Escolar Documentos
Profissional Documentos
Cultura Documentos
1. Introdução
Objetivos da Segurança
Segurança da Informação
Segurança Integrada
Leis, Regulamentos e
Requisitos
Políticas
Normas
Linhas Orientadoras
Procedimentos,
Práticas
• Definir objetivos;
• Definir áreas/pontos a abordar;
• Definir as políticas de sensibilização a otimizar/implementar;
• Definir os objetivos das políticas de sensibilização;
• Elaborar recomendações, tais como:
o Regras de acessos (internet e utilizadores);
o Regras para a instalação de software;
o Definir políticas de atualização de antivírus, etc.
2. Segurança
A Segurança dos Sistemas de Informação pode ser analisada nos seguintes domínios:
• Segurança Física;
• Segurança Lógica.
2.1.1 - Pessoal
O objetivo é reduzir os riscos de erros humanos, roubo, fraude ou má utilização
dos recursos.
Abrange 3 domínios:
• Conteúdos funcionais
o Os conteúdos funcionais devem abranger as responsabilidades
relevantes;
o As políticas de segurança devem ser inseridas nos conteúdos
funcionais.
• Recrutamento
o Análise do Curriculum Vitae do candidato;
o Confirmação das qualificações académicas;
o Exigência de referências;
o Análise de anteriores empregos;
o Analisar rigorosamente os candidatos quando são recrutados para
tratar informação crítica.
• Confidencialidade
o Compromisso de confidencialidade adequado ao perfil definido para os
utilizadores.
2.1.2 - Instalações
O objetivo, é estabelecer um conjunto de requisitos a que devem obedecer as
instalações da organização em função das suas especificidades.
Abrange 4 domínios:
1. Localização
o Requisitos Físicos - materiais de construção da estrutura de acordo
com as normas em vigor; Análise do perímetro externo à organização;
o Requisitos Ambientais – poluição química;
o Medidas anti-intrusão – sistemas de vigilância, vedações, etc.;
o Vibrações – linhas férreas, metropolitano, etc.;
o Radiações Eletromagnéticas – linhas de alta tensão, emissores de
rádio, etc.
2. Estrutura do Centro
o Piso adequado em função da sua especificidade;
o Entrada única;
o Saídas de emergência;
o Isolado do calor e poeiras;
o Chão e tetos falsos;
o Dividir o espaço físico principal.
3. Áreas de Segurança
o Áreas de Segurança
▪ Definir perímetro de segurança;
▪ Coerência com valor dos recursos;
▪ Divulgação restrita da atividade interna;
▪ Quando desativadas – fisicamente fechadas;
▪ Equipamento acessório (impressoras, fax) no exterior.
o Controlo de entradas/saídas
▪ Dispositivos de controlo de acessos;
▪ Visitantes – supervisionados (cartão, data, hora);
o Segurança no Centro
▪ Dispositivos de controlo de acessos;
▪ Não publicitar as áreas associadas ao centro de processamento
de dados (onde estão os servidores, etc.), nomeadamente: não
pôr salas de espera, placards, lista telefónicas, etc.
▪ Detetores (calor, fumo, alarmes incêndio, extintores, etc.) –
vistoriados de acordo com a legislação em vigor.
o Cargas/Descargas
▪ Área projetada que não permita acesso a outras áreas do
edifício;
▪ Autorização do pessoal;
▪ Material descarregado deve ser analisado.
o Secretárias Limpas
▪ Documentos e suportes magnéticos em locais seguros;
▪ Informação sensível e crítica guardada de acordo com as
normas vigentes;
▪ PC’s protegidos de acordo com as políticas definidas.
4. Segurança do equipamento
▪ Alimentação Elétrica
• Analisar a adequada alimentação elétrica que respeite as
especificações dos respetivos fabricantes;
• UPS’s para equipamentos que suportam atividades
críticas para o negócio.
▪ Segurança da Cabelagem
• Cablagem protegida contra interceções não autorizadas;
• Sistema blindado e de compartimentos ou caixas
fechadas nos pontos de interceção ou de terminação;
• Analisar com coerência as medidas de segurança
subjacentes às redes Wireless.
