SSR - 2019 - 1 - Seguranca Da Informacao PDF

Segurança da Informação
March 19 Segurança em Sistemas de Rede 1

Indice
• Segurança da Informação;
• Padrões de Segurança da Informação;
• ISO:
– ISO/IEC 27002;
– PCI-DSS;
– ITIL;

• Importância da Informação:
– Qual a u2lidade da Informação?
Finalidade: suporte, estratégia, ...
– Qual o valor da Informação?

Avaliação directa do “owner” da informação.
– Qual a validade da Informação?

Deve possuir um período de validade.
– Quem é o responsável pela manutenção da

classificação da informação?
O criador é responsável pela classificação inicial.
• Importância da Informação:
– Proteger toda a informação?
Segurança requer quase sempre inves0mentos (muitas vezes
avultados);
– Possibilidade de u7lização do ROI:
Return On Investment;
Não existe um modelo unificado;
– Conhecimento do negócio é o ponto chave para gestão do risco;
– Classificar todas as informações cri7cas de acordo com o teor cri7co:
• Informações Confidenciais: Disseminadas apenas entre
funcionados específicos;
• Informações Corpora0vas: Disseminadas apenas dentro da
empresa;
• Informações Públicas: Disseminadas dentro e fora da empresa;

• Importância da Informação | Iden3ficação de Risco:

• Padrões de Segurança da Informação
– Qual a melhor forma para implementar os mecanismos de
segurança?
– Será que a forma que estamos a implementar as nossas
medidas são as melhores?
– Qual a qualidade da solução adotada?
• Como medir os índices de qualidade?
– A implementação de um padrão é a melhor maneira de dar o
primeiro passo:
• Nada é perfeito. É necessário uma constante manutenção
e adaptação;
• Não é rígido e sem espaço para movimentações;
– UHlizar sistemas de segurança de informação;

• Padrões de Segurança da Informação
– Qual a necessidade de u5lizar sistemas de segurança de
informação?
• Proteger ac5vos de valor;
• Responsabilidade Social;
• Obrigação legal tendo em conta o grupo/5po de negócio
da empresa:
– Exemplo Banca, Saúde...

• Padrões de Segurança da Informação | ISO
– ISO (Interna3onal Organiza3on for Standardiza3on);
– Para as Tecnologias de informação foi criado um comité técnico
especifico:
• JTC1 1 (Joint ISO/IEC Technical CommiGee);
– Dentro do JTC1, existe um subcomitê designado por SC27:
• O SC27 lida com os padrões internacionais relacionados com as
técnicas de segurança de TI;
• O IEC (Interna3onal Electrotechnical Commission) actua como
parceiro do ISO neste subcomitê;
– Devido a quan3dade de padrões rela3vos à Segurança de TI foram
criados 5 Work Groups (WG);
– Cada WG tem uma área de trabalho bem definida;

– 5 Work Groups:
• WG 1: Informa8on security management systems:
– Sistemas de gestão de segurança da informação;
• WG 2: Cryptography and security mechanisms:
– Mecanismos de criptografia e segurança;
• WG 3: Security evalua8on criteria:
– Critérios de avaliação de segurança;
• WG 4: Security controls and services:
– Controles e serviços de segurança;
• WG 5: Iden8ty management and privacy technologies:
– Tecnologias de gestão de iden8dades e privacidade;
– Padrões da série 27000 são os mais conhecidos, mas não os únicos.

– ISO/IEC 7064:2003: Informa;on technology — Security techniques —

Check character systems;
– ISO/IEC 10118-2:2010: Informa;on technology — Security techniques
— Hash- func;ons — Part 2: Hash-func;ons using an n-bit block cipher;
– ISO/IEC 9798-5:2009: Informa;on technology — Security techniques —
En;ty authen;ca;on — Part 5: Mechanisms using zero-knowledge
techniques;
En;ty authen;ca;on — Part 1: General;
Digital signature schemes giving message recovery — Part 3: Discrete
logarithm based mechanisms;
– ISO/IEC 13888-3:2009: Informa;on technology — Security techniques
— Non- repudia;on — Part 3: Mechanisms using asymmetric
techniques

• ISO/IEC 27000 — Overview and Vocabulary;

