Você está na página 1de 57

05/07/2016

Gesto da Segurana da
Informao
Ps-graduao Ruy Barbosa
Prof(a) Gabriela Mota

Apresentao

Mestra em Modelagem Computacional e Tecnologia


Industrial Faculdade de Tecnologia SENAI CIMATEC
(2014)
Bacharel em Anlise de Sistemas - Universidade do
Estado da Bahia, UNEB (2010)
Pesquisadora nas reas: Web Colaborativa, Web
Semntica e Teoria de Redes Complexas
Atua com: Engenharia de Software, Processos de
Software, Metodologias geis e Gerenciamento de
Projetos

Objetivos da Disciplina

Aplicar a segurana da informao na gesto de


projetos de polticas de segurana da Informao
Interpretar os modelos ISO 27001 e ISO 27002 para a
Gesto da Segurana da Informao
Aplicar o processo normatizado de implementao,
operao e monitoramento
Monitorar e melhorar um Sistema de Segurana de
Informao (SGSI)
Diagnosticar a real situao da empresa - governana,
riscos, plano contingncia

05/07/2016

Expectativas

Assiduidade e pontualidade
Concentrao nas aulas
Desenvolvimento das atividades prticas em sala de
aula

Agenda (segunda semana)


Dia

13/06
14/06
15/06

16/06
17/06

Contedo Programtico

1 dia: Apresentao dos trabalhos da primeira semana e


concluses

2 dia: Operacionalizao da Gesto da Segurana da Informao


3 dia: Gesto de Incidentes de Segurana da Informao
4 dia: Gesto da continuidade do negcio

5 dia: Projeto de implantao de um SGSI

Avaliao

Metodologia de avaliao: individual em todos os


encontros e em grupo na apresentao ao final da
semana;
Tipo de avaliao: trabalho desenvolvido em sala de
aula gradativamente;
Local da avaliao: faculdade.

05/07/2016

Agenda

Operacionalizao da Gesto da Segurana da


Informao
Gesto de Incidentes de Segurana da Informao
Gesto da continuidade do negcio
Projeto de implantao de um SGSI

Operacionalizao da Gesto da
Segurana da Informao
(PRIMEIRO DIA)

Retomando...

Norma NBR ISO/IEC 27002

Norma ISO 27002: Cdigo de Boas Prticas da Gesto de


Segurana da Informao
Conjunto de recomendaes e de boas prticas para
gesto da segurana da informao para uso por aqueles
que so responsveis pela introduo, implementao ou
manuteno da segurana em suas organizaes
Tem como propsito prover uma base comum para o
desenvolvimento de normas de segurana organizacional,
das prticas efetivas de gesto da segurana e prover
confiana nos relacionamentos entre as organizaes

05/07/2016

Norma ISO/IEC 27002

Ela deixa a critrio da prpria organizao escolher o


escopo, abrangncia e profundidade dos controle
que mais estejam adequados com as suas diretrizes e
com a especificidade do seu negcio
As normas ISO 27001 e 27002 devem ser usadas em
conjunto. Os controles da 27002 auxiliam a empresa
a alcanar os requisitos da 27001

ISO 27002: controles

Poltica de segurana da informao


Segurana organizacional
Classificao e controle de ativos de informao
Segurana relacionada s pessoas
Segurana ambiental e fsica
Gerenciamento das operaes e comunicaes
Controle de acesso
Desenvolvimento e manuteno de sistemas
Gesto de incidentes de segurana
Gesto da continuidade do negcio
Conformidade com as diretrizes da empresa

Norma ISO/IEC 27002: reas


de controles (1/11)
Poltica de Segurana da Informao:

Orienta a organizao no estabelecimento de uma poltica


clara que trate da segurana de informaes, alinhada com
as diretrizes do negcio
Requer que a alta administrao demonstre seu apoio e
comprometimento com a segurana da informao por
meio da publicao, manuteno e divulgao da Poltica
de Segurana da Informao (PSI) para toda a organizao.
So fornecidas ferramentas para a elaborao e
implementao do documento e a sua anlise crtica

05/07/2016

Norma ISO/IEC 27002: reas


de controles (2/11)
Organizao da Segurana:

Orienta a organizao em como gerenciar a segurana da


informao, assim como a manter a segurana dos
recursos de que so acessados, processados, comunicados
ou gerenciados por partes externas

Norma ISO/IEC 27002: reas


de controles (3/11)
Gesto de Ativos (Patrimnio):

Orienta a organizao a alcanar e manter a proteo


adequada dos ativos de informao, alm de assegurar
que a informao seja classificada de acordo com seu nvel
adequado de proteo
So fornecidas diretrizes para a realizao de inventrio
dos ativos, definio de seus proprietrios e regras para o
seu uso
A norma traz algumas recomendaes para a classificao
da informao e sugere a definio de procedimentos
para rotulao e tratamento da informao

Norma ISO/IEC 27002: reas


de controles (4/11)
Segurana dos Recursos Humanos:

Orienta a organizao a assegurar que funcionrios,


fornecedores e terceiros compreendam suas
responsabilidades, estejam conscientes das ameaas
relativas segurana da informao e prontos para apoiar a
PSI
So fornecidas diretrizes para a definio de papis e
responsabilidades. Inclusive da direo, seleo de pessoal,
termos e condies de contratao, conscientizao,
educao e treinamento em segurana da informao e
processo disciplinar
Assim como diretrizes para casos de encerramento ou
mudana da contratao quando so necessrias devoluo
de ativos e retirada de direitos de acesso

05/07/2016

Norma ISO/IEC 27002: reas


de controles (5/11)
Segurana Fsica e Ambiental:

Orienta sobre a preveno de acesso fsico no autorizado,


danos e interferncias nas instalaes e informaes, tanto
quanto impedir perdas, danos, furto ou comprometimento
de ativos e interrupo das atividades da organizao
So fornecidas diretrizes para reas seguras, incluindo
permetro de segurana fsica, controles de entrada fsica,
segurana em salas e instalaes, proteo contra ameaas
externas e do meio ambiente etc.
So dadas recomendaes para instalao e proteo de
equipamento, inclusive contra falta de energia eltrica e
outras interrupes provocadas por falhas das utilidades,
segurana do cabeamento, manuteno de equipamentos
etc.

Norma ISO/IEC 27002: reas


de controles (6/11)

Gesto de Operaes e Comunicaes:

Orienta a organizao quanto aos procedimentos e


responsabilidades operacionais, incluindo a gesto de
mudana, segregao de funes e separao dos
ambientes de produo, desenvolvimento e teste
So dadas diretrizes para o gerenciamento de servios
terceirizados, planejamento e aceitao de sistemas,
proteo contra cdigos maliciosos e mveis, cpias de
segurana, gerenciamento da segurana em redes,
manuseio de mdias, troca de informaes, servios de
correio eletrnico e monitoramento

Norma ISO/IEC 27002: reas


de controles (7/11)
Controle de Acessos:

Orienta a organizao em relao aos controles de acesso


informao e aos recursos de processamento das
informaes.
So dadas diretrizes para a definio de requisitos de
negcio para controle de acesso, gerenciamento de acesso
e responsabilidade do usurio, controle de acesso rede,
sistema operacional, aplicao e informao e aspectos
sobre computao mvel e trabalho remoto.
Tais diretrizes envolvem desde a definio de uma poltica
de controle de acesso e o gerenciamento de privilgios at
o isolamento de sistemas crticos

05/07/2016

Norma ISO/IEC 27002: reas


de controles (8/11)

Aquisio, Manuteno e Desenvolvimento de


Sistemas:

Orienta a organizao quanto definio dos requisitos


necessrios de segurana nos sistemas de informao,
medidas preventivas contra o processamento incorreto das
aplicaes, uso de controles criptogrficos, alm de
fornecer diretrizes para a segurana dos arquivos de
sistema, segurana em processos de desenvolvimento e
suporte e gesto de vulnerabilidades tcnicas