▪ Manutenção do Equipamento
• Contratos de manutenção;
• Prazos de garantia;
• Definição de direitos e deveres do vendedor e
comprador;
• Existência de um diário de intervenções;
• Existência de um diário de manutenção.
▪ Segurança do Equipamento
• PC’s da organização não devem ser usados fora da
organização;
• Os portáteis em serviços devem respeitar um conjunto
de normas de segurança;
• Cumprir as normas dos fabricantes.
2.2 – Segurança Lógica
2.2.1 - Salvaguarda
O Hardware, Software e/ou ficheiros com informação organizacional não
devem ser deslocados para fora das instalações da organização sem autorização
formal dos decisores.
Abrange 3 domínios:
o Gestão de Acessos
▪ Autorização para utilizar o serviço;
▪ Verificar se o nível de acesso é adequado à sua atividade;
▪ Cancelar os acessos após o serviço concluído;
▪ Registar formalmente as pessoas autorizadas a utilizar o serviço;
o Responsabilidade do Utilizador
▪ Criar/Alterar as Passwords de acordo com as regras da
organização;
▪ Confidencialidade das Passwords;
o Planeamento do Sistemas
▪ Planeamento da capacidade;
▪ Planeamento de recursos alternativos;
▪ Controlo das alterações operacionais.
o Administração
▪ Políticas de registo de operações;
▪ Registo de tratamento de dados relativos às avarias.
o Gestão de Redes
▪ A responsabilidade operacional pelas redes deverá ser separada da
exploração dos sistemas;
▪ Definição de responsabilidades e procedimentos de gestão do
equipamento incluindo o instalado pelos utilizadores;
▪ Coordenar da gestão do sistema e das redes.
o Permuta de Dados
▪ Definir políticas de permuta de dados entre organizações;
▪ Atribuir responsabilidades em caso de perda de danos;
▪ Analisar a vulnerabilidade das interceções ou modificações dos
dados objeto de permuta;
▪ Definir medidas de segurança associadas à transmissão de dados
via Internet.
3. Segurança dos Sistemas Aplicacionais
o Requisitos de Segurança
▪ Controlar o acesso à informação e serviços;
▪ Registos de Auditoria.
Princípios de Gestão
1. Identificar Vulnerabilidades;
2. Avaliar os Riscos;
3. Desenvolver um Plano;
4. Implementar o Plano;
5. Monitorizar o Sistema;
6. Investigação e análise de acidentes;
7. Testes e simulacros;
8. Auditorias.
Informação e Formação
• Informação
o Folhetos;
o Documentos;
o Sinalética;
o Intranet
• Formação
o Ações de formação;
o Cursos;
o Demostrações;
o Simulacros.
4. Legislação
• Criminalidade Informática
o Lei nº 109/1991, de 17 de Agosto
• Proteção de Dados Pessoais
o Lei nº 67/1998, de 26 de Outubro
• Proteção da Privacidade no Setor das Comunicações Eletrónicas
o Lei nº 41/2004, de 18 de Agosto
Normas
• ISO/IEC 27002:2013
o Information technology – Security techniques – Code of practice for
information security controls.
o Apresenta o conjunto de boas práticas que as organizações devem
seguir ao nível da gestão da segurança da informação.
(a 27002:2013 e também a 27002:2005 e a 17799:2005)
• ISO 27001:2013
o Information technology – Security techniques – Information security
management systems ISMS – Requirements.
o Especifica os requisitos para estabelecer, implementar, monitorizar,
rever, manter e melhorar um ISMS (SI) no contexto do negócio da
organização. (e também a 27001:2005)
• NIST
o Security Models (Special Publications)
• COBIT
o Control Objectives for information and related technology
• ITIL
o Information Technology Infrastructure Library
Norma ISO/IEC 27002:2013
Esta norma apresenta um conjunto de boas práticas de suporto às
organizações ao nível da Gestão da Segurança da Informação.
Esta encontra-se organizada em dezoito capítulos, que se encontram em baixo:
• Objective: To ensure that employees and contractors are aware of and fulfil
their information security responsibilities.