• ISO/IEC 27001 — Requirements;
• ISO/IEC 27002 — Code of PracGce;
• ISO/IEC 27003 — ImplementaGon Guidance;
• ISO/IEC 27004 — Measurement;
• ISO/IEC 27005 — Risk Management;
• ISO/IEC 27006 — CerGficaGon Body Requirements;
• ISO/IEC 27007 — Audit Guidelines;
• ISO/IEC 27011 — TelecommunicaGons OrganizaGons;

• Padrões de Segurança da Informação | ISO/IEC 27002
– O que é?
• Conjunto de recomendações para prá<cas na gestão de Segurança da
Informação;
– Versão original publicada em 2000 (ISO/IEC 17799):
• Cópia fiel do padrão Britânico BS7799-1:1999;
– Sofreu uma revisão em 2005 pela ISO e pela IEC;
• Actualizada para a numeração ISO/IEC 27002 em Julho de 2007;
– Úl<ma alteração realizada em 2013;
• Normas da série ISO/IEC 27000 reservadas para padrões Segurança da
Informação;
– Pode ser aplicada a todo o <po de organizações;
– Aplica-se a todos os <pos de informação:
• Computer data, documentação, conhecimento e propriedade intelectual
– Não é cer>ficável!

• Padrões de Segurança da Informação | ISO/IEC 27002 | Estrutura

• Sec<on 5: Informa0on security policies
– Dicas de implementação:
Implementar um manual de segurança da informação ou uma wiki que
contenha de forma coerente e consistente, todas as poli0cas, normas e
procedimentos de orientação.
Calcular a melhor frequência da revisão da poli0cas se segurança da
informação e quais os melhores métodos para a sua distribuição.
– Potenciais unidades de medida:

Polí0ca de cobertura. Percentagem das seções da norma ISO/IEC
27001/2 para as quais as polí0cas, mais as respec0vas normas,
procedimentos e orientações foram especificados, escrita , aprovados e
emi0dos.

• Sec<on 6: Organiza3on of Informa3on Security:
Organização interna: Duplicar a estrutura e tamanho de todas as
funções corpora3vas cri3cas e especializadas, como Departamento
Legal, Risco e Compliance.
Organização externa: Considerar requerer cer3ficação ISO/IEC 27001
aos parceiros de negócio em áreas cri3cas como os IT outsourcers e
fornecedores de soluções de segurança.

Percentagem dos parceiros que se encontram formalmente cer3ficados
pela norma ISO/IEC 27001;

• Sec<on 7: Human Resources Security
Antes da entrada: Em conjunto com o serviço de RH, assegurar um
processo de seleção onsite e face2face. O processo de seleção deve
ser adequado as funções a serem desenvolvidas (processo de
contratação de um programador deve ser muito diferente de do
processo de contratação de um administrador de sistemas.). Verificar
antecedentes, nível de escolaridade e exigir um conjunto de skills.
Percentagem de novos colaboradores + pseudo empregados
(consultadores, empreiteiros, trabalhadores temporarios/part-Qme)
que foram totalmente verificados e aprovados de acordo com as
poliQcas da empresa antes de iniciarem funções.

• Sec<on 7: Human Resources Security:

Depois de sair da empresa: Retorno de todos os ac;vos da
organização afectos ao colaborador de saída: computador, pens,
telemóvel, entre outros. Para isso é necessário que o inventário esteja
sempre atualizado e consistente.
Revogação de todos os acessos do colaborador a empresa: Hsico e
lógico. Monitorização das ligações com o exterior deste colaborador
(sujeito a poli;cas e obrigações legais) logo após apresentação carta
de demissão.
Percentagem de ID's pertencentes a an;gos colaboradores da empresa,
separados em ac;vos (desa;vação pendente) e ina;vos. (pendente de
arquivo e eliminação de dados).