Norma ISO/IEC 27002: reas


de controles (9/11)

Gesto de Incidentes de Segurana da Informao:

Orienta a organizao para que fragilidades e eventos de


segurana da informao associados com sistemas de
informao sejam comunicados e gerenciados de forma
consistente e efetiva, permitindo a tomada de ao
corretiva em tempo hbil
So fornecidas diretrizes para a notificao de eventos e
fragilidades de segurana da informao, definio de
responsabilidades e procedimentos de gesto desses
eventos e fragilidades, alm da coleta de evidncias e do
estabelecimento de mecanismos para anlise dos
incidentes recorrentes ou de alto impacto com vistas sua
quantificao e monitoramento

Norma ISO/IEC 27002: reas


de controles (10/11)
Gesto da Continuidade do Negcio:

Orienta a organizao na tomada de medidas para


prevenir a interrupo das atividades do negcio e
proteger os processos crticos contra defeitos, falhas ou
desastres significativos, assegurando sua retomada em
tempo hbil
So fornecidas diretrizes para incluir a segurana da
informao no processo de gesto da continuidade de
negcio e realizar anlise e avaliao de riscos, assim como
desenvolver, implementar, testar e reavaliar planos de
continuidade relativos segurana da informao

05/07/2016

Norma ISO/IEC 27002: reas


de controles (11/11)
Conformidade:

Orienta a organizao a evitar violao de qualquer lei criminal


ou civil, estatutos, regulamentaes ou obrigaes contratuais e
de qualquer dos requisitos de segurana da informao, alm de
garantir a conformidade dos sistemas com as polticas e normas
organizacionais de segurana da informao
So dadas diretrizes para a identificao da legislao vigente,
proteo dos direitos de propriedade intelectual, proteo dos
registros organizacionais, proteo de dados e privacidade de
informaes pessoais, preveno de mau uso de recursos de
processamento da informao e regulamentao de controles
de criptografia.
Tambm so feitas algumas consideraes sobre a auditoria de
sistemas de informao

Avaliao dos controles


organizacionais
Elementos crticos:

Unidades organizacionais bem definidas, com nveis claros


de autoridade, responsabilidades e habilidades tcnicas
necessrias para exercer os cargos
Atividades dos funcionrios controladas atravs de
procedimentos de operao e superviso documentados e
polticas claras de seleo, treinamento e avaliao de
desempenho
Poltica de segregao de funes e controles de acesso
para garantir na prtica a segregao de funes
Recursos computacionais gerenciados de forma a suprir as
necessidades de informao de forma eficiente e
econmica

Segregao de Funes

As pessoas so consideradas o aspecto mais frgil a


ser observado na segurana da informao
Boas prticas no mbito do desenvolvimento de
sistemas

Quem desenvolve uma aplicao no deveria test-la ou


mant-la
Combater a cultura de pessoas imprescindveis ou
proprietrias do sistema
Realizar a atividade de manuteno de sistemas em rodzio
Os privilgios de acesso s diversas funcionalidades do
sistema devem ser compatveis com a funo do usurio
Regras para criao de senhas

05/07/2016

Recursos humanos (1/3)

Medidas para minimizar os riscos provocados pelo


elemento humano em seus quadros de
colaboradores:

Processos confiveis de seleo de pessoal, isenta de


simpatias pessoais, mas voltada para as reais habilidades
demonstradas pelo candidato
Deve abranger uma investigao dos antecendentes do
funcionrio, do temporrio ou prestador de servio;
Contrato de trabalho incluindo a documentao das
responsabilidades de segurana e normas e polticas de
segurana da organizao

Recursos humanos (2/3)

Medidas para minimizar os riscos... (continuao) :

Assinatura de acordos de confidencialidade com definio


clara de termos e condies de trabalho relativos
segurana da informao, direitos autorais e proteo de
dados
Superviso gerencial suficiente para permitir a deteco e
reao situaes de risco (problemas pessoais e
financeiros, sinais de estresse) ou atitudes suspeitas
(mudana no estilo de vida, recusa em tirar frias)
Segregao de funes para evitar que uma mesma pessoa
se torne responsvel por todas as etapas de um processo

Recursos humanos (3/3)

Medidas para minimizar os riscos... (continuao) :


Treinamento e conscientizao dos funcionrios;
Expectativa de controle e de punio em caso de
descumprimento de normas de segurana, incluindo a
demisso e a retirada dos privilgios de acesso fsico e
lgico aos ativos de informao

05/07/2016

SEGURANA EM PROCESSO DE DESENVOLVIMENTO


DE SISTEMAS

Consideraes (1/2)

A segurana da informao em um projeto de


desenvolvimento de sistemas deve considerar
diversos aspectos como:

1) Detalhar na poltica de segurana os requerimentos de


segurana que os sistemas devem atender, incluindo seus
processos de segurana
2) A documentao do sistema deve estar sempre
atualizada e armazenada em local seguro e controlado
3) Utilizar trilhas de auditoria nas transaes executadas
pelos usurios e nos acessos aos cdigos-fonte
4) Criptografia de informaes confidenciais

Consideraes (2/2)

A segurana da informao em um projeto de


desenvolvimento de sistemas deve considerar
diversos aspectos como (continuao):

5) Automatizar a interface entre sistemas para evitar


transaes incorretas.
6) Segregao de funes
7) No permitir o acesso de usurios diretamente no
banco de dados de produo
8) Controles sobre os cdigos-fonte que assegurem que
todas as alteraes tenham sido autorizadas,
documentadas, e testadas, visando evitar verses
fraudulentas

10

05/07/2016

NBR-ISO/IEC 27001

Segundo anexos da norma NBR-ISO/IEC 27001, a


segurana no desenvolvimento e manuteno de
sistemas composta por:
Requisitos de segurana de sistemas

Segurana nos sistemas de aplicao


Controles de criptografia

Segurana de arquivos do sistema e dados para teste

Segurana nos processos de desenvolvimento e suporte

NBR-ISO/IEC 27001

Requisitos de segurana de sistemas

Objetivos: Garantir que a segurana seja parte integrante dos


sistemas de informao.
Isto incluir infra-estrutura, aplicaes do negcio e aplicaes
desenvolvidas pelo usurio. O projeto e a implementao dos
processos do negcio que do suporte s aplicaes e aos
servios podem ser cruciais para segurana.
Convm que requisitos de segurana sejam identificados e
acordados antes do desenvolvimento dos sistemas de
informao.
Convm que todos os requisitos de segurana, incluindo a
necessidade de acordos de contingncia, sejam identificados na
fase de levantamento de requisitos de um projeto e
justificados, acordados e documentados como parte do estudo
de caso de um negcio para um sistema de informao.

NBR-ISO/IEC 27001

Segurana nos sistemas de aplicao

Objetivo: Prevenir perda, modificao ou uso imprprio de


dados do usurio nos sistemas de aplicaes.
Convm que os controles apropriados e trilhas de
auditoria ou registros de atividades sejam previstos para
os sistemas de aplicao, incluindo aplicaes escritas pelo
usurio. Convm que estes incluam a validao dos dados
de entrada, processamento interno e dados de sada.
Controles adicionais podem ser necessrios para sistemas
que processam ou tm impacto em ativos organizacionais
crticos, valiosos ou sensveis. Convm que tais controles
sejam determinados na base dos requisitos de segurana
e na avaliao de riscos.

11

05/07/2016

NBR-ISO/IEC 27001
Controles de criptografia

Objetivo: Proteger a confidencialidade, autenticidade


e/ou integridade das informaes.

Convm que tcnicas e sistemas criptogrficos sejam


usados para a proteo das informaes que so
consideradas de risco e que para as quais outros controles
no fornecem proteo adequada.

NBR-ISO/IEC 27001

Segurana de arquivos do sistema

Objetivo: Garantir que os projetos de tecnologia da


informao e as atividades de suporte sero conduzidas de
maneira segura.