7.3 Termination and change of employment
8. Asset management
8.1 Responsibility for assets
9 Access control
9.1 Business requirements of access control
10 Cryptography
10.1 Cryptographic controls
12 Operations security
12.1 Operational procedures and responsibilities
13 Communications security
13.1 Network security management
15 Supplier relationships
15.1 Information security in supplier relationships
18 Compliance
18.1 Compliance with legal and contractual requirements
História
Em Portugal as organizações de maior dimensão começaram a demonstrar
preocupações com o PCN a partir dos anos 80.
Evolução
Necessidade
• Identificar riscos;
• Definir um conjunto de políticas de forma a minimizar esses riscos e/ou o seu
impacto. – ao minorar as consequências dos acidentes está-se a diminuir as
perdas advindas da paragem dos Sistemas de Informação.
Objetivos
Metodologias
Componentes
1. Análise do Impacto no negócio
o Matriz de Riscos;
o Riscos a “Controlar”;
o Aplicações Críticas;
o Domínios de Recuperação.
2. Estratégias de recuperação
3. Desenvolvimento
4. Implementação
5. Testes
6. Manutenção
• Ativos;
• Ameaças;
• Probabilidade de Ocorrência;
• Impacto.
1. Matriz de Riscos
• Explosão
• Acidente de transporte
• Sismo
• Gelo
• Ausência de colaboradores
• Roubo
• Incêndio
• Temporal
• Aviso de bomba
• Quebra de energia elétrica
• Greve
• Erros dos colaboradores
• Poluição do ar
• Explosão
• Entrada de estranhos
• Pragas de insetos
• Falhas no ar condicionado
• Sabotagem
• Falhas de comunicações
• Manipulação incorreta de dados
• Instalação de software/hardware
• Falhas em dispositivos
• Deficiências de hardware/software
• Inundação
• Negligência de manutenção
• Falta de consumíveis
• Trovoada
• Vírus
• Epidemias
• Furacão.
Matriz de Riscos – Passiva
2. Riscos a “Controlar”
• Custos do Downtime
o Faturação perdida;
o Lucros perdidos;
o Credibilidade junto de clientes;
o Oportunidades perdidas, etc.
• Impacto do Downtime
o Analisar por setor/áreas os riscos subjacentes à atividade;
o Tempo mínimo de paragem;
o Impacto em diversas vertentes:
▪ Operacional;
▪ Social;
▪ Financeiro.
• Níveis de Risco
o Risco baixo: 0 a 2
o Risco médio: 3 a 5
o Risco Alto: 6 a 8
• Probabilidade vs Impacto
• Erros dos Colaboradores
o Conceção de um plano de Formação individualizada;
o Automatizar processos por forma a evitar erros.
• Negligência de Manutenção
o Contratar manutenção com os fornecedores;
o Criar registo de manutenção;
o Análise de histórico desses registos, etc.
• Vírus
o Formação aos utilizadores;
o Criar rotinas de atualização automáticas, etc.
• Instalação de Software
o Automatizar processo de instalação automática de versões;
o Pedido de autorização de instalação de software adicional;
o Formação aos utilizadores;
• Entrada de Estranhos
o Criação de mecanismos de controlo de acessos;
o Análise do funcionamento desse controlo;
o Cultura organizacional de controlo de entrada de estranhos.
3. Aplicações Críticas
Exemplo:
Aplicação: CSESAI
Impacto Operacional: Impossibilidade de formar turmas para dar início ao ano
letivo
Impacto Social: Imagem da ESCE perante estudantes e o IPS
Impacto Financeiro: Custos ao nível dos docentes pelo facto de não se
iniciarem as aulas (avaliação do risco)
Tempo máximo de indisponibilidade: 4 dias no início do ano letivo, 1 semana
nos restantes períodos
4. Domínios de Recuperação
• Centro redundante;
• Empresas prestadores de serviços;
• Empresas associadas;
• Empty Shell.
5.2.3 – Desenvolvimento
• Equipa interna;
• Equipa externa;
• Equipa mista.
5.2.4 – Implementação
• Sensibilizar para a importância da definição dos processos de suporto ao
negócio;
• Envolver os colaboradores responsáveis pela a recuperação.
5.2.5 – Testes
• Testar a adequabilidade;
• Periocidade;
• Tipos de testes:
o Reais
o Simulações
• São a melhor garantia da sua funcionalidade e análise da adequabilidade face
aos requisitos.
