Escolar Documentos
Profissional Documentos
Cultura Documentos
DE SEGURANA E SGSI
1
O que Poltica de Segurana?
2
reas de normalizao da PSI
Processual
Ex.: Classificao da informao, o processo de anlise de riscos
Tecnolgica
Ex.: Bom funcionamento de servidores, estaes de trabalho,
acesso Internet
Humana
Ex.: Conduta considerada adequada para o tratamento das
informaes
Aplicvel Privacidade
3
Temas da poltica
Para elaborar uma poltica, necessrio delimitar os
temas que sero transformados em normas
Exemplos de temas
Segurana fsica: aceso fsico, infra-estrutura do edifcio, datacenter
Segurana da rede corporativa: configurao dos sistemas operacionais,
acesso lgico e remoto, autenticao, Internet, gerenciamento de mudanas,
desenvolvimento de aplicativos
Segurana de usurios: composio de senhas, segurana em estaes de
trabalho
Segurana de dados: criptografia, classificao, privilgios, cpias de
segurana e recuperao, antivrus, plano de contingncia
Aspectos legais: prticas pessoais, contratos e acordos comerciais, leis e
regulamentaes governamentais
4
Abrangncia
Tpicos de abrangncia:
Vigncia (Incio e Fim)
Importncia da Poltica de Segurana
Quais recursos so protegidos
Quais aplicativos e softwares sero permitidos
Qual procedimento para se conceder ou revogar privilgios na rede
No caso de violao da poltica, o que deve ser feito?
Avisos
Reunies
Treinamentos Gerais e Departamentais ou Setoriais
Exemplificao atravs de informativos, jornais,
peas teatrais e outros veculos de informao
5
Exerccio
Comisso de Segurana
6
Documentos da PSI
Diretrizes
Diretrizes: Fundamentos estratgicos da
organizao
Correspondem a todos os valores que devem ser seguidos
para que o principal patrimnio da empresa, que so as
informaes, tenha o nvel de segurana exigido
7
Normas
Normas: Regras gerais da segurana das informaes
que devem ser usadas por todos os segmentos
envolvidos nos processos de negcio da instituio
Procedimentos
Procedimentos: Orientaes para realizar atividades
operacionais relacionadas a segurana
8
Exemplos de Documentos FINAIS de
uma PSI
Portaria - Comisso de Segurana Norma de Uso de Servios FTP
Portaria - Grupo de Segurana Norma para Utilizao de Rede
Poltica de Segurana da rede interna Norma de Contingncia
Norma de Segurana para a rede interna Norma para Uso do DNS
Norma para Utilizao de Recursos Computacionais Norma para Uso de Servios e Servidores WWW
Norma para Uso de Correio Eletrnico Tcnicas para Pontuao dos Ativos rede interna
Norma para Computadores Pessoais Formulrio para Estabelecer Criticidade dos Ativos
Norma de Uso de Servios de Acesso Discado Norma para Estruturao dos Ativos
Norma de Uso de Servios SSH Padro para Criao de Documentos
Norma de Uso de Servios Telnet Terminologia e Glossrio para a Poltica de Segurana
9
Exerccio
10
Sistema de Gesto de Segurana da
Informao - SGSI
A adoo de um SGSI uma deciso estratgica para
uma organizao
O estabelecimento e a implementao so
influenciados pelas suas necessidades e objetivos,
requisitos de segurana, processos organizacionais
usados, tamanho e estrutura da organizao
esperado que todos esses fatores mudem ao longo
do tempo
11
Sistema de Gesto de Segurana da
Informao - SGSI
importante que um SGSI seja parte de, e esteja
integrado com os processos da organizao e com a
estrutura de administrao global, e que a segurana
da informao seja considerada no projeto dos
processos, sistemas de informao e controles
12
O que a ISO?
