Escolar Documentos
Profissional Documentos
Cultura Documentos
Pgina 1
http://www.instonline.com.br/
COORDENADORES TCNICOS
Arthur Roberto dos Santos Jnior
Fernando Srgio Santos Fonseca
Paulo Eustquio Soares Coelho
Pgina 2
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
Pgina 3
NDICE
APRESENTAO ...............................................................................................................................5
Pgina 4
APRESENTAO
Os desafios para a implantao de um ambiente de segurana em qualquer
empresa, independente do tamanho, so enormes. O maior problema
implementar as polticas e normas de segurana em um sistema real, que possui
aplicaes em funcionamento, hardware em produo, softwares proprietrios e
de terceiros e, acima de tudo, pessoas. literalmente como trocar o pneu com o
carro andando.
Como a maior parte das informaes vitais para o sucesso de uma organizao
reside em computadores, perdas de dados podem ser catastrficas. Os riscos de
um negcio com sistema de segurana da informao inadequado so
incalculveis. Segurana da informao manter a confidencialidade, integridade
e disponibilidade da informao. Ela abrange muito mais do que a segurana da
informao de TI. Ela cobre a segurana de toda e qualquer informao da
empresa, esteja ela em meios eletrnicos, papel ou at mesmo na mente dos
funcionrios.
Motivados pela busca de solues para esses desafios, diversos profissionais de
vrias reas e organizaes, vem se esforando para criar normas que
sistematizem o trabalho de criar ambientes seguros de TI. Um desses resultados
foi consolidado com a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa
norma, que um guia de melhores prticas, simplifica-se o trabalho de adoo e
implementao de polticas e padres definidos, bem como da posterior
verificao da conformidade dos resultados alcanados.
O objetivo deste curso entender as caractersticas de alguns padres de
segurana e, em especial, fazer um estudo dos cdigos de prtica para gesto da
segurana da informao contidos na norma ABNT NBR ISO/IEC 17799:2005,
proporcionando um entendimento de como implementar, manter e melhorar a
gesto da segurana da informao nas empresas.
Ao final deste curso voc estar apto a:
Entender os padres empregados para a gesto da segurana da informao;
Entender a evoluo destes padres;
Descrever os controles contidos na norma ABNT NBR ISO/IEC
17799:2005;
Conceituar cada controle da norma;
Atravs de um estudo de caso, implementar a norma em uma empresa.
Pgina 5
Captulo
Pgina 6
OBJETIVOS
Neste captulo veremos os conceitos bsicos de segurana da informao, sua
definio e passos gerais para sua implantao.
Ao final deste captulo voc estar apto a:
Conceituar a segurana da informao;
Entender quais as fontes de requisitos de segurana da informao;
Entender em linhas gerais quais os passos a serem trilhados para a obteno
de uma ambiente seguro para a informao.
Pgina 7
Ativo
Ameaas
Impacto
Risco
Vulnerabilidade
Pgina 8
Pgina 9
ABNT
ABNT NBR
NBR ISO/IEC
ISO/IEC 17799:2005
17799:2005
Qualquer tipo de informao deve ser protegido, esteja ele escrito ou desenhado
em papel, armazenado em meios magnticos, em filmes ou falado.
A segurana da informao obtida atravs da implantao de controles
adequados, polticas, processos, procedimentos, estruturas organizacionais e
funes de software e hardware.
O objetivo da segurana da informao garantir o funcionamento da
organizao frente s ameaas a que ela esteja sujeita.
A norma ABNT NBR ISO/IEC 17799:2005 estabelece diretrizes e princpios para
iniciar, implementar, manter e melhorar a gesto de segurana da informao em
uma organizao. Essa frase confirma que a norma est alinhada com os
objetivos de todas as outras normas criadas com o mesmo fim, conforme visto no
captulo 2.
Pgina 10
Pgina 11
ABNT
ABNT NBR
NBR ISO/IEC
ISO/IEC 17799:2005
17799:2005
Um processo de planejamento de gesto e monitoramento de segurana de TI
pode variar muito em uma organizao. Devido aos diferentes estilos, tamanho e
estrutura das organizaes, o processo deve se adequar ao ambiente em que ser
usado. Alguns passos em linhas gerais so apresentados a seguir:
1. Identificar os requisitos de segurana da informao. Basicamente, existem
trs fontes principais para obteno dos requisitos de segurana da
informao:
Anlise/avaliao de riscos para a organizao.
Legislao vigente a que a organizao, seus parceiros comerciais e
provedores de servio devem atender.
Princpios, objetivos e requisitos do negcio.
2. Anlise do ambiente de segurana. o levantamento peridico dos riscos
de segurana da informao, identificando as ameaas e vulnerabilidades.
Os resultados desse passo iro direcionar a determinao das aes
gerenciais que nortearo todo o processo de segurana da informao.