5.2.6 – Manutenção
• Técnico responsável;
• Política de atualizações permanentes.
5.3.6 – Testes
• Tecnologias de Informação e Comunicação;
• Telecomunicações;
• Áreas a recuperar;
• Backups.
Objetivos
Reflexo no PSI
• Perspetiva sistémica;
• Mudança de atitude dos decisores;
• Planeamento simultâneo;
• Métodos integrados.
Abordagem – Organização
Vantagens da Abordagem
Desvantagem da Abordagem
• Equipa única, mas de maior dimensão dado ter como pressuposto envolver
colaboradores de diferentes domínios de especialização.
Exequibilidade
• Acessibilidade de implementação;
• Adequabilidade à realidade das organizações;
• É fundamental o comprometimento dos decisores;
• Integração da equipa.
Abordagem – PME
2. 17.2 Redundancies
Objective: To ensure availability of information processing
facilities.
• 17.2.1 Availability of information processing facilities
Control Information processing facilities should be
implemented with redundancy sufficient to meet
availability requirements.
1. Âmbito e Aplicabilidade
2. Termos e Definições (2.1 a 2.33)
3. Gestão da Continuidade do Negócio (3.1 a 3.7)
4. Políticas (4.1 a 4.5)
5. Programa (5.1 a 5.5)
6. Organização (6.1 a 6.7)
7. Estratégias da Continuidade (7.1 a 7.10)
8. Desenvolvimento e Implementação (8.1 a 8.7)
9. Manutenção e Revisão (9.1 a 9.5)
10. BCM na cultura da organização (10.1 a 10.3)
2. Normativo de Referência
3. Termos e Definições
• 3.1 a 3.9
4. Estrutura do Standard
5. Background
• A systematic approach to information security risk
management is necessary to identify organizational
needs regarding information security requirements and to
create an effective Information Security Management
System (ISMS).
• Information security risk management should be a
continual process.
7. Contexto
• The context for information security risk management
should be established, which involves setting the basic
criteria necessary for information security risk
management (7.2), defining the scope and boundaries
(7.3), and establishing an appropriate organization
operating the information security risk management (7.4).
9. Tratamento de Riscos
• Controls to reduce, retain, avoid, or transfer the risks
should be selected and a risk treatment plan defined.
Ética
Deontologia
7.2 Ética
• Segundo (Laudon, 2015), refere que a ética é o conjunto de princípios que
estabelece o que é certo ou errado e que os indivíduos, na qualidade de
agentes livres, utilizam para fazer escolhas que orientam o seu
comportamento.
Papel da Ética
Comissão de Ética
Valores da Ética
Enquadramento Legal
Normativo sobre a ética no INPI
• Compliance
o Geralmente e só em ocasiões específicas é que as organizações
solicitavam autorização. O ónus vai passar para as organizações.
Vamos passar a um modelo de autorregulação. Nesse sentido recai sob
as organizações a responsabilidade de interpretar e cumprir o novo
regulamento, no sentido de terem que conseguir provar que o
cumprem, que estão em compliance. E que gerem a questão
internamente, de forma contínua.
• Fase de Diagnóstico
o Analisar o regulamento;
o Identificar os dados que existem na organização;
o Que tratamento que é feito;
o Que tipos de dados existem;
o Para que finalidade;
o Qual o prazo de conservação;
o Perceber quais os fluxos de dados existentes;
o Analisar no que se refere aos fornecedores o acesso aos dados.
• Fase de Revisão
o Rever se há consentimento dos titulares para uso e tratamento dos
dados que já existem;
o Verificar os documentos de consentimento;
o Rever políticas de privacidade e termos de utilização;
o Analisar os contratos com fornecedores e outras entidades
subcontratantes;
o Colocar toda a documentação em cumprimento com o RGPD.
• Fase do DPO
o Perceber se a empresa cumpre os requisitos para NOTA:
ter de nomear um Encarregado de Proteção de
Segundo o RGPD, é obrigatória a
Dados (DPO);
existência de um DPO cuja função é ser
o Nomear um DPO caso seja necessário e envolvê- Encarregado de Proteção de Dados nas
lo no processo de preparação. seguintes organizações:
• Fase de compliance
o Formação aos funcionários;
o Garantir a contínua conformidade com o RGPD;
o Business as usual a partir de 25 de maio de 2018.