ISO o nome usual com o qual conhecida a
International Organization for Standardization
(Organizao Internacional de Padronizao)
13
Famlia ISO/IEC 27000
ISO/IEC TR 27008, Guidelines for auditors on information security controls
ISO/IEC 27010, Information security management for inter-sector and inter-organizational
communications
ISO/IEC 27011, Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002
ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1
ISO/IEC 27014, Governance of information security
ISO/IEC TR 27015, Information security management guidelines for financial services
ISO/IEC TR 27016, Information security management Organizational economics
ISO 27799:2008, Health informatics Information security management in health using
ISO/IEC 27002
14
DTI/CCSC USERS CODE OF PRACTICE: 1987
DEPTO. OF TRADE AND INDUSTRYS / COMMERCIAL COMPUTER SECURITY CENTER
NBR 27002:2005
ISO 27002:2013
NBR 27002:2013
ISO/IEC 27001
15
ISO/IEC 27001
Norma ISO/IEC 27001 trata da implantao de um Processo de
Gesto de Segurana da Informao (ISMS - Information
Security Management Systems)
ISO/IEC 27001
Uma metodologia estruturada reconhecida internacionalmente
dedicada a segurana da informao
Um processo definido para validar, implementar, manter e
gerenciar a segurana da informao
Um grupo detalhado de controles compreendidos das
melhores prticas de segurana da informao
Desenvolvido pelas empresas para as empresas
16
ISO/IEC 27001 no
Um padro tcnico
Um produto ou tecnologia dirigida
Uma metodologia de avaliao do equipamento
Mas pode exigir a utilizao de Nveis de Garantia dos
Equipamentos
17
Anexo SL
Todas as normas de sistema de Clusula 1: Escopo
gesto do futuro tero a mesma Clusula 2: Referncia normativa
estrutura de alto nvel, texto Clusula 3: Termos e definies
principal idntico, bem como Clusula 4: Contexto da organizao
termos e definies comuns Clusula 5: Liderana
Clusula 6: Planejamento
abordada
http://www.bsigroup.com/LocalFiles/pt-BR/Entendendo%20o%20Anexo%20SL.pdf
Anexo SL
Clusula 1: Escopo
O escopo estabelece os resultados desejados do sistema de gesto. Os
resultados so especficos da organizao e devem alinhar-se com o
contexto de cada uma (clusula 4)
Clusula 2: Referncia Normativa
Fornece detalhes das normas de referncia ou publicaes pertinentes para
uma determinada norma
Clusula 3: Termos e Definies
Detalhes dos termos e definio aplicveis norma especfica, alm de
qualquer norma formal relacionada a definies e termos
18
Anexo SL
Clusula 4: Contexto da Organizao
Como a base de um sistema de gesto, a clusula 4 determina porque
a organizao est aqui
Como parte da resposta a esta pergunta, a organizao precisa
identificar questes internas e externas que podem ter um impacto
sobre seus resultados desejados, bem como todas as partes
interessadas e seus requisitos
Tambm precisa documentar seu escopo e estabelecer os limites do
sistema de gesto - todos de acordo com os objetivos de negcio
Anexo SL
Clusula 5: Liderana
A nova estrutura de alto nvel d uma nfase especial liderana, no
apenas gesto como estabelecido em normas anteriores
Isto significa que a alta administrao agora tem uma maior responsabilidade
e envolvimento no sistema de gesto da organizao
Ela precisa integrar os requisitos do sistema de gesto no processo de
negcio principal da organizao, assegurar que o sistema de gesto atinge
os seus resultados desejados e alocar os recursos necessrios
A alta administrao tambm responsvel por comunicar a importncia do
sistema de gesto e aumentar a conscientizao e o envolvimento dos
funcionrios
19
Anexo SL
Clusula 6: Planejamento
Traz o pensamento baseado no risco adiante. Assim como a organizao
destacou riscos e oportunidades na clusula 4, ela precisa estipular como
tais riscos e oportunidades sero tratados atravs do planejamento.
A fase de planejamento olha para o que, quem, como e quando estes riscos
devem ser tratados.
Esta abordagem proativa substitui a ao preventiva e reduz a necessidade
de aes corretivas posteriormente. colocado tambm um foco especial
nos objetivos do sistema de gesto.
Estes devem ser mensurveis, monitorados, comunicados, alinhados
poltica do sistema de gesto e atualizados quando necessrio
Anexo SL
Clusula 7: Suporte
Depois de abordar o contexto, compromisso e planejamento, as
organizaes tero que olhar para o suporte que necessitam para
atingir suas metas e objetivos.