Pgina 12
Pgina 13
Poltica
Polticade
desegurana
seguranade
deTI
TI
Aspectos
Aspectosorganizacionais
organizacionaisda
dasegurana
seguranade
deTI
TI
Anlise
Anlisede
deRiscos
Riscos
Recomendaes
Recomendaesde
desegurana
seguranade
deTI
TI
Poltica
Polticade
desegurana
seguranade
desistemas
sistemasde
deTI
TI
Gesto
de riscos
Planejamento
Planejamentode
desegurana
seguranade
deTI
TI
Divulgao
Divulgaoeeconcincia
concinciada
da
Poltica
de
segurana
de
Poltica de segurana deTI
TI
Medidas
Medidas
de
deproteo
proteo
Implementao
Reavaliao
Reavaliaoda
daPoltica
Polticade
desegurana
seguranade
deTI
TI
Pgina 14
Captulo
2 ANLISE/AVALIAO E TRATAMENTO DE
RISCOS
GERENCIAR
Pgina 15
OBJETIVO
Sistemas de informao esto constantemente sujeitos a riscos provenientes de
aes maliciosas, acidentes ou erros inadvertidos de usurios.
Avaliar os riscos potenciais e tomar aes para minimiz-los, tarefa de uma
gesto de segurana da informao.
Neste captulo sero abordadas as melhores prticas para avaliao de riscos e
como trat-los.
Ao final deste captulo voc estar apto a:
Identificar, quantificar e priorizar os riscos;
Determinar aes de gesto apropriadas para o gerenciamento dos riscos
de segurana da informao;
Estabelecer os critrios de aceitao dos riscos;
Tomar decises sobre o tratamento dos riscos.
Pgina 16
O que deve
ser
protegido
Contra qual
ameaa
Avaliao
do
risco
Recomendaes
Pgina 17
Pgina 18
Controles e
diretrizes de
segurana
Ameaas no
intencionais
Ferramentas
Tcnicas e
Mtodos
Ameaas mal
intencionadas
Razes e
objetivos
Ferramentas
Tcnicas e
Mtodos
Ferramentas
Tcnicas e
Mtodos
Vulnerabilidades
Fracas diretrizes de
segurana podem
permitir uma
ataque
Ativos
Nenhum controle
ou diretriz de
segurana
Incidentes
catastrficos
Pgina 19
Estimarprobabilidade
probabilidade
Estimar
deconcretizao
concretizao
de
decada
cadaameaa
ameaa
de
Identificar
Identificar
o
que
ameaa
o que aaameaa
afetar
afetar
Identificarcustos
custosde
de
Identificar
reduo
de
riscos
reduo de riscos
Documentarresultados
resultados
Documentar
e
criar
planos
deao
ao
e criar planos de
Identificar o custo das aes para eliminar ou reduzir o risco. Isto poder
incluir a implementao de novas polticas organizacionais e
procedimentos, bem como controles fsicos ou tcnicos;
Pgina 20
Mdio risco
Alto risco
Baixo nvel
de
ameaas
Alto nvel
de
ameaas
Baixo risco
Mdio risco
Baixo nvel de
vulnerabilidade
Pgina 21
Pgina 22
Ativo
Agente /
evento
Descreva o ativo
- Descreva a ameaa
Impacto
Taxa de
exposio
Pgina 23
Ativo
Descreva o ativo
Contramedidas
existentes
Vulnerabilidades
Avaliao de riscos
Riscos
Contramedidas
propostas
- Baixo
- Mdio
- Alto
RECOMENDA-SE: implementao de novas
contramedidas ou remoo de contramedidas
desnecessrias
AVALIE: os riscos projetados como:
Riscos projetados
Recomendaes
- Baixo
- Mdio
- Alto
AVALIE AS CONTRAMEDIDAS COMO:
Avaliao de
contramedidas
- Completamente satisfatria
- Satisfatria na maioria dos aspectos
- Necessita melhoras
OBS: Existem algumas metodologias para avaliao de riscos. Com base em necessidades de
negcios, o Centro de Excelncia de Segurana (SCOE Security Center Of Excelence) da
Microsoft desenvolveu uma metodologia completa que pode ser encontrada em:
http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx ; ou na sua verso completa e
Pgina 24
constantemente atualizada (em ingls) para download e contendo planilhas para ser utilizada
durante a anlise, em: http://go.microsoft.com/fwlink/?linkid=32050
Pgina 25
Captulo
Pgina 26
OBJETIVO
Escrever uma poltica de segurana da informao envolve comprometimento de
diversas reas de interesse e deve ser abraada por todos, desde a direo da
organizao at cada um dos funcionrios, clientes e fornecedores com acesso
ao sistema de informao, ou que possam de alguma forma comprometer o ativo
protegido.
O documento de poltica de segurana da informao deve ser elaborado de
forma a servir como uma regra a ser seguida. Constantemente exigir
atualizaes que reflitam as necessidades do negcio e a realidade da
organizao.