Análise de Conformidade
Quem vai fiscalizar esta atividade organizacional?
Implementação do RGPD
Sucesso
Conformidade
Enquadramento legal
• Lei 103/2015 – adita o artigo 45º-A - A Inserção de dados falsos - à Lei 67/98;
• Regulamento (UE) N.º 611/2013 – relativo às medidas aplicáveis à notificação
da violação de dados pessoais em conformidade com a Diretiva 2002/58/CE do
Parlamento Europeu e do Conselho relativa à privacidade e às comunicações
eletrónicas;
• Lei 109/ 2009 - Lei do cibercrime;
• Regulamento (UE) N.º 2016/794, de 11 de maio de 2016.
9. Backups
9.1 – Conceitos
Backup
Desvantagens:
Vantagens:
• Exige maior domínio por parte do responsável, visto que é preciso ter controle
sobre o catálogo dos backups executados;
• Além disso, a recuperação é mais lenta, pois é preciso primeiro restaurar o
último backup full, seguido da sequência de incrementais até o último
realizado.
3- Backup Diferencial
O backup diferencial é similar ao incremental, pois aplica as alterações
executadas após um backup full.
No entanto, copia sempre os dados alterados desde o backup completo.
Para se executar uma recuperação, basta utilizar o último backup full, seguido do
último backup diferencial.
Vantagens:
Desvantagens:
Objetivos da Auditoria
Tipos Auditoria
• Financeira
o Verificar a veracidade das situações financeiras, a adequação das
operações e registos e a qualidade dos controlos internos.
o Tem por objetivo a observação das normas e princípios contabilísticos
vigentes.
• Estratégica
o Avalia os domínios de negócio das organizações e as estratégias
utilizadas para alcançar os objetivos pretendidos.
o Fundamenta-se numa recolha de informação sobre a missão da
organização, capacidades, recursos, mercados-alvo.
• Operacional
o Avaliar a consecução dos objetivos e a economia dos métodos e
procedimentos;
o Identificar irregularidades no sistema operacional.
• Qualidade
o Analisar a conformidade com as ISO;
o As normas ISO 9000 têm proporcionado o desenvolvimento de
sistemas de qualidade;
o As normas definem as exigências a que as organizações devem
atender por forma a atingirem padrões de qualidade.
• Ambiental
o É a mais recente área da Auditoria;
o Examina a analisa os prováveis impactos das organizações face ao
meio ambiente;
o Fornece indicadores aos decisores sobre o desempenho
organizacional, processual e de equipamento relativamente ao
ambiente.
• Tecnológica
o Auditoria em que nos vamos focar e aprofundar mais à frente aqui nesta
cadeira.
• O saber de estar…
o De acordo com a especificidade, cultura, normas e actividades da
organização.
• O saber de ser…
o Como agente de avaliação, de acordo com as exigências técnicas e
pedagógicas da função de auditoria e com o código de ética e
deontologia profissional.
• O saber de fazer…
o Ações de análise, diagnóstico e avaliação de acordo com as
Normas/Standards, técnicas e metodologias que se enquadrem em
princípios de exequibilidade, aplicabilidade e validade.
• O saber de cooperar…
o Com os departamentos e entidades através de recomendações de
aplicabilidade, razoabilidade e exequibilidade válidas em função da
especificidade da organização.
Elementos da Auditoria
• Conteúdo:
o Uma opinião.
• Condição:
o Profissional.
• Justificação:
o Sustentada em procedimentos.
• Objeto:
o A informação obtida nos suportes.
• Finalidade:
o Ser fiável;
o Adequada à realidade;
o Que corresponda às expectativas.
Auditoria e Valor
• Conformidade
o Verificar se a organização está a aderir: à Legislação,
Normas/Standards, e Regulamentos, por forma a que as estratégias
delineadas sejam atingidas.
• Operacionalidade
o Aplica-se a Auditoria Operacional ou de Performance.
o Destina-se a verificar se os recursos da organização são utilizados
adequadamente e com eficácia.
