAO DAS AMEAAS. RELACIONAR AS AMEAAS IDENTIFICADAS S VULNERABILIDADES QUE POSSAM SER EXPLORADAS. REALIZAR A ANLISE DOS RISCOS ENVOLVIDOS. CONCLUIR PROPONDO UM CONJUNTO DE AES ESTRATGICAS EM SEGURANA DA INFORMAO PARA MINIMIZAR OS RISCOS (CONSIDERADOS ALTOS) .

PolSeg-Aulas SI 2011

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PolSeg-Aulas SI 2011

Enviado por

Direitos autorais:

Formatos disponíveis

PS-GRADUAO EM SEGURANA DA INFORMAO

Tecnologia da Informao: Gesto em Segurana da Informao

Sociedade do Conhecimento e da Informao

Sociedade do Conhecimento e da Informao

Sociedade do Conhecimento e da Informao

Sociedade do Conhecimento e da Informao

Sociedade do Conhecimento e da Informao

Sociedade do Conhecimento e da Informao

Sociedade do Conhecimento e da Informao

SEG U RAN A DA INFORMAO

Fonte: SMOLA, 2003

CICLO DE VIDA DA INFORMAO

CICLO DE VIDA DA INFORMAO

Quais so as principais vulnerabilidades envolvidas:

CICLO DE VIDA DA INFORMAO

SEG U RAN A DA INFORMAO

Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.

SEG U RAN A DA INFORMAO

Plano de Segurana da Informao:

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Gesto da Segurana da Informao

Plano de Segurana da Informao:

Gesto da Segurana da Informao

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Anlise crtica e monitorao de incidentes de segurana da informao

Gesto da Segurana da Informao

A criao dos comits de Segurana da Informao

Organizar, concentrar e planejar

Constitudo por pessoas pertencentes aos principais processos de negcio

de planejamento, execuo, monitorao Garantir posicionamento estratgico

Plano estratgico de Segurana da Informao Polticas Macro de Segurana PCN

Gesto da Segurana da Informao

ISO/IEC 17799, 2001

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

Infra-estrutura Fsica Tecnolgica Humana

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

Estudo de Prioridades GUT

Os seis passos bsicos para a elaborao do Plano

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

Comit Executivo de Segurana da Informao

Gesto da Segurana da Informao

Plano Diretor de Segurana da Informao

Resultado esperado desta etapa:

Comit Executivo de Segurana da Informao