Convm que o acesso aos arquivos do sistema seja


controlado.
Convm que a manuteno da integridade do sistema seja
de responsabilidade da funo do usurio ou do grupo de
desenvolvimento a quem pertence o sistema de aplicao
ou software.

NBR-ISO/IEC 27001

Segurana nos processos de desenvolvimento e


suporte

Objetivo: Manter a segurana do software e da informao


do sistema de aplicao.
Convm que os ambientes de desenvolvimento e suporte
sejam rigidamente controlados.
Convm que os gestores responsveis pelos sistemas de
aplicao tambm sejam responsveis pela segurana do
ambiente de desenvolvimento ou suporte. Convm que
eles garantam que todas as modificaes de sistemas
propostas sejam analisadas criticamente, a fim de verificar
que elas no comprometem a segurana do sistema ou do
ambiente de produo.

12

05/07/2016

NBR-ISO/IEC 27002
Segundo a norma NBR-ISO/IEC 27002, captulo 12
Aquisio, desenvolvimento e manuteno de
sistemas de informao:
12.2 Processamento correto nas aplicaes
12.2.1 Validao dos dados de entrada
12.2.2 Controle do processamento interno

12.3 Controles criptogrficos


12.4 Segurana dos arquivos do sistema

12.4.1 Controle de software operacional


12.4.2 Proteo dos dados para teste de sistema
12.4.3 Controle de acesso ao cdigo-fonte de programa

NBR-ISO/IEC 27002
Segundo a norma NBR-ISO/IEC 27002, captulo 12
Aquisio, desenvolvimento e manuteno de
sistemas de informao (continuao):

12.5 Segurana em processos de desenvolvimento e de


suporte
12.5.1 Procedimentos para controle de mudanas
12.5.4 Vazamento de informaes
12.5.5 Desenvolvimento terceirizado de software

NBR-ISO/IEC 27002
12.2 Processamento correto nas aplicaes
Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no
autorizada ou mau uso de informaes em aplicaes.
Convm que controles apropriados sejam incorporados no projeto
das aplicaes, inclusive aquelas desenvolvidas pelos usurios,
para assegurar o processamento correto. Convm que esses
controles incluam a validao dos dados de entrada, do
processamento interno e dos dados de sada.

13

05/07/2016

NBR-ISO/IEC 27002
12.2.1 Validao dos dados de entrada
Controle:
Convm que os dados de entrada de aplicaes sejam validados
para garantir que so corretos e apropriados.
Diretrizes para implementao
a) entrada duplicada ou outros tipos de verificao, tais como
checagem de limites ou campos limitando
as faixas especficas de dados de entrada, para detectar os
seguintes erros:
1) valores fora de faixa;
2) caracteres invlidos em campos de dados;
3) dados incompletos ou faltantes;
4) volumes de dados excedendo limites superiores ou
inferiores;
5) dados de controle inconsistentes ou no autorizados;

NBR-ISO/IEC 27002
12.2.2 Controle do processamento interno
Controle:
Convm que sejam incorporadas, nas aplicaes, checagens de
validao com o objetivo de detectar qualquer corrupo de
informaes, por erros ou por aes deliberadas.
Diretrizes para implementao
a) o uso das funes, como incluir, modificar e remover para
implementao de alteraes nos dados;
b) procedimentos para evitar que programas rodem na ordem
errada ou continuem rodando aps uma falha de processamento;
c) o uso de programas apropriados para recuperao de falhas,
para assegurar o processamento correto dos dados;
d) proteo contra ataques usando buffer overrun/overflow;

NBR-ISO/IEC 27002
12.4 Segurana dos arquivos do sistema
Objetivo: Garantir a segurana de arquivos de sistema.
Convm que o acesso aos arquivos de sistema e aos programas
de cdigo fonte seja controlado e que atividades de projeto de
tecnologia da informao e de suporte sejam conduzidas de forma
segura.
Convm que cuidados sejam tomados para evitar a exposio de
dados sensveis em ambientes de teste.

14

05/07/2016

NBR-ISO/IEC 27002
12.4.1 Controle de software operacional
Controle
Convm que procedimentos para controlar a instalao de
software em sistemas operacionais sejam implementados.
Diretrizes para implementao

a) a atualizao do software operacional, de aplicativos e de bibliotecas


de programas seja executada somente por administradores treinados e
com autorizao gerencial;
b) sistemas operacionais somente contenham cdigo executvel e
aprovado, e no contenham cdigos em desenvolvimento ou
compiladores;
c) sistemas operacionais e aplicativos somente sejam implementados
aps testes extensivos e bem sucedidos; recomendvel que os testes
incluam testes sobre uso, segurana, efeitos sobre outros sistemas, como
tambm sobre uso amigvel, e sejam realizados em sistemas separados;

NBR-ISO/IEC 27002
12.4.1 Controle de software operacional
Diretrizes para implementao (continuao)

d) um sistema de controle de configurao seja utilizado para manter


controle da implementao do software assim como da documentao do
sistema;
e) uma estratgia de retorno s condies anteriores seja disponibilizada
antes que mudanas sejam implementadas no sistema;
f) um registro de auditoria seja mantido para todas as atualizaes das
bibliotecas dos programas operacionais;
g) verses anteriores dos softwares aplicativos sejam mantidas como
medida de contingncia;
h) verses antigas de software sejam arquivadas, junto com todas as
informaes e parmetros requeridos, procedimentos, detalhes de
configuraes e software de suporte durante um prazo igual ao prazo de
reteno dos dados.

NBR-ISO/IEC 27002
12.4.2 Proteo dos dados para teste de sistema
Controle
Convm que os dados de teste sejam selecionados com cuidado,
protegidos e controlados.
Diretrizes para implementao
a) os procedimentos de controle de acesso, aplicveis aos
aplicativos de sistema em ambiente operacional, sejam tambm
aplicados aos aplicativos de sistema em ambiente de teste;
b) seja obtida autorizao cada vez que for utilizada uma cpia da
informao operacional para uso de um aplicativo em teste;
c) a informao operacional seja apagada do aplicativo em teste
imediatamente aps completar o teste;
d) a cpia e o uso de informao operacional sejam registrados de
forma a prover uma trilha para auditoria.

15

05/07/2016

NBR-ISO/IEC 27002
12.4.3 Controle de acesso ao cdigo-fonte de programa
Controle
Convm que o acesso ao cdigo-fonte de programa seja restrito.
Diretrizes para implementao
a) quando possvel, seja evitado manter as bibliotecas de programa-fonte
no mesmo ambiente dos sistemas operacionais;
b) seja implementado o controle do cdigo-fonte de programa e das
bibliotecas de programa-fonte, conforme procedimentos estabelecidos;
c) o pessoal de suporte no tenha acesso irrestrito s bibliotecas de
programa-fonte;
d) a atualizao das bibliotecas de programa-fonte e itens associados e a
entrega de fontes de programas a programadores seja apenas efetuada
aps o recebimento da autorizao pertinente;
e) as listagens dos programas sejam mantidas num ambiente seguro;
f) seja mantido um registro de auditoria de todos os acessos a cdigo-fonte
de programa;

NBR-ISO/IEC 27002
12.5 Segurana em processos de desenvolvimento e de suporte
Objetivo: Manter a segurana de sistemas aplicativos e da
informao.
Convm que os ambientes de projeto e de suporte sejam
estritamente controlados.
Convm que os gerentes responsveis pelos sistemas aplicativos
sejam tambm responsveis pela segurana dos ambientes de
projeto ou de suporte. Convm que eles assegurem que mudanas
propostas sejam analisadas criticamente para verificar que no
comprometam a segurana do sistema ou do ambiente
operacional.