• Padrões de Segurança da Informação | ISO/IEC 27002 | Vantagens
– Metodologia de gestão clara, ordenada e estrutura que reduz
o risco;
– Tanto clientes como colaboradores interagem com a
organização através de medidas de segurança;
– Confiança dos clientes por terem maior garanAa na
confidencialidade dos seus dados;
– ConAnuidade do funcionamento do negócio da empresa
depois de incidentes graves de segurança;
– Conformidade com a legislação local vigente assim como
maior garanAa da proteção de propriedade intelectual;
– Factor de diferenciação para com a concorrência;
– Redução de custos e melhoria da qualidade do serviços;
– Aumento da moAvação e saAsfação dos colaboradores;
• Padrões de Segurança da Informação | PCI-DSS
• PSI-DSS (Payment Card Industry Data Security Standard);
• Standard de segurança para empresas que lidam com cartões de crédito;
– Aumento do controlo e segurança para detentores de cartões de crédito;
• Criado pelas principais empresas de cartões de crédito (VISA, MasterCard,
American Express, Dicovery) é manHdo pela Payment Card Industry Security
Standards Council (PCI SSC);

– Primeira versão lançada a 15 de Dezembro de 2004;
– Versão 2.0 lançada em Outubro de 2010 e válida entre 1-Jan-2011 a 31-
Dez-2014;
– Versão 3.0 lançada em Setembro de 2013 e válida entre 1-Jan-2014 a
31-Dez-2017;
– Define a obrigatoriedade do cumprimento de 12 requisitos;
– Organizados em 6 grupos logicamente relacionados designados por
“Control objecOves”);
– São também lançados diversos suplementos a norma principal por
forma a clarificar alguns requisitos que suscitam dúvidas generalizadas;
– InformaOon Supplement: Requirement 11.3 PenetraOon TesOng;
– InformaOon Supplement: Requirement 6.6 Code Reviews and
ApplicaOon Firewalls Clarified;
– InformaOon Supplement: PCI DSS Wireless Guidelines;




• Padrões de Segurança da Informação | PCI-DSS | Requirement 1




• Padrões de Segurança da Informação | ITIL
– ITIL (Informa3on Technology Infrastructure Library);
– Modelo de referência para gestão de processos de TI;
– Desenvolvido no final dos anos 80 pela CCTA (Central Computer
and Telecommunica3ons Agency), hoje OGC (Office for
Government Commerce) do Reino Unido
– Promove a gestão com foco no cliente e na qualidade dos serviço
de TI;
– Em Maio de 2007 foi lançada o ITILv3 (aka ITIL Refresh Project);
– Em 2011 lançado um update da versão 3:
• Cons3tuído por diversos processos e funções;
• Agrupados em 5 volumes;
• Organizados sobre a estrutura de ciclo de vida de serviços;
•



• Padrões de Segurança da Informação | ITIL | Servcice Strategy
• Centro e origem do ITIL Service Lifecycle;
• Fornece guias de orientação para clarificação e priorização de inves?mentos;
– Ajuda no desenvolvimento de planos a longo termo;
– Depende diretamente de uma abordagem orientada para o mercado;
• Definição de serviço de valor e desenvolvimento do business-case
• Análise de mercado
• Processos abrangidos:
– Demand management;
– Financial management for IT services;
– Stategy Genera?on;
– Service porIolio management;

• Padrões de Segurança da Informação | ITIL | Servcice
Strategy
• Financial management for IT services:

– Descreve a disciplina financeira que a infraestrutura de
TI deve cumprir;
– Assegurar por exemplo a aquisição de equipamento ao
melhor preço:
• Melhor preço diferente de mais barato;
• Definir calculo do custo de operação da
infraestrutura de TI;
– Sem se saber o custo, como se o pode recuperar?
• Padrões de Segurança da Informação | ITIL | Servcice Design
• Fornece orientações e boas prá9cas para a concepção de serviços e
processos de TI;
– Abranger todos os elementos relevantes para a
implementação do serviço;
– Não se deve concentrar unicamente no desenho da própria
tecnologia.
– Linhas de orientação para integração de um novo serviço com;
• Core Business do negócio;
• Cadeia de valor do negócio;
• Restantes ambientes técnicos já existentes;
• Sistemas de gestão e controlo de serviços;
• Arquitetura necessária para suportar o serviço;

– Processos abrangidos:
• Service Catalogue management;
• Service level management;
• Capacity Management;
• Availability management;
• IT service con@nuity management;
• Informa@on security management system;
• Supplier management;
• Service Catalogue Management;

– Produz e mantem o Catálogo de serviços
– Garante que são man>do todos os detalhes,
dependências e interfaces com todos os serviços
disponibilizados aos clientes
– O catálogo inclui informações como:
• Preços;
• Pontos de contacto;
• Registo de ordens e pedidos efetuados;