Isto inclui recursos, comunicaes internas e externas direcionadas,
bem como informaes documentadas que substituem termos
anteriormente usados, tais como documentos, documentao e
registros.
20
Anexo SL
Clusula 8: Operao
A maior parte dos requisitos do sistema de gesto est centrada nesta
clusula nica. A clusula 8 trata tanto dos processos internos como
terceirizados, enquanto a gesto de processo total inclui critrios
adequados para controlar estes processos, bem como modos de gerir
a mudana planejada e no intencional.
Anexo SL
Clusula 9: Avaliao de Desempenho
Aqui, as organizaes precisam determinar o que, como e quando as
coisas so monitoradas, medidas, analisadas e avaliadas
Uma auditoria interna tambm faz parte deste processo para
assegurar que o sistema de gesto esteja em conformidade com os
requisitos da organizao, bem como a norma, e seja implementado e
mantido de maneira bem sucedida
A etapa final, reviso de gesto, observa se o sistema de gesto
conveniente, adequado e eficaz
21
Anexo SL
Clusula 10: Melhoria
Observa como devem ser geridas as no conformidades e as aes
corretivas. Em um mundo dos negcios que se modifica a todo
instante, nem tudo acontece de acordo com o planejado
A clusula 10 observa modos de abordar as no conformidades e
aes corretivas, bem como as estratgias para a melhoria em uma
base contnua
O que a ABNT?
Normas nacionais so normas tcnicas estabelecidas por
um organismo nacional de normalizao para aplicao
num dado pas
Em cada pas, normalmente, existe um organismo
nacional de normalizao
No Brasil, as Normas Brasileiras (NBR) so elaboradas
pela ABNT (Associao Brasileira de Normas Tcnicas)
A ABNT reconhecida pelo Estado brasileiro como o
Frum Nacional de Normalizao
As NBR so reconhecidas formalmente como as normas
brasileiras
22
ABNT NBR ISO/IEC 27001
SISTEMAS DE GESTO DE SEGURANA DA
INFORMAO REQUISITOS
Especifica os requisitos para estabelecer, implementar, manter
e melhorar continuamente um sistema de gesto da
segurana da informao dentro do contexto da organizao
Tambm inclui requisitos para a avaliao e o tratamento de
riscos de segurana da informao voltados para a necessidade
da organizao
23
Estrutura ABNT NBR ISO/IEC
27001:2013
5: Liderana
5.1 Liderana e comprometimento
5.2 Poltica
5.3 Autoridades, responsabilidades e papis organizacionais
6: Planejamento
6.1 Aes para contemplar riscos e oportunidades
6.2 Objetivo de segurana da informao e planejamento para alcan-los
24
Estrutura ABNT NBR ISO/IEC
27001:2013
9: Avaliao do Desempenho
9.1 Monitoramento, medio, anlise e avaliao
9.2 Auditoria interna
9.3 Anlise crtica pela Direo
10: Melhoria
10.1 No conformidade e as ao corretiva
10.2 Melhoria Continua
Anexo A. Referncia aos controles e objetivos de controles
25
Algumas razes para adotar o ISO/IEC
27001
Eficcia melhorada da Segurana da Informao
Diferenciao do Mercado
Satisfazer exigncias dos clientes
nico padro com aceitao global
Responsabilidades focadas na equipe de trabalho
A Tecnologia da Informao cobre padres to bem quanto a
organizao, pessoal e facilidades
Mandatos e leis
http://www.computerworlduniversity.es/actualidad/top-10-de-las-certificaciones-iso-27001-en-europa-y-el-mundo
26
Certificao ABNT NBR ISO/IEC 27001
Algumas empresas que j foram certificadas no Brasil
Banco Matone S.A.
CIP Cmara Interbancria de Pagamentos
Fucapi Fundao Centro de Anlise
Mdulo Security Solutions S.A.
Promon Engenharia LTDA
Promon Tecnologia LTDA
SAMARCO Minerao LTDA
Serasa, So Paulo
SERPRO
Telefonica Empresas S.A.
