Escolar Documentos
Profissional Documentos
Cultura Documentos
br
Projeto em Segurança da
Informação
Adaptado de um case de diagnóstico em gestão de S.I.
por Fernando Palma e Marcelo Gaspar
Objetivos
www.portalgsti.com.br
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação da Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Agenda
Equipe do projeto
Segurança da Informação – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
No mundo
Incidentes em Segurança da Informação – no mundo
Ataques
Vazamento de informações
www.estado.com.br
Vazamento de informações
www.computerworld.com.br
No Brasil
Incidentes em Segurança da Informação – no Brasil
Ataques
Globo.com
Vazamento de Informações
www.estado.com.br
Vazamento de Informações
www.globo.com
Vazamento de Informações
Perda / indisponibilidade da informação
Perda / indisponibilidade da informação
Incidentes em Segurança da Informação – Saúde
Vazamento de Informações
Indisponibilidade da informação
Ataques
Ataques
www.idgnow.com.br
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Segurança da Informação na prática
Segurança da Informação
Maximizar
Garantir a Minimizar o Qual o
Retorno
Continuidade risco ao sobre
Oportunida objetivo?
des de
ao Negócio negócio investiment
negócio
os
Pilares da Segurança da Informação
Segurança da Informação – Pilares da S.I.
Exemplos
a) Informações de prontuários do paciente devem ser
visualizadas apenas pelo médico responsável.
Confidencialidade
b) Informações sobre as Reuniões Estratégicas são
limitadas aos participantes.
Confidencialidade
Integridade
Disponibilidade
“A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço
das informações foi constatado na madrugada de quinta-feira, quando seria
Da informação feito um back-up dos dados dos servidores.”
Confidencialidade
“A decisão regional acrescentou que a enfermeira fez uso das cópias dos
prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja,
violou segredo profissional em duas oportunidades, e que o fato de não ter
recebido punições disciplinares anteriores não impediria a aplicação da justa
causa.” http://www.tst.jus.br/
Integridade
Segurança da Informação –impactos gerais de incidentes de S.I.
Impacto na...
Processos Judiciais Perdas financeiras
Confidencialidade
Exposição Não conformidade
Integridade
Impacto na saúde do Impacto na imagem
paciente da empresa
Ameaças físicas
Incêndio
Enchentes
Acesso indevido de pessoas
Problemas elétricos
Ameaças Tecnológicas
Vírus
Bugs de Software
Indisponibilidade de rede
Ameaças Humanas
Sabotagem
Fraude
Negligência
Ameaças são mais comuns do que imaginamos...
Segurança da Informação
Maximizar
Garantir a Minimizar o Qual o
Retorno
Continuidade risco ao sobre
Oportunida objetivo?
des de
ao Negócio negócio investiment
negócio
os
Segurança da Informação – controles
Controles
Procedimentos/
organizacionais
Processos
Estruturas
Políticas
Práticas
Devem ser
Melhorados Monitorados
Avaliados criticamente
Segurança da Informação - controles
Controles
Procedimentos/
organizacionais
Processos
Estruturas
Políticas
Normas
Práticas
Uma política define um resultado esperado. São intenções e diretrizes
formalmente expressas pela direção
Exemplos:
Política de mesa limpa
Política de acesso ao centro cirúrgico
Política de Licenciamento de Software
Segurança da Informação - controles
Controles
Procedimentos/
organizacionais
Processos
Estruturas
Políticas
Normas
Práticas
Normas estabelecem obrigações e procedimentos definidos de acordo com as
diretrizes da Política. O procedimento instrumentaliza o disposto nas normas.
Norma de controle de acesso a instituição: catraca,
identificação de visitantes
Procedimento de identificação de visitantes: cadastro de
nome, RG, departamento a visitar, etc.
Procedimentos para contabilidade e balanço
Segurança da Informação - controles
Controles
Procedimentos/
organizacionais
Processos
Estruturas
Políticas
Normas
Práticas
Processo de Gestão da Continuidade de Negócio.
Adaptações em processos. Ex: internação de pacientes
Processo de análise contínua de riscos de SI
Segurança da Informação - controles
Controles
Procedimentos/
organizacionais
Processos
Estruturas
Políticas
Normas
Práticas
Funções e papeis
Escritório de Segurança da Informação
Comitê de Segurança da Informação
Departamento de segurança coorporativa
Segurança da Informação - controles
Controles
Procedimentos/
organizacionais
Processos
Estruturas
Políticas
Normas
Práticas
Ações cotidianas ou ocasionais
Conscientização e capacitação em S.I. para todos profissionais
Documentação da política da Segurança da Informação (faz
parte do escopo deste projeto).
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Escopo da norma ISO 27002
Introdução ao projeto - metodologia
Seção Alguns controles
1) Política de segurança da (...) “documento da política de segurança da informação”(...)
informação “Convém que a política de segurança da informação seja
analisada criticamente”
2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança
da informação” (...) “Convém que sejam mantidos acordos
de confidencialidade” (...)
3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos
e documente a importância destes ativos.” (...)
4) Segurança em recursos (...) ”Convém que exista um processo disciplinar para os
humanos funcionários que tenham cometido uma violações.”
5) Segurança Física e do Ambiente (...)
6) Gerenciamento de operações (...)
7) Controle de Acesso (...)
8) Aquisição, desenvolvimento e (...)
manutenção de sistemas
9) Gestão de Incidentes de SI (...)
10) Gestão de Continuidade (...)
11) Conformidade (...)
Introdução ao projeto - metodologia
Controle de acessos:
• Implantação de catracas / identificação de colaboradores e
visitantes.
• Identificar autores de possíveis incidentes, assim como
mitigá-los
Segurança em Recursos Humanos:
• Na contratação: Solicitar antecedentes criminais para áreas
que necessitem. Solicitar comprovação por diploma para
cargos de nível superior
• Possíveis impactos: incidentes intencionais ou por
imprudência.
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
Escopo do Projeto
Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação
Já executado
A executar
Escopo do Projeto
Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação
Escopo do Projeto
Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação
Fase de Diagnóstico
Fase de Planejamento
4) Análise de
1) Análise 3) Visitas dados e
2) Entrevistas
preliminar técnicas elaboração
de relatórios
Plano de Ação
Política de Segurança
da Informação
Escopo do projeto – análise preliminar e entrevistas
Fase de diagnóstico
Fase de Planejamento
Entrevistas
com
coordenadores
1) Análise Visita inicial
2) Entrevistas
preliminar
Detecção de
riscos de SI
Apresentação
Data prevista: prevista:
Escopo do Projeto
Elaboração da
Planejamento Avaliação da Elaboração do Política de
do Projeto Situação atual Plano de Ação Segurança da
Informação
Escopo do projeto – Plano de Ação
Entrega prevista
Entrega prevista
Plano de Ação
Política de Segurança
Lista e detalhamento das
Objetivos, aplicações,
recomendações
princípios
Categorização das
Elaboração Responsabilidades Elaboração
do Plano de recomendações
Gestão de recursos da Política
Ação Recomendações a curto,
Humanos, Segurança de S.I.
médio e longo prazo
Física, gerenciamento
Responsabilidades,
de operações, controle
esforços, instrumentos
de acesso, gestão de
Estrutura e ambiente
incidentes,
previstos
conformidade, entre
outros itens.
Data prevista: Data prevista:
Provisão apresentação:
Previsão apresentação:
Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto
Introdução
Escopo e Andamento
Fim