NBR-ISO/IEC 27002

12.5.1 Procedimentos para controle de mudanas

Controle
Convm que a implementao de mudanas seja controlada utilizando
procedimentos formais de controle de mudanas.
Diretrizes para implementao
a) a manuteno de um registro dos nveis acordados de autorizao;
b) a garantia de que as mudanas sejam submetidas por usurios
autorizados;
c) a anlise crtica dos procedimentos de controle e integridade para
assegurar que as mudanas no os comprometam;
d) a identificao de todo software, informao, entidades em bancos de
dados e hardware que precisam de emendas;
e) a obteno de aprovao formal para propostas detalhadas antes da
implementao;
f) a garantia da aceitao das mudanas por usurios autorizados, antes
da implementao;

16

05/07/2016

NBR-ISO/IEC 27002
12.5.1 Procedimentos para controle de mudanas
Diretrizes para implementao (continuao)
g) a garantia da atualizao da documentao do sistema aps
concluso de cada mudana e de que a documentao antiga seja
arquivada ou descartada;
h) a manuteno de um controle de verso de todas as
atualizaes de softwares;
i) a manuteno de uma trilha para auditoria de todas as mudanas
solicitadas;
j) a garantia de que toda a documentao operacional e
procedimentos dos usurios sejam alterados conforme necessrio
e que se mantenham apropriados;
k) a garantia de que as mudanas sejam implementadas em
horrios apropriados, sem a perturbao dos processos de
negcios cabveis.

NBR-ISO/IEC 27002
12.5.4 Vazamento de informaes
Controle
Convm que oportunidades para vazamento de informaes sejam
prevenidas.
Diretrizes para implementao
a) a varredura do envio de mdia e comunicaes para verificar a presena de
informao oculta;
b) o mascaramento e a modulao do comportamento dos sistemas e das
comunicaes para reduzir a possibilidade de terceiros deduzirem
informaes a partir do comportamento dos sistemas;
c) a utilizao de sistemas e software reconhecidos como de alta integridade,
por exemplo utilizando produtos avaliados (ver ISO/IEC 15408);
d) o monitoramento regular das atividades do pessoal e do sistema, quando
permitido pela legislao ou regulamentao vigente;
e) o monitoramento do uso de recursos de sistemas de computao.aar

NBR-ISO/IEC 27002
12.5.5 Desenvolvimento terceirizado de software
Controle
Convm que a organizao supervisione e monitore o desenvolvimento
terceirizado de software.
Diretrizes para implementao
Convm que sejam considerados os seguintes itens quando do
desenvolvimento de software terceirizado:
a) acordos de licenciamento, propriedade do cdigo e direitos de
propriedade intelectual;
b) certificao da qualidade e exatido do servio realizado;
c) provises para custdia no caso de falha da terceira parte;
d) direitos de acesso para auditorias de qualidade e exatido do servio
realizado;
e) requisitos contratuais para a qualidade e funcionalidade da segurana
do cdigo;
f) testes antes da instalao para detectar a presena de cdigo malicioso

17

05/07/2016

Falhas de Segurana
Principais falhas de segurana em aplicaes:
Buffer Overflow
Data tampering
Script Injection
SQL Injection
CrossSite
Scripting

Falhas de Segurana
Buffer overflow:

Os Buffers so reas de memria criadas pelos programas para


armazenar Dados que esto sendo processados. Cada buffer
tem um certo tamanho, dependendo do tipo de dados que ele
ir armazenar. Um buffer overflow ocorre quando o programa
recebe mais dados do que est preparado para armazenar no
buffer. Se o programa no foi adequadamente escrito, este
excesso de dados pode acabar sendo armazenado em reas de
memria prximas, corrompendo dados ou travando o
programa, ou mesmo ser executada, que a possibilidade mais
perigosa.

Falhas de Segurana
Data Tampering:
Envia-se um valor diferente do esperado pela aplicao
Este valor induz a aplicao a fazer uma operao diferente da que
faria normalmente, dando acesso a dados que deveriam estar ocultos
Ou ento o valor coloca a aplicao em loop, ou provoca erros mais
adiante (como diviso por zero) efetivamente derrubando a aplicao
em um ataque DoS Denial of Service

18

05/07/2016

Falhas de Segurana
Data Tampering (exemplo):
Uma pgina lista registros visveis pelo usurio, filtrados pelo nome do
usurio autenticado pelo servidor.
A pgina seguinte um formulrio de edio, que recebe da pgina com
a lista o id ou pk (chave primria) do registro a editar.
O cracker chama diretamente a pgina de edio, fornecendo o id de um
registro que no apareceria para ele na pgina de listagem e assim
editando dados que ele no estaria autorizado

Falhas de Segurana
Script Injection:
uma forma de data tampering que insere cdigo para execuo
pelo interpretador de scripts presente no servidor ou no cliente.
Este cdigo pode ser HTML, Javascript, SQL, PHP, VBA ou
qualquer outra linguagem de macros.
O cracker insere o cdigo como parte dos dados enviados para a
aplicao.
Este cdigo poder ser executado imediatamente pelo servidor,
ou pelo cliente (navegador) como parte da pgina de resposta.

Falhas de Segurana
Cross-Site Scripting (XSS):

uma variao do ataque de injeo que tem por objetivo


contornar firewalls
Em vez de inserir cdigo para execuo imediata, o cdigo
inserido para execuo posterior por um outro usurio.
Muitas vezes, cdigo no executvel como tags <img> do
HTML, objetos Flash e referncias a style sheets (CSS) so o
veculo do ataque, porque eles provocam conexes de Rede.
Exemplo:
<script>alert("XSS")</script>
Na URL:
http://site.com/search.php?q=<script>alert("XSS")</script>
Resultado, popup JavaScript com o texto alert(XSS)

19

05/07/2016

Falhas de Segurana
SQL Injection:
1. SQL Injection, uma tcnica que consiste em 'injetar'
cdigo malicioso em uma
2. instruo SQL atravs de uma falha do programador.
A mais comum a que vou descrever agora, onde
possvel logar em um site sem ter a senha.
Basicamente o SQL utilizado em uma simples tela de login
o seguinte:

Falhas de Segurana
SQL Injection (exemplo):

Atividade 1

Ler e criticar o artigo 1, ao final do mdulo:

Usando o ITIL para implementar a gesto de incidentes da


ISO 27001: http://advisera.com/27001academy/ptbr/blog/2015/11/10/usando-o-itil-para-implementar-agestao-de-incidentes-da-iso-27001/

Discutir na prxima aula

20

05/07/2016

Material de apoio

SQL Injection - http://unixwiz.net/techtips/sql-injection.html

Web Application Security Consortium - http://www.webappsec.org

The Open Web Application Security Project -http://www.owasp.org


Guia segurana para aplicaes Web http://www.owasp.org/documentation/guide.html
SQL Security - http://www.sqlsecurity.com

Web applications news - http://www.cgisecurity.net

Web Services Test Security - http://net-square.com/wschess


MSDN Security - http://msdn.microsoft.com/security/

Links importantes (seg. em


desenv. Sw)

Centro de orientaes de segurana (Portugus)

http://www.microsoft.com/brasil/security/guidance/default.mspx

Modelagem de ameaas

http://www.microsoft.com/brasil/security/guidance/topics/devsec/secmod76.
mspx

Checklist - Reviso da arquitetura e do projeto

http://www.microsoft.com/brasil/security/guidance/topics/devsec/secmod97.
mspx

MSDN - Desenvolvendo aplicaes seguras

http://www.microsoft.com/brasil/security/guidance/topics/devsecapps.mspx

Microsoft Patterns & Practices

http://www.msdn.microsoft.com/practices

E-Learning Microsoft focado em segurana


https://www.microsoftelearning.com/security

Gesto de Incidentes de
Segurana da Informao
(SEGUNDO DIA)

63

21

05/07/2016

ISO 27035
Consiste em um guia detalhado para a gesto de
incidentes de segurana da informao, cobrindo o
processo de mapeamento de eventos, incidentes e
vulnerabilidades em de segurana.