• Service Level Management
– Gestão do nível de serviço
– Iden:ficação e acompanhamento con:nuo dos níveis de
serviço especificados nos contratos de nível de serviço (SLA)
– Prevê a existência de acordos entre mecanismos internos de TI
e fornecedores externos, sob a forma de:
• Acordos operacionais de nível (Opera:onal Level
Agreements / OLAs)
• Contratos de Apoio (Underpinning Contracts/UCs).
– Avaliação do impacto que uma alteração pode ser na
qualidade do serviço e SLAs;
– Local ideal para o estabelecimento de métricas de avaliação da
qualidade do serviço/estabelecimento de benchmark.

• Padrões de Segurança da Informação | ITIL | Servcice Transac9on
– Tem como principal responsabilidade garan7r que os
processos de transição são:
• Simples, eficazes e eficientes;
• Diminuir e minimizar risco de atraso;
– Estabelece a garan7a da entrega e operação do serviço
integrando todos os elementos dependentes;
– Estes elementos incluem:
• Aplicações;
• Infraestrutura;
• Conhecimento / Documentação;
• Finanças;
• Pessoas / processos / skills / etc.

• Knowledge management;
• Change management;
• Asset and configura?on management;
• Release and deployment management;
• Transi?on planning and support;
• Service valida?on and tes?ng;
• Evalua?on;

– Asset and configura5on management

• Foco na manutenção da informação necessária para entregar um
serviço de TI;
– Configurações;
• Gestão e rastreamento de todos os aspectos de uma configuração
do principio ao fim;
• Isto inclui os seguintes processo chave:
– Iden5fica5on;
– Planning;
– Change control;
– Change management;
– Release management;
– Maintenance;

• Padrões de Segurança da Informação | ITIL | Servcice Opera;on
– Visa proporcionar as melhores prá8cas para alcançar a entrega do
serviço;
• De acordo com os níveis acordados com os clientes finais;
• Clientes que pagam pelo serviço e negoceiam os SLAs;
– Parte do ciclo de vida onde os serviços e valores são efe8vamente
entregues;
– Monitorização de problemas;
• Considerados fatores de equilíbrio entre confiabilidade do serviço
e custos ;
– As principais função incluem:
• Gestão técnica;
• Gestão de aplicações e operações;
• Serviço de Helpdesk;
• Responsabilidades para os elementos envolvidos na operação do
serviço;

• Incident Management;
• Problem Management;
• Event Management;
• Request Fulfillment;
• Access Management;
• OperaCons Management;
– Funções abrangidas:
• Service Desk;
• ApplicaCon Managenment;
• Tecnhical Management;
• IT OperaCons;

– Service Desk;
• Uma das 4 funções do ITIL estando associado principalmente com
a fase do ciclo de vida dos serviços operacionais;
• As tarefas incluem, entre outras, o tratamento de incidentes e
solicitações;
• Fornece uma interface para outros processos, com as seguintes
caracterísCcas:
– Único ponto de contacto;
» Não necessariamente o primeiro ponto de contacto;
– Único ponto de entrada;
– Único ponto de saída;
– De uClização e compreensão fácil para os clientes;
• Podem ter diversos nomes:
– Call Center, Helpdesk, Service Desk

• Padrões de Segurança da Informação | ITIL | Con7nual Service
Improvement
– Tem como função alinhar os serviço de TI ás necessidades

de negócio:
• Através da iden=ficação e implementação de
melhorias nos processos de TI;
• Necessidade de definição clara do que deve ser
controlado e medido
• Service Measurement;
• Service Repor=ng;
• Service Improvement

• Padrões de Segurança da Informação | ITIL | Vantagens
– Facilita a gestão dos serviços de TI e consequentemente toda a

organização;
– Linha de trabalho consistente, eficiente e baseada e
padronizada;
– Redução, a médio/longo prazo, custos dos serviços de TI;
– Melhoria do processo de comunicação entre colaboradores,
parceiros e clientes da organização;
– Aumento da saFsfação de todos os envolvidos ao definir-se
corretamente as metas e expectaFvas.