UNISYS
27
Verses ABNT NBR ISO/IEC 27002
Antiga norma ABNT NBR ISO/IEC 17799
A verso mais atual a de 2013, que sucede e substitui
a verso de 2005
Em comparao com a verso 2005, o nmero de
sees aumentou de 11 para 14 sees
A verso 2013 recomenda 114 tipos de controles
bsicos
Categorias de Controle
Cada seo principal contm:
a) Um objetivo do controle declarando o que se espera que
seja alcanado
b) Um ou mais controles que podem ser aplicados para se
alcanar o objetivo de controle
28
Categorias de Controle
As descries do controle esto estruturadas da seguinte forma:
Controle:
Define a declarao especfica do controle, para atender ao objetivo de controle
Diretrizes para implementao:
Apresenta informaes mais detalhadas para apoiar a implementao do controle e
alcanar o objetivo do controle
As diretrizes podem no ser totalmente adequadas ou suficientes em todas as
situaes e podem, portanto, no atender completamente aos requisitos de controle
especficos de uma organizao
Informaes adicionais:
Apresenta mais dados que podem ser considerados, como p.ex., questes legais e
referncias normativas
Se no existem informaes adicionais, esta parte no mostrada no controle
29
Estudo de Caso - ABNT NBR ISO/IEC
27002:2013
Analista do Departamento Americano de Assuntos dos Veteranos de Guerra suspeito. Agncias de crdito
e bancos j foram avisados.
O Departamento Americano de Assuntos dos Veteranos de Guerra (VA) alertou os veteranos militares, nesta segunda-feira (22/05), que suas
informaes pessoais podem estar entre os dados de 26,5 milhes de clientes, roubados por um analista do prprio rgo.
Os dados incluem nome, nmero do seguro social e datas de aniversrio dos veteranos e suas esposas, conforme comunicado emitido pelo VA.
A agncia suspendeu o analista, no identificado, enquanto conduz a investigao.
O fato aconteceu esse ms e os dados no incluem nenhum registro eletrnico sobre a sade ou finanas dos militares. Ainda no h evidncias
de que as informaes tenham sido utilizadas em esquemas de roubo de identidade e as autoridades acreditam que o objetivo da violao dos
dados no seja o roubo, divulgou o VA.
A entidade ainda no sabe como os dados foram parar na casa do analista e informou que o Departamento de Justia americano e a Comisso
Federal de Comrcio j esto cientes do assunto. A Fora Tarefa de Identificao de Roubos j alertou os bureaus de crdito sobre potenciais
problemas.
Porm, at o momento, a VA no pediu a bureaus de crdito e bancos onde as vtimas tm contas que monitorarem atividades suspeitas.
http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=9A680375-E0C1-47E3-A567-C3F63D2FC119&ChannelID=21080105
30
Estudo de Caso - ABNT NBR ISO/IEC
27002:2013
AT&T apresentou, esta semana, ao na Justia do Texas contra 25 falsos clientes que contrataram servios da
companhia com o intuito de roubar informaes de sua base de dados.
Os acusados criaram contas de clientes na AT&T que lhes permitiam armazenar gravaes de voz no banco de dados da
empresa. A inteno dos acusados, no entanto, era apenas ter acesso ao sistema da AT&T e ento tentar ouvir gravaes de
outras companhias.
De acordo com a AT&T, o grupo conseguiu acessar gravaes de 2500 clientes da empresa. As informaes seriam
provavelmente usadas em disputas entre concorrentes ou para planejar estratgias de marketing.
A AT&T diz que gravaes com dados sensveis e informaes financeiras so armazenadas em bancos especialmente
seguros, que no foram acessados pelos falsos clientes.
Como os registros criados eram falsos, as 25 contas de clientes citadas no processo ainda precisam ser investigadas. O caso
causou certa controvrsia ao ser apresentado Justia, j que o processo movido contra falsos clientes, ou seja, pessoas
que, em tese, no existem.
Assim que detectou o problema, a AT&T bloqueou o acesso s gravaes dos 2500 clientes envolvidos no caso e cancelou as
contas de acesso dos acusados. Todos os clientes envolvidos foram notificados sobre o caso, diz a AT&T.
http://info.abril.com.br/aberto/infonews/082006/24082006-2.shl
31