Inclui guias para declarao de uma poltica de gesto


de incidentes de segurana, diviso das
responsabilidades envolvidas, entre outros aspectos
relevantes para quem adota as boas prticas se
gesto da segurana.

Gesto de Incidentes
O Gerenciamento de Incidentes o processo reativo da
Operao de Servios de TI e tem como seu principal
objetivo restaurar o servio final do usurio o mais
rpido possvel. Para que o impacto seja minimizado
e incidentes sejam tratados da forma adequada a
cada caso, so necessrias precaues em seu
desenho e monitoramento.

Gerenciamento de Eventos
Gerenciamento de Eventos
Um evento pode ser definido como qualquer mudana
de estado que tem importncia para a gesto de um
item de configurao (IC) ou servio de TI. Em outras
palavras, qualquer ocorrncia dentro do escopo de TI
que tenha relevncia para a gesto dos servios
entregues ao(s) cliente(s).

22

05/07/2016

Gerenciamento de Eventos
Exemplos de eventos:
Um usurio logou no sistema;

Um backup agendado no ocorreu;

O sistema est sendo acessado pelo dobro de


usurios do que o normal;

Gerenciamento de Eventos
Um evento tem diversas naturezas, portanto devem ser
categorizados por nomenclaturas como: normal; no
usual, exceo, alerta, ou quaisquer outras
classificaes relevantes.

Os eventos so normalmente reconhecidos atravs de


notificaes criadas por ferramenta de
monitoramento.

Gerenciamento de Incidentes
Um "incidente" definido pela ITIL como uma

interrupo no planejada de um servio de TI ou


reduo da qualidade de um servio de TI. Um

incidente qualquer evento que causa interrupo no


servio.

23

05/07/2016

Gerenciamento de Incidentes
Gerenciamento de incidentes o processo responsvel
por gerenciar o ciclo de vida de todos os incidentes.
Incidentes podem ser identificados equipe tcnica,
detectado e relatado por ferramentas de

monitoramento de eventos, comunicaes de usurios,


ou relatadas por terceiros fornecedores e parceiros.

Diviso de Responsabilidades
Matriz de responsabilidades R.A.C.I

Diviso de Responsabilidades
RACI uma ferramenta utilizada para atribuio de
responsabilidades, dentro de um determinado

processo, projeto, servio ou mesmo no contexto de

um departamento / funo. referenciada por diversas


boas prticas de mercado, tais como ITIL e COBIT.

24

05/07/2016

Diviso de Responsabilidades
A Sigla RACI significa:
R: Responsvel por executar uma atividade
A: Autoridade, quem deve responder pela atividade,
o dono (apenas uma autoridade pode ser atribuda
por atividade);
C: Consultado, quem deve ser consultado e
participar da deciso ou atividade no momento que
for executada;
I: Informado, quem deve receber a informao de
que uma atividade foi executada.

Ciclo de vida do incidente de SI


Conceitos

Evento

Qualquer ocorrncia visvel na rede ou sistemas

Evento de SI

Identificao de uma ocorrncia no sistema, servio ou estado da


rede, indicando uma possvel falha de Segurana da Informao,
poltica ou falha de controles, ou uma situao prvia desconhecida
que pode ser relevante para a segurana

Incidente de SI

Um ou vrios inesperados e indesejveis Eventos de Segurana da


Informao que possuem uma significante probabilidade de
comprometer as operaes de negcios e ameaar a Segurana da
Informao.

Ciclo de vida do incidente de SI


Ao entendermos a diferena entre Evento, Eventos de
SI e Incidentes de SI, podemos entender o processo
do Incidente de SI durante todo o seu Ciclo de Vida.

25

05/07/2016

Ciclo de vida do incidente de SI

Podemos definir um Ciclo de Vida como uma srie de


estgios sequenciais que possuem uma evoluo
constante e cclica.
Baseado nisto o Ciclo de vida do Incidente de SI
dividido em fases (objetivos) e subfases (prticas).

So 5 objetivos (pontuados de 1 a 5), com 15 Prticas


divididos por seus objetivos, que sero descritos
abaixo

Ciclo de vida do incidente de SI


Etapas do Ciclo

Ciclo de vida do incidente de SI


Objetivo 1. Estabelecer Gesto de Incidentes de SI
Prtica 1.1 - Elaborar/Publicar Poltica de
Resposta a Incidentes de de SI

Prtica 1.2 - Estabelecer equipe para a Gesto de


Incidente de SI

26

05/07/2016

Ciclo de vida do incidente de SI


Objetivo 2. Detectar Eventos de SI
Prtica 2.1 Detectar e Reportar Eventos de SI
Prtica 2.2 Registrar o Evento de SI e Manter o
histrico atualizado

Ciclo de vida do incidente de SI


Objetivo 2. Detectar Eventos de SI
Prtica 2.3 Coletar, Documentar e Preservar
Evidncias de Eventos de SI

Prtica 2.4 Analisar e Triar Eventos de SI

Ciclo de vida do incidente de SI


Objetivo 3. Declarar Incidente de SI
Prtica 3.1 Definir e manter um critrio de
declarao de Incidente de SI

Prtica 3.2 Analisar o Incidente de SI

27

05/07/2016

Ciclo de vida do incidente de SI


Objetivo 4. Resposta a Incidente e Retorno
Normalidade

Prtica 4.1 Escalonar o Incidente de SI


Prtica 4.2 Responder aos Incidentes de SI

Ciclo de vida do incidente de SI


Objetivo 4. Resposta a Incidente e Retorno
Normalidade

Prtica 4.3 Comunicar os Incidentes de SI


Prtica 4.4 Finalizar os Incidentes de SI

Ciclo de vida do incidente de SI


Objetivo 5. Estabelecer aprendizado Ps Incidente
Prtica 5.1 Revisar Incidente (Ps Inc.)
Prtica 5.2 Integrar com o processo de Gesto de
Problemas

Prtica 5.3 Transformar Experincia em Estratgia

28

05/07/2016

Certs

Cert.br
O Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil mantido pelo
NIC.br, do Comit Gestor da Internet no Brasil, e
atende a qualquer rede brasileira conectada
Internet.

Certs

Certs.br

Certs

29

05/07/2016

Certs

Certs

Certs

Etapas para criar um Grupo de Respostas a Incidentes


de Segurana da Informao (Computer Security
Incident Response Team - CSIRT).
Passo 1: Obter o apoio e a aprovao da
administrao superior
Passo 2: Determinar o plano de desenvolvimento
estratgico
Passo 3: Coletar as informaes relevantes

30

05/07/2016

Certs

Passo 4: Conceber a viso do seu CSIRT


Passo 5: Comunicar a viso do CSIRT
Passo 6: Iniciar a implementao do CSIRT
Passo 7: Anunciar o CSIRT
Passo 8: Avaliar a eficcia do CSIRT

Certs

O Gerenciamento de Incidentes requer:


A definio de processos para detectar, identificar,
analisar e responder incidentes de segurana da
informao.
Integrao do plano de resposta a incidentes com o
plano de recuperao de desastres.
Identificao da causa-raiz e desenvolvimento de
aes corretivas.

Tratamento de Incidentes
O processo de tratamento de incidentes de
segurana consiste na implementao de
procedimentos e etapas bem definidas que
conduziro a equipe para a resoluo de um
incidente de segurana.
O conjunto de etapas definidas permite determinar
um fluxo lgico especificando aes a serem
realizadas nas diferentes etapas do processo.

31

05/07/2016

Tratamento de Incidentes
Alm de guiar a equipe para a resoluo de
incidentes, a utilizao de procedimentos evita que a
equipe cometa falhas.
Isso essencialmente importante, sobretudo na
resposta a incidentes, onde consequncias de aes
implementadas pela equipe podem afetar a
organizao como um todo

Tratamento de Incidentes

Metodologia para resposta a incidentes em 3 passos


Metodologia define um processo a ser executado, ou seja,
o conjunto de etapas que q devem ser seguidas para a
resoluo de incidentes.
Utilizar uma metodologia de resposta a incidente no
garante o sucesso da operao em si; no entanto, tende a
auxiliar nos seguintes aspectos que margeiam o processo
de resposta a incidentes.