Bibliografia
• Apêndice B do Mastering Network Security (exemplo de Polí@ca de segurança);

• How to Achieve 27001 Cer@fica@on: An Example of Applied Compliance
Management;
• PCI Compliance, Fourth Edi@on: Understand and Implement Effec@ve PCI Data
Security Standard Compliance;
• IT Governance: An Interna@onal Guide to Data Security and ISO27001/ISO27002;
• ITIL V3 Founda@on Complete Cer@fica@on Kit

Bibliografia
• Edmundo Monteiro e Fernando Boavida, Engenharia de Redes Informá;cas, FCA Editora;

• Web Applica;ons (Hacking Exposed) (Paperback) by Joel Scambray, Mike Shema;
• SQL Injec;on ANacks and Defense (Paperback) by Clarke;
• Using Automated Fix Genera;on to Mi;gate SQL Injec;on;
• Vulnerabili;es (Paperback) by Stephen Thomas (Author);
• Gestão de Sistemas e Redes em Linux, Jorge Granjal, FCA;
• Segurança em Redes Informá;cas, André Zúquete, FCA;

SSR - 2019 - 1 - Seguranca Da Informacao PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

SSR - 2019 - 1 - Seguranca Da Informacao PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Segurança da Informação

March 19 Segurança em Sistemas de Rede 1

March 19 Segurança em Sistemas de Rede 2

– Qual o valor da Informação?

– Qual a validade da Informação?

– Quem é o responsável pela manutenção da

March 19 Segurança em Sistemas de Rede 4

March 19 Segurança em Sistemas de Rede 5

March 19 Segurança em Sistemas de Rede 6

March 19 Segurança em Sistemas de Rede 7

March 19 Segurança em Sistemas de Rede 8

March 19 Segurança em Sistemas de Rede 9

– ISO/IEC 7064:2003: Informa;on technology — Security techniques —

March 19 Segurança em Sistemas de Rede 10

• ISO/IEC 27000 — Overview and Vocabulary;

March 19 Segurança em Sistemas de Rede 11

March 19 Segurança em Sistemas de Rede 12

March 19 Segurança em Sistemas de Rede 13

– Potenciais unidades de medida:

March 19 Segurança em Sistemas de Rede 14

– Potenciais unidades de medida:

March 19 Segurança em Sistemas de Rede 15

March 19 Segurança em Sistemas de Rede 16

• Sec<on 7: Human Resources Security:

March 19 Segurança em Sistemas de Rede 17

March 19 Segurança em Sistemas de Rede 19

March 19 Segurança em Sistemas de Rede 20

March 19 Segurança em Sistemas de Rede 21

March 19 Segurança em Sistemas de Rede 22

March 19 Segurança em Sistemas de Rede 23

March 19 Segurança em Sistemas de Rede 24

March 19 Segurança em Sistemas de Rede 25

March 19 Segurança em Sistemas de Rede 26

March 19 Segurança em Sistemas de Rede 27

March 19 Segurança em Sistemas de Rede 28

March 19 Segurança em Sistemas de Rede 29

March 19 Segurança em Sistemas de Rede 30

March 19 Segurança em Sistemas de Rede 31

• Financial management for IT services:

March 19 Segurança em Sistemas de Rede 33

• Service Catalogue Management;

March 19 Segurança em Sistemas de Rede 35

March 19 Segurança em Sistemas de Rede 36

March 19 Segurança em Sistemas de Rede 37

March 19 Segurança em Sistemas de Rede 38

– Asset and conﬁgura5on management

March 19 Segurança em Sistemas de Rede 39

March 19 Segurança em Sistemas de Rede 40

March 19 Segurança em Sistemas de Rede 41

March 19 Segurança em Sistemas de Rede 42

– Tem como função alinhar os serviço de TI ás necessidades

March 19 Segurança em Sistemas de Rede 43

– Facilita a gestão dos serviços de TI e consequentemente toda a

March 19 Segurança em Sistemas de Rede 44

• Apêndice B do Mastering Network Security (exemplo de Polí@ca de segurança);

March 19 Segurança em Sistemas de Rede 45

• Edmundo Monteiro e Fernando Boavida, Engenharia de Redes Informá;cas, FCA Editora;

March 19 Segurança em Sistemas de Rede 46

Você também pode gostar