• Garantia de Qualidade
o O processo catalisador é uma validação exterior do bom cumprimento.
o Salienta-se a importância da certificação para as organizações.
Efeito do Processo de Auditoria – impacto da auditoria
• A Curto Prazo:
o As Auditorias de conformidade incidem habitualmente sobre aspetos
imediatos em que a não conformidade constitui um risco sério.
o A ação corretiva é instantânea.
o O efeito financeiro reflete-se dentro do período do exercício.
• A Médio Prazo:
o As Auditorias Operacionais incidem geralmente sobre os ativos.
o As mudanças na utilização ou aquisição de ativos mais eficientes é
geralmente um aspeto de médio prazo.
o São necessários vários períodos contabilísticos para que os efeitos
destas auditorias sejam conhecidos com alguma confiança.
• A Longo Prazo:
o A garantia de qualidade sujeita à revisão do catalizador focaliza a
sobrevivência da organização no longo prazo.
o O relacionamento da organização com os seus clientes e a adesão aos
valores fundamentais da organização.
o A certificação da organização deverá ser um objetivo.
Informação e Auditoria
3. Pós-Auditoria
o Concluída a auditoria, o grupo auditor emite um relatório detalhado das
suas atividades:
▪ Objeto da auditoria;
▪ Áreas abrangidas;
▪ Factos identificados;
▪ Ações recomendadas;
▪ Avaliação global do ambiente auditado.
Equipas
• Externa
o Realizada por entidades que não pertencem à organização auditada;
o Permite maior objetividade;
o Entidade imparcial que permite credibilizar a informação.
• Interna
o Realizada com os recursos internos da organização;
o Tem como principal objetivo apoiar a gestão nas suas atividades
organizacionais;
o Deve colaborar nas auditorias externas.
o Salienta-se: Maior dificuldade em ter funções de avaliação independente
e Maior dificuldade em propor medidas.
Auditoria Interna
Principais funções da auditoria interna são:
1. Assegurar a Segurança da Informação;
2. Avaliar o cumprimento das diretivas globais;
3. Assegurar a existência dos ativos da organização;
4. Gerir a eficiência da utilização dos recursos;
5. Verificar a consecução dos objetivos e metas previamente definidos.
Metodologias utilizadas pela auditoria interna:
Auditoria Tecnológica
o Controlos Específicos:
▪ Analisar os tipos de acesso ao sistema;
▪ Definição de perfis de utilizadores;
▪ Atribuição de espaço a cada utilizador;
▪ Definir criteriosamente o tipo de informação a que cada
utilizador terá acesso;
▪ Estabelecer mecanismos de controlo;
▪ Estabelecer mecanismos de reposição da informação.
• Disponibilidade;
• Integridade;
• Confidencialidade;
• Autenticação;
• Responsabilização;
• Auditabilidade.
O Auditor de SI/TIC não deve, contudo, descurar a análise de viabilidade da
utilização de outros critérios relevantes dos quais se salientam:
• ISO/IEC 27001:2013
• NP EN ISO 19011:2003
• ISO 19011:2011
ISO/IEC 27001:2013
o Termos e Definições
▪ Para os fins da presente Norma Internacional, são aplicáveis os
termos e definições dados na ISO 9000 e ISO 14050.
▪ Termos definidos do 3.1 ao 3.14.
o Princípios de Auditoria
▪ Conduta ética
▪ Apresentação imparcial
▪ Devido cuidado profissional
▪ Independência
▪ Abordagem baseada em evidências
o Atividades de Auditoria
▪ Generalidades
▪ Início da auditoria
▪ Condução da revisão de documentos
▪ Preparação para as atividades da auditoria no local
▪ Execução da auditoria
▪ Preparação, aprovação e distribuição do relatório da auditoria
▪ Fecho da auditoria
▪ Seguimento da auditoria
o Competência e Avaliação de Auditores
▪ Generalidades
▪ Atributos pessoais
▪ Conhecimentos e competências
▪ Escolaridade, experiência profissional, formação como auditor e
experiência em auditorias
▪ Manutenção e melhoria da competência
▪ Avaliação de auditores
ISO/IEC 19011:2011