Tratamento de Incidentes
Aspectos do processo de resposta a incidentes
Estrutura e organizao: geralmente um CSIRT est
envolvido com diferentes incidentes, onde a
complexidade, muitas vezes, tende a aumentar com a
evoluo da investigao. Ter uma metodologia definida
garante que os incidentes sejam tratados de forma
estrutura (segundo as etapas) e organizada de forma
padronizada;

32

05/07/2016

Tratamento de Incidentes
Aspectos do processo de resposta a incidentes
Eficincia: utilizar uma metodologia bem definida e
assertiva para solucionar incidentes impede que aes
desnecessrias sejam implementadas;
Consideraes legais: alguns incidentes so necessrios
colaborao com as foras da lei. A utilizao de uma
metodologia estabelecida pode auxiliar na preservao de
provas e tambm proteger o CSIRT de possveis
questionamentos.

Tratamento de Incidentes
No contexto especfico de resposta a incidentes
podem ser observadas algumas metodologias
descritas pela literatura.
Uma das principais metodologias de resposta a
incidentes denominada PDCERF foi definida pelo
Instituto de Engenharia de Software de Pittsburgh,
Pensilvnia, nos Estados Unidos, no ano de 1989.

Tratamento de Incidentes

A metodologia PDCERF especifica diferentes etapas


por onde um q incidente deve fluir para que a sua
resoluo seja efetivada com sucesso, sendo:

33

05/07/2016

Tratamento de Incidentes
1. Preparao: gerenciar as ferramentas para anlise
de incidentes, incluindo o conhecimento de todo o
ambiente utilizado;
2. Deteco: detectar o incidente, determinar o
escopo e as partes envolvidas com o incidente;
3. Conteno: conter o incidente de maneira a
atenuar os danos e evitar que demais recursos sejam
comprometidos;

Tratamento de Incidentes
4. Erradicao: eliminar as causas do incidente,
removendo todos os eventos relacionados;
5. Recuperao: restaurar o sistema ao seu estado
normal;
6. Avaliao: avaliar as aes realizadas para resolver
o incidente, documentando detalhes, e discutir lies
aprendidas.

Atividade 2

Pesquisar sobre uma ferramenta informatizada de


apoio ao processo de Gesto de Incidentes de
Segurana da Informao
Elencar as funcionalidades ferramenta que podem
ser usadas em cada etapa do ciclo de Gesto de
Incidentes de Segurana da Informao

34

05/07/2016

Gesto da continuidade do
negcio
(TERCEIRO DIA)

103

Norma ISO 22301:2012

ISO 22301:2012 Segurana social Sistemas de


gesto da continuidade de negcios Requisitos
Este padro escrito pelos maiores especialistas em
continuidade de negcios e oferece a melhor estrutura
para a gesto da continuidade de negcios em uma
organizao
http://advisera.com/27001academy/pt-br/o-que-e-a-iso22301/

Norma ISO 22301:2012

ISO 22313:2012 - Segurana social Sistemas de


gesto da continuidade de negcios Guia

fornece as melhores prticas mundiais para as


organizaes implementarem um eficaz Sistema de Gesto
da Continuidade de Negcios.
http://advisera.com/27001academy/blog/2013/05/21/iso22301-vs-iso-22313/
http://www.iso31000qsp.org/2013/02/nova-iso-22313fornece-boas-praticas-de.html

35

05/07/2016

Norma ISO 22301:2012

Norma ISO 22301:2012


Termos bsicos

Sistema de gesto da continuidade de negcios (BCMS)


parte do sistema de gesto global que cuida de como a
continuidade de negcios planejada, implementada,
mantida e aprimorada continuamente
Mxima interrupo aceitvel (MAO) quantidade de
tempo mxima em que uma atividade pode ser
interrompida sem incorrer em danos inaceitveis (Perodo
de disrupo mximo tolerado MTPD)
Objetivo de tempo de recuperao (RTO) tempo prdeterminado em que uma atividade deve ser retomada, ou
recursos devem ser recuperados

Norma ISO 22301:2012


Termos bsicos

Objetivo de ponto de recuperao (RPO) perda de dados


mxima, por exemplo, a quantidade mnima de dados que
precisa ser restaurada
Objetivo de continuidade de negcios mnimo (MBCO)
nvel mnimo de servios ou produtos que uma
organizao precisa produzir aps retomar as suas
operaes de negcios

36

05/07/2016

Conceitos

A Continuidade de Negcios tem como


base a Segurana Organizacional e tem
por objeto promover a proteo pessoal,
de bens e instalaes, com atuao
proativa e reativa, garantindo por meio de
suas tcnicas, conhecimentos e sistemas
os meios protetivos a continuidade dos
negcios.

Conceitos
A Segurana Organizacional composta
pela segurana eletrnica, segurana
fsica,
segurana
de
instalaes,
vigilncia, proteo contra incndios,
segurana patrimonial, segurana lgica,
que se complementam formando assim a
poltica de segurana organizacional.

Objetivos
O objetivo da Segurana Organizacional
a total proteo de pessoas, bens e
instalaes, assegurando atravs de
tcnicas,
conhecimentos,
sistemas,
processos, produtos ou meios, a
integridade e a continuidade dos negcios,
das pessoas e dos bens existentes.

37

05/07/2016

Objetivos

A Gesto de Continuidade de Negcios tem por


objetivo definir planos e procedimentos
alternativos a serem acionados em caso de
ataques ou desastres sobre os ativos de
informao da empresa ou instituio.
O resultado do plano de continuidade a no
paralisao, ou a rpida retomada das
atividades da empresa ou instituio em caso de
ataque ou desastre.

Benefcios

Quando implementada corretamente, a gesto de


continuidade de negcios ir reduzir a probabilidade
de incidentes disruptivos, e se algum chegar a
ocorrer, a organizao estar pronta para responder
de forma apropriada, reduzindo drasticamente o
dano em potencial de tal incidente.

Benefcios
Estabilidade na conduo dos negcios;
Aumento de disponibilidade;
Contingenciamento;
Eficincia na recuperao;
Agilidade nas aes;
Respeito aos clientes, aumentando a confiana na
organizao;
Melhoria da reputao;
Melhor relao com investidores;
Reduo do espao para aes diretas dos concorrentes.

38

05/07/2016

Como a continuidade de
negcios se encaixa na gesto?

Definio de cenrios

No possvel prever todos os tipos de cenrios.


Uma das principais caractersticas de um plano eficaz
a implementao de um ciclo PDCA (Plan, Do,
Check, Act), que ir realizar anlises de riscos
continuas que podero identificar e prospectar novos
cenrios.
Apesar disso, no possvel identificar todas as
possibilidades.

Baseado na Anlise de Riscos que tem como


principal objetivo identificar quais as principais
ameaas e sua probabilidade de ocorrncia e com
base nestas informaes e nos impactos que sero
identificados preciso adotar as seguintes
medidas:

1 - Quais riscos podem ser tratados? Se for


identificado que os custos e possibilidades para tratamento
so viveis o risco deve ser tratado;

2 - No caso dos riscos que no se consegue tratar,


necessrio desenvolver um plano de respostas.

39

05/07/2016

Planos de respostas devem auxiliar a


organizao a responder a todas as
ameaas que no foram tratadas ou
identificadas.
Como possvel responder a qualquer
incidente?

-Tenha uma matriz de nveis de crise bem


elaborada e alinhada com as necessidades da
organizao;
- Tenha um plano de gerenciamento de crises e
comunicao claro e de entendimento de toda
organizao;
- Conhea e mantenha uma documentao clara
de toda sua arquitetura e principais caractersticas
do ambiente;

- Planeje, teste, ajuste com frequncia seus planos


de respostas a incidentes; e
- Faa um trabalho de lies aprendidas aps cada
incidente.
- Outro aspecto importante ter certeza que
existam apenas as cpias atuais dos planos
disponveis.

