www.portalgsti.com.

br

Projeto em Segurança da
Informação
Adaptado de um case de diagnóstico em gestão de S.I.
por Fernando Palma e Marcelo Gaspar
Objetivos

Abordar os benefícios e objetivos da gestão da

Segurança da Informação na prática

Apresentar o planejamento do projeto de Segurança

da Informação

www.portalgsti.com.br
Agenda

Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Agenda

Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação da Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Agenda

Equipe do projeto
Segurança da Informação – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
No mundo
Incidentes em Segurança da Informação – no mundo

Ataques
Vazamento de informações

www.estado.com.br
Vazamento de informações

Deixou vazar a informação..

Perda / indisponibilidade da informação

www.computerworld.com.br
No Brasil
Incidentes em Segurança da Informação – no Brasil

Ataques

Globo.com – Junho 2011

Ataques
Ataques
Incidentes em Segurança da Informação – no Brasil

Malwares (software malicioso)

Globo.com
Vazamento de Informações

www.estado.com.br
Vazamento de Informações

www.globo.com
Vazamento de Informações
Perda / indisponibilidade da informação
Perda / indisponibilidade da informação
Incidentes em Segurança da Informação – Saúde
Vazamento de Informações
Indisponibilidade da informação
Ataques
Ataques

www.idgnow.com.br
Agenda

Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Segurança da Informação na prática

Segurança da Informação

É a proteção da informação contra O que é?

diversos tipos de ameaças

Obtida a partir de um conjunto de controles Como?

Maximizar
Garantir a Minimizar o Qual o
Retorno
Continuidade risco ao sobre
Oportunida objetivo?
des de
ao Negócio negócio investiment
negócio
os
Pilares da Segurança da Informação
Segurança da Informação – Pilares da S.I.

Somente pessoas autorizadas terão acesso às

informações.
Confidencialidade

As informações manipuladas devem manter

Integridade todas as características originais estabelecidas
pelo proprietário da informação.

A informação deve estar disponível, sempre

Disponibilidade que necessário, quando requisitada por
pessoas autorizadas.

Ainda: Autenticidade e Não Repúdio

Segurança da Informação – Pilares da S.I.

Exemplos
a) Informações de prontuários do paciente devem ser
visualizadas apenas pelo médico responsável.
Confidencialidade
b) Informações sobre as Reuniões Estratégicas são
limitadas aos participantes.

Nível de integridade das informações de: a)Relatórios

de glosa b) Informações do paciente
Integridade
c) Indicação de OPME padronizada não padronizada
c) Medicamentos prescritos para pacientes UTI

Nível de disponibilidade de: a) Relatório financeiro no

fim do mês b) Prontuário do paciente c) Documentos
Disponibilidade dos profissionais no RH (carteira de trabalho,
diploma) d) informações pessoais sobre visitantes. e)
informações do controle de estoque
Impacto de incidentes de segurança: exemplos
 Segurança da Informação – casos reais incidentes de S.I.

Impacto na falta de...

Confidencialidade

Integridade

Disponibilidade

“A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço
das informações foi constatado na madrugada de quinta-feira, quando seria
Da informação feito um back-up dos dados dos servidores.”
 Confidencialidade

“A decisão regional acrescentou que a enfermeira fez uso das cópias dos
prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja,
violou segredo profissional em duas oportunidades, e que o fato de não ter
recebido punições disciplinares anteriores não impediria a aplicação da justa
causa.” http://www.tst.jus.br/
Integridade
Segurança da Informação –impactos gerais de incidentes de S.I.

Impacto na...
Processos Judiciais Perdas financeiras

Confidencialidade
Exposição Não conformidade

Perda de vida Tomada de decisão

Perdas financeiras
humana errada

Integridade
Impacto na saúde do Impacto na imagem
paciente da empresa

Perda de vida Tomada de decisão

Perdas financeiras
Disponibilidade humana errada

Baixa performance ou até indisponibilidade

Da informação Não conformidade dos processos de negócio: atendimento,
internação, ambulatorial.
Do que devemos proteger?
Segurança da Informação - ameaças

Ameaças físicas
Incêndio
Enchentes
Acesso indevido de pessoas
Problemas elétricos

Ameaças Tecnológicas
Vírus
Bugs de Software
Indisponibilidade de rede

Ameaças Humanas
Sabotagem
Fraude
Negligência
Ameaças são mais comuns do que imaginamos...

“Um grande erro nas organizações é pressupor que pessoas sensatas

fazem coisas sensatas.” (Mintzberg, 2010)
Conclusão: adoção de controles como forma de
gerenciar os riscos
Segurança da Informação na prática

Segurança da Informação

É a proteção da informação contra O que é?

diversos tipos de ameaças

Obtida a partir de um conjunto de controles Como?

Maximizar
Garantir a Minimizar o Qual o
Retorno
Continuidade risco ao sobre
Oportunida objetivo?
des de
ao Negócio negócio investiment
negócio
os
Segurança da Informação – controles

Controles

Procedimentos/

organizacionais
Processos

Estruturas
Políticas

Normas O que são?

Práticas
Devem ser

Estabelecidos Implementados Como?