Neste captulo veremos como criar e organizar uma poltica de segurana da
informao nas organizaes.
Ao final deste captulo voc estar apto a:
Conceituar o que uma poltica de segurana da informao;
Fazer uma anlise crtica da poltica de segurana da informao;
Estabelecer uma criteriosa poltica de segurana da informao conforme
os requisitos do negcio;
Entender os documentos requeridos para a implantao e divulgao da
poltica de segurana da informao;
Pgina 27
Pgina 28
Pgina 29
da poltica de segurana da informao. Siga os passos abaixo para dar incio aos
trabalhos o quanto antes:
Pgina 30
Pgina 31
Pgina 32
Pgina 33
Pgina 34
Pgina 35
Pgina 36
Pgina 37
Pgina 38
Pgina 39
formao
rana da in
u
g
e
s
e
d
a
Poltic
a. Definio
o
b. Declara
de controles
c. Estrutura
gislao
idade com le
d. Conform
nto
gcio
e. Treiname
idade de ne
u
n
ti
n
o
c
e
d
f. Gesto
laes
ncias das vio
u
q
e
s
n
o
C
g.
dades
responsabili
e
d
o
i
n
fi
h. De
s
i. Referncia
Pgina 40
Pgina 41
demisso de um bom funcionrio que tenha violado a poltica. Isso pode ser
constrangedor, mas necessrio. Por isso, explicite e divulgue bem essa
parte para evitar desculpas de desconhecimento das normas.
h. Definio das responsabilidades na gesto da segurana. A
designao das responsabilidades pela proteo de cada ativo e pelo
cumprimento de processos de segurana da informao especficos devem
ser claramente definidas. Essa uma atribuio do comit gestor da
poltica. Para que haja o comprometimento dos responsveis, pode ser
criado um termo de responsabilidade e sigilo que compromete os
envolvidos, internos e externos com a poltica de segurana da
organizao. Esses responsveis podem delegar tarefas de segurana da
informao para outros usurios, porm continuam responsveis pela
mesma.
i.
Pgina 42
Captulo
Pgina 43
OBJETIVO
Neste captulo veremos alguns aspectos complementares para a organizao de
uma poltica de segurana da informao.
Ao final deste captulo voc estar apto a:
Entender a importncia do gerenciamento de autorizao de novos
recursos;
Porque criar acordos de confidencialidade;
Lidar com informaes sigilosas quando a operao envolve servios de
terceiros.
Pgina 44
DISPOSITIVOS
MVEIS
Gesto de
autorizao de
novos recursos
INTERNET
DADOS
IDENTIFIQUE-SE
SOFTWARES
IMPRESSORAS
Pgina 45
(access point) so hoje dispositivos do tipo plug & play (conecte e use), eles criam
um portal de entrada rede caso configuraes de segurana no sejam
adequadamente executadas.
Dispositivos sem fio esto cada vez mais populares e seus benefcios para o
usurio so inegveis. Porm, as empresas tm de criar processos de segurana
especficos que as protejam, como procedimentos de autenticao de usurios,
sistemas de varredura para deteco de pontos de acesso clandestinos (muitas
vezes conectados rede inocentemente por um funcionrio que deseja usufruir a
mobilidade) e incluso de todos os equipamentos em um servio de diretrio.
Pgina 46
Pgina 47
Pgina 48
informao. Para isso, devem ser criados acordos com o cliente, os quais
contero todos os riscos identificados e os requisitos de segurana da
informao. Tambm devem ser includos procedimentos de controles requeridos
em um plano de gesto, como controle com identificadores nicos de acesso,
atravs de usurio e senha, nmero de licena para ativao de software
adquirido, etc.
Pgina 49
Normas tcnicas
1. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a gesto de segurana da informao.
Associao Brasileira de Normas Tcnicas (ABNT). Segunda edio, 2005.
2. ISO/IEC
FDIS 17799:2005(E) Information technology Security
techniiques - Code of practice for information security management. ISO
(the International Organization for Standardization) and IEC (the
International Electrotechnical Commission), 2005.
3. ISO/IEC 13335-2 - Information technology - Guidelines for the management
of IT Security - Part 2: Managing and Planning IT Security. ISO (the
International Organization for Standardization) and IEC (the International
Electrotechnical Commission).
4. Information Technology Infraestructure Library (ITIL). Office of Government
of Commerce (OGC), 1989.
5. CobiT (Control Objectives for Information and related Technology). ISACA
(Information systems Audit and Control Foundation), 1996.
6. BS 15000:2000 - Specification for IT service management. British
Standards Institution (BSI), 2000.
7. ISO/IEC 20000 - IT Service Management Standards. ISO (the International
Organization for Standardization) and IEC (the International Electrotechnical
Commission), 2005.
8. BS 7799 - Information security management Part 1: Code of practice for
Information security management. British Standard, 1999.
Referncias
1
www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod133.mspx#EDF.
2
Pgina 50