40

05/07/2016

O sucesso de um Plano de Continuidade de


Negcios est nas pessoas que o matem em
constante funcionamento.
Para que as empresas e instituies disponham
de condies para enfrentar eventuais
imprevistos necessrio que elas desenvolvam
aes preventivas especficas:

Documentos

plano de continuidade de negcio;


plano de contingncia;
plano de recuperao de desastre;
plano de resposta a incidentes;
anlise de impacto nos negcios;
anlises crticas.

Aes preventivas sempre geram resultados


muito positivos. Toda empresa ou instituio, no
importa sua rea de atuao, est sujeita ao
de eventos externos.

Muitos deles so de natureza incerta e, portanto,


no controlveis.
A robustez das informaes sempre um bom
negcio.

41

05/07/2016

Quanto mais a tecnologia avana, mais os


parceiros comerciais, clientes e fornecedores,
exigem que as empresas e instituies tenham
um ambiente confivel e robusto.
Em um contexto de competio crescente, os
resultados obtidos pela organizao dependem
diretamente de sua capacidade de dar
continuidade ao dia-a-dia de suas operaes,
mesmo face aos imprevistos.

Assim, para garantir a continuidade dos negcios


de uma empresa ou instituio, necessrio se
criar solues adequadas a esse fim.
Essas solues precisam ser compostas por um
processo
de
gerenciamento
holstico
(amplo/completo).

Como alguns incidentes so inevitveis,


essa soluo permite avaliar potenciais
impactos
que
ameaam
a
empresa,
protegendo sua reputao, sua marca e suas
atividades de valor com a garantia da
continuidade do negcio e de suas operaes,
mesmo em situaes imprevistas.

42

05/07/2016

Estabilidade para a organizao


confiana para os clientes e usurios.

significa

Por esse motivo, tais solues devem envolver


anlises de processos de negcios e de riscos,
alm do desenvolvimento de planos e
recomendaes, com base em normas e padres
como ISO 27001, ISO 27002, Cobit, ITIL,
PAS56/BS25999 e TR19.

preciso uma estrutura abrangente, completa e integrada.

Para garantir este conjunto de resultados e benefcios s


instituies e empresas, as solues devem abranger
atividades de consultoria, prestao de servios, sistema
de gesto, indicadores e transferncia de conhecimento,
todas apoiadas por ferramentas especficas.

Alm disso, sua implementao deve funcionar de forma


integrada com as atividades, processos, com a segurana
da informao e a gesto de riscos.

PLANO DE CONTINUIDADE

43

05/07/2016

Plano de Continuidade de
Negcios (PCN)

Tem o foco na manuteno das funes crticas do


negcio;
Foco em processos de negcio:

questes relacionadas aos ativos de TI somente abordadas


no que se relaciona a sua importncia para os processos
crticos de negcio;

Geralmente contm o plano de recuperao de


desastres e o plano de contingncia de TI;

Plano de Recuperao de
Desastres

Fornece procedimentos detalhados para a


recuperao;
Ex.: Sites alternativos em caso de desastres;

Foco em ativos de TI e sinistros com efeitos de longo


prazo;

Plano de Contingncia

Fornece procedimentos e capacidades necessrias


para a recuperao:
de uma aplicao especfica
ou sistemas complexos

Foco em interrupes nos sistemas de TI com efeitos


de curto prazo;

44

05/07/2016

Plano de Continuidade (PCN)

Apoio da Alta administrao;


Ajudar a entender o quanto cada processo de
negcio pode ficar inoperante;
Deve-se analisar tambm contratos de prestao de
servios.
Ex. outsourcing;

Plano de Continuidade (PCN)

Definir responsabilidade de aplicao do plano;


Definir responsabilidade de manuteno do plano;
O plano deve ser testar e analisado criticamente
periodicamente;

Plano de Continuidade (PCN)

Deve focar os processos-fim da organizao


A necessidade de um processo-meio, de suporte ou
de gesto se d em funo da demanda de um
processo-fim;
Deve complementar a anlise de risco;
uma soluo para determinados riscos;

45

05/07/2016

PCN - Limitao

Um PCN responde a um desastre pr-definido;


Um PCN no tem capacidade de responder o todo e
qualquer desastre;
Recomenda-se que seja considerado o conceito de
pior cenrio possvel;

Fases do PCN
Fase 1 - Levantamento de dados: Anlise de documentao, inspeo
fsica e levantamento das Ameaas/ Vulnerabilidades /Impactos;
Fase 2 - Anlise de Impacto nos Negcios: fornece o custo da parada
dos processos de negcios crticos e vitais bem como o Custo da
Recuperao dos componentes crticos e vitais;
Fase 3 - Estratgia de Recuperao / Continuidade: So analisadas as
estratgias de recuperao e continuidade que sero adotadas e a
necessidade de existncia ou no de um site alternativo. Neste
momento gerado o Relatrio de Estratgias;
Fase 4 - Desenvolvimento dos Planos: implantao das estratgias
analisadas;
Fase 5 - Testes / Simulaes dos Planos: Nesta fase definida a
estratgia para o escopo dos testes/ simulaes. Os testes/simulaes
realizados iro gerar as evidncias, possibilitando aprimorar e/ou
correo dos Planos.

Contedo do Plano

Quais so os sistemas crticos que garantem a


continuidade do negcio da empresa;
Anlise de Risco;

De que recursos de hardware, software e


infraestrutura tais sistemas dependem;
Configurao, atualizao, etc;

46

05/07/2016

Contedo do Plano

Levantamento e atualizao da documentao dos


sistemas muito crticos;
Backup
Espao fsico, estimado, para guarda do Backup externo
dos sistemas crticos
Forma de criao dos backup externo

Contedo do Plano
Definio do backup-site

Definio do Modelo de Backup_Site (espelhamento,


transmisso remota...)
Cold-Site prprio
Cold-Site de Terceiros
Hot-Site prprio
Hot-Site de terceiros
Hot-Site prprio compartilhado

Benefcios

Preveno contra perda de ativos de informao


Preveno contra interrupo de servios prestados
pela empresa ou instituio
Reduo do risco de multas por interrupo ou perda
de dados
Reduo de risco sobre a imagem da empresa ou
instituio, por interrupo ou perda de dados
Em caso de interrupo, reduo no tempo de
retomada dos servios

47

05/07/2016

Produtos

Reunio de concluso do Plano de Continuidade


Relatrio do Plano de Recuperao de Desastres
Relatrio do Plano de Continuidade de Negcios
Resumo Estratgico do Plano de Continuidade de
Negcios
Plano de Ao para curto, mdio e longo prazo

ISO 27001 e 27002


Deve-se desenvolver planos de contingncia para caso de
falhas de segurana, desastres, perda de servio, etc.
Estes planos devem ser documentados, e o pessoal
envolvido treinado.
Os planos de contingncia devem ser testados
regularmente, pois tais planos quando concebidos
teoricamente, podem apresentar falhas devido a
pressupostos incorretos, omisses ou mudana de
equipamento ou pessoal.

ISO 27001 e 27002


Controles

Gesto da Continuidade;
Anlise de Riscos;
Desenvolvimento do Plano de Continuidade;
Estrutura do Plano de Continuidade;
Teste e Manuteno do Plano de Continuidade;

48

05/07/2016

Documento NIST

National Institute of Standards and Technology (NIST)


NIST-sp800-34
Define tcnicas para:

Desktops;
Servers;
WebSites;
LAN e WAN;
Sistemas Distribudos;
Mainframes;

Documento NIST

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspeci
alpublication800-34r1.pdf

Atividade 3

Avalie os principais aspectos de um plano de


continuidade de negcio em conformidade com um
processo de gesto riscos

Integrao do plano de resposta a incidentes com o plano


de recuperao de desastres
Insero de um plano de contingncia de TI

Gere um documento de Poltica de Continuidade de


Negcios para a organizao escolhida nas atividades
da primeira semana de aula.