Melhorados Monitorados

Avaliados criticamente
Segurança da Informação - controles

Controles

Procedimentos/

organizacionais
Processos

Estruturas
Políticas

Normas

Práticas
Uma política define um resultado esperado. São intenções e diretrizes
formalmente expressas pela direção
Exemplos:
Política de mesa limpa
Política de acesso ao centro cirúrgico
Política de Licenciamento de Software
Segurança da Informação - controles

Controles

Procedimentos/

organizacionais
Processos

Estruturas
Políticas

Normas

Práticas
Normas estabelecem obrigações e procedimentos definidos de acordo com as
diretrizes da Política. O procedimento instrumentaliza o disposto nas normas.
Norma de controle de acesso a instituição: catraca,
identificação de visitantes
Procedimento de identificação de visitantes: cadastro de
nome, RG, departamento a visitar, etc.
Procedimentos para contabilidade e balanço
Segurança da Informação - controles

Controles

Procedimentos/

organizacionais
Processos

Estruturas
Políticas

Normas

Práticas
Processo de Gestão da Continuidade de Negócio.
Adaptações em processos. Ex: internação de pacientes
Processo de análise contínua de riscos de SI
Segurança da Informação - controles

Controles

Procedimentos/

organizacionais
Processos

Estruturas
Políticas

Normas

Práticas
Funções e papeis
Escritório de Segurança da Informação
Comitê de Segurança da Informação
Departamento de segurança coorporativa
Segurança da Informação - controles

Controles

Procedimentos/

organizacionais
Processos

Estruturas
Políticas

Normas

Práticas
Ações cotidianas ou ocasionais
Conscientização e capacitação em S.I. para todos profissionais
Documentação da política da Segurança da Informação (faz
parte do escopo deste projeto).
Agenda

Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Escopo da norma ISO 27002
 Introdução ao projeto - metodologia
Seção
1) Política de segurança da
informação
2) Organizando a S.I.
3) Gestão de Ativos
4) Segurança em recursos
humanos
5) Segurança Física e do Ambiente (...)
6) Gerenciamento de operações
7) Controle de Acesso
8) Aquisição, desenvolvimento e
manutenção de sistemas
9) Gestão de Incidentes de SI
10) Gestão de Continuidade
11) Conformidade
Alguns controles
(...) “documento da política de segurança da informação”(...)
“Convém que a política de segurança da informação seja
analisada criticamente”
(...) ” Convém que a direção apoie ativamente a segurança
da informação” (...) “Convém que sejam mantidos acordos
de confidencialidade” (...)
(...)” Convém que a organização identifique todos os ativos
e documente a importância destes ativos.” (...)
(...) ”Convém que exista um processo disciplinar para os
funcionários que tenham cometido uma violações.”
(...)
(...)
(...)
(...)
(...)
(...)
Introdução ao projeto - metodologia

Exemplos de controles aplicáveis

Controle de acessos:
• Implantação de catracas / identificação de colaboradores e
visitantes.
• Identificar autores de possíveis incidentes, assim como
mitigá-los
Segurança em Recursos Humanos:
• Na contratação: Solicitar antecedentes criminais para áreas
que necessitem. Solicitar comprovação por diploma para
cargos de nível superior
• Possíveis impactos: incidentes intencionais ou por
imprudência.
Agenda

Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Escopo do Projeto

Diagnóstico e Plano de ação

em Segurança da Informação

Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação

Já executado

A executar
Escopo do Projeto

Diagnóstico e Plano de ação

em Segurança da Informação

Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação
Escopo do Projeto

Planejamento Entrega prevista

Conduzir reuniões de planejamento
Plano Global do Projeto
Estudo inicial da organização
Levantamento de histórico Escopo do trabalho
Cronograma
Elaboração do plano global do Riscos previstos
projeto Detalhes sobre as entregas
Visitas preliminares Plano que está sendo apresentado
Conduzir palestras iniciais neste instante

Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do

projeto
Datas previstas: 29/07 a 09/08
Escopo do Projeto

Diagnóstico e Plano de ação

em Segurança da Informação

Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação

Processo de Análise da Situação atual

Escopo do Projeto

Processo de Análise da Situação atual

Fase de Diagnóstico
Fase de Planejamento

4) Análise de
1) Análise 3) Visitas dados e
2) Entrevistas
preliminar técnicas elaboração
de relatórios

Plano de Ação

Política de Segurança
da Informação
Escopo do projeto – análise preliminar e entrevistas

Fase de diagnóstico
Fase de Planejamento
Entrevistas
com
coordenadores
1) Análise Visita inicial
2) Entrevistas
preliminar
Detecção de
riscos de SI

Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em

segurança com o apoio do líder do comitê gestor (cliente)
Datas previstas:
Escopo do projeto – Visitas técnicas

Fase de diagnóstico Obter informações que

Colher de evidencias contribuam com a análise
necessárias para de impacto para
diagnósticos realizados controles não
identificados;
3) Visitas
técnicas

Análise dos riscos de SI

Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do

comitê gestor (cliente)
Datas previstas:
Escopo do projeto – Relatórios de diagnóstico
Entrega prevista
Fase de diagnóstico
Relatório de Análise da Situação Atual
Controles avaliados;
4) Análise de Ameaças e consequentes riscos
dados e Avaliação dos processos relacionados
elaboração recurso humanos e responsabilidades
de relatórios Lista, classificação e prioridade dos riscos
Recomendações.

Apresentação
Data prevista: prevista:
Escopo do Projeto

Diagnóstico e Plano de ação

em Segurança da Informação

Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação
 Escopo do projeto – Plano de Ação
Entrega prevista
Entrega prevista
Plano de Ação
Política de Segurança
Lista e detalhamento das
Objetivos, aplicações,
recomendações
princípios
Categorização das
Elaboração Responsabilidades Elaboração
do Plano de recomendações
Gestão de recursos da Política
Ação Recomendações a curto,
Humanos, Segurança de S.I.
médio e longo prazo
Física, gerenciamento
Responsabilidades,
de operações, controle
esforços, instrumentos
de acesso, gestão de
Estrutura e ambiente
incidentes,
previstos
conformidade, entre
outros itens.
Data prevista: Data prevista:
Provisão apresentação:
Previsão apresentação:
Agenda

Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto
Introdução
Escopo e Andamento
Fim