49

05/07/2016

Material complementar
ABRAPP. Guia de boas prticas para Planos de
Continuidade de Negcios:
http://www.abrapp.org.br/Documentos%20Pblicos/guia
boaspraticas.pdf
KPMG. Continuidade de Negcio: Assegurar a resilincia
na adversidade.
http://www.kpmg.com/PT/pt/IssuesAndInsights/Docume
nts/continuidade-negocio2010.pdf
Artigo 2: 27001 Academy. Como ferramentas online
esto revolucionando a implementao da ISO 27001 e
ISO 22301 (ao final do mdulo)

Projeto de implantao de um
SGSI
(QUARTO DIA)

149

Retomando

50

05/07/2016

SGSI e ISO 27001


A organizao deve estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto
das atividades de negcio globais da organizao e os
riscos que ela enfrenta. ABNT NBR ISO/IEC 27001.

Processo proposto

Processo proposto

51

05/07/2016

Estabelecer

Estabelecer a poltica, objetivos, processos e


procedimentos do SGSI, relevantes para a gesto de
riscos e a melhoria da segurana da informao para
produzir resultados de acordo com as polticas e
objetivos globais de uma organizao.

Estabelecer

Mapear as reas e responsveis;


Reunio de identificao dos processos crticos;
Absorver cultura;
Fechar escopo de atuao;
Definir grupo multidisciplinar;

Estabelecer

Analisar e avaliar os riscos operacionais e de


ambiente;
Identificar controles e avaliar sua efetividade;
Avaliar documentao;
Avaliar maturidade em SI;
Definir planos de atuao.

52

05/07/2016

Implementar e operar

Implementar e operar a poltica, controles, processos


e procedimentos do SGSI.

Implementar e operar

Elaborar cronograma de implantao de controles e


procedimentos;
Executar subprojetos de segurana;
Elaborar documentao normativa de suporte aos
subprocessos;
Validar documentao elaborada; e
Identificar potenciais controles.

Monitorar a analisar

Avaliar e, quando aplicvel, medir o desempenho de


um processo frente poltica, objetivos e experincia
prtica do SGSI e apresentar os resultados para a
anlise crtica pela direo.

53

05/07/2016

Monitorar a analisar

Validar controles identificados;


Fazer todos os processos de auditoria (execuo,
validao, emisso de relatrios);
Executar avaliao de maturidade e comparar com a
avaliao inicial;
Apresentar avaliao dos controles.

Manter e operar

Executar as aes corretivas e preventivas, com base


nos resultados da auditoria interna do SGSI e da
anlise crtica pela direo ou outra informao
pertinente, para alcanar a melhoria contnua do
SGSI.

Manter e operar

Validar controles identificados;


Executar processo de auditoria de validao das
atividades e subprojetos;
Emitir relatrio de auditoria;
Apresentar resultado de auditoria;

54

05/07/2016

Manter e operar

Executar avaliao de maturidade e comparar com o


resultado obtido na Fase 2; e
Apresentar avaliao dos controles.

Atividade 4

Esta a ltima atividade da segunda semana da


disciplina
Chegou o momento de voc consolidar os
conhecimentos adquiridos na primeira semana com
as atividades 1, 2 e 3 desta segunda semana de
aprendizado
Com base neste conhecimento e nos documentos
elaborados at aqui, elabore um plano de projeto de
implantao de SGSI, com base no template que ser
disponibilizado em sala de aula

Material complementar

TRT 13 regio. Projeto para Implantao do Sistema de Gesto de


Segurana da Informao.
https://www.trt13.jus.br/age/projetos/projeto-para-implantacao-dosistema-de-gestao-de-seguranca-da-informacao
27001 Academy. Documentation Tutorials: Your Help for Writing ISO
27001 / ISO 22301 Documentation.
http://advisera.com/27001academy/documentation-tutorials/
Ranieri Marinho De Souza. Implantao de ferramentas e tcnicas de
Segurana Da Informao em conformidade com as Normas ISO 27001 e
ISSO 17799. 2007. http://www.bibliotecadigital.puccampinas.edu.br/tde_arquivos/10/TDE-2008-03-14T122330Z1418/Publico/raniere%20marinho%20de%20souza.pdf
Gary Hinson. Modelo de caso de negcios para um Sistema de Gesto de
Segurana da Informao (SGSI) com base nas normas da srie ISO 27000
/ IEC (ISO27k). 2012. http://fredsauer.com.br/JustificativaSGSI.pdf

55

05/07/2016

Concluses (1/2)

A maturidade de segurana de uma empresa est


ligada diretamente abrangncia de sua poltica de
segurana e disseminao de cultura por seus
ativos humanos
preciso construir um processo dinmico de
manuteno de todos os documentos, garantindo a
integrao e a eficcia em situaes de desastre
Desenvolver os planos necessrios a partir de uma
anlise de riscos prvia e de uma anlise de impacto
nos negcios a melhor forma de aumentar a
eficcia e o retorno sobre os investimentos

Concluses (2/2)

Forme um grupo multidisciplinar, integrando


necessidades e vises distintas e enriquecedora
Defina um processo de criao, manuteno e
divulgao da poltica de SI
Envolva a alta direo e inicie os trabalhos com a
elaborao das diretrizes e principais normas
Comece pequeno, mas pense grande!

Links importantes

Standards Direct - International Standards And


Documentation: ISO 27001 and ISO 27002.
http://17799.standardsdirect.org/
Centro de Estudos, Resposta e Tratamento de
Incidentes de Segurana no Brasil (CERT).
http://www.cert.br/
National Institute of Standards and Technology
(NIST). http://www.nist.gov/
IT Governance Institute (ITGI).
http://www.isaca.org/itgi/Pages/default.aspx
SANS Technology Institute. http://www.sans.org/

56

05/07/2016

Referncias (1/2)

ABNT. Associao Brasileira de Normas Tcnicas. Tecnologia da


Informao Sistema de Gesto de Segurana da Informao
Requisitos, ISO/IEC 27000. Rio de Janeiro, 2006.
ISO. International Organization for Standardization. Information
technology -- Security techniques -- Information security incident
management, ISSO/IEC 27000. 2011.
SEMOLA, Marcos. Gesto de Segurana da Informao: uma viso
executiva. Editora Campus 2003. 184p.
WEILL, Peter; ROSS, Jeanne. Governana de TI Tecnologia da
Informao. So Paulo: Makron Books, 2006.
GIL, Antonio de Loureiro. Segurana em Informtica. 2 ed.. So Paulo:
Atlas, 1998. 193p.
HUTT, Arthur E. et al. Computer Security Handbook. 3rd Edition. New
York: John Wiley & Sons, Inc. 1995.
169

Referncias (2/2)

LEAL, Rhand. Usando o ITIL para implementar a gesto de incidentes da


ISO 27001. 2015 . Disponvel em: <
http://advisera.com/27001academy/pt-br/blog/2015/11/10/usando-o-itilpara-implementar-a-gestao-de-incidentes-da-iso-27001/>.
Guia completo para certificao ISO 27002 Foundation:
http://www.portalgsti.com.br/p/guia-completo-para-certificacao-iso.html
27001Academy. Como ferramentas online esto
revolucionando a implementao da ISO
27001 e ISO 22301. 2014. Disponvel em:
http://advisera.com/27001academy/pt-br/downloads-gratuitos/#
RNP. Escola Superior de Redes. Tratamento de Incidentes de Segurana.
Rio de Janeiro ,2014. Disponvel em:
<https://pt.scribd.com/doc/241726599/Tratamento-de-Incidentes-deSeguranca/>
170

57