GESTAO DE SEGURANÇA DA

INFORMAÇ A ̃ O

Prof. Msc Marcelo Lau

 PROF. MSC. MARCELO LAU

Prof. Msc. Marcelo Lau

E-mail: marcelo.lau@datasecurity.com.br

Diretor executivo da Data Security no Brasil. Atuou mais de 12

anos em bancos brasileiros em Segurança da Informação e
Prevenção à Fraude. Atualmente coordena e ministra aulas de
pós-graduação na FIAP, ministra aulas no IPOG, IBG e outras
instituições de ensino pelo Brasil. Ministrou aulas na
FEBRABAN, Universidade Presbiteriana Mackenzie e
FATEC/SP. Coordenou o curso de Gestão em Segurança da
Informação e Gerenciamento de Projetos no SENAC/SP. É
Engenheiro eletrônico da EEM com pós graduação em
administração pela FGV, mestre em ciência forense pela
POLI/USP e pós graduado em comunicação e arte pelo SENAC-
SP. Ministra cursos e palestras em países como: Angola,
Argentina, Colômbia, Bolívia, Peru e Paraguai. É reconhecido
pela imprensa nacional e estrangeira contando com palestras a
atuação consultiva em vários países do mundo.
 CONTEXTO ATUAL

 Empresas perdem milhões de dólares com

danos em computadores todos os anos.

 Grandes companhias gastam milhares de

dólares em segurança de sistemas.

 Horas de indisponibilidade tiram a confiança de

consumidores.

 Ameaças como cavalos de Tróia atingem não

só máquinas mas usuários domésticos que
também apresentam prejuízos financeiros.
 ISO 27000

Termos e Definições
• Ativo.
• Disponibilidade.
• Confidencialidade.
• Segurança da informação.
• Evento de segurança da informação.
• Incidente de segurança da informação.
• Sistema de gestão da segurança da informação.
• Integridade.
• Risco residual.
• Aceitação do risco.
• Análise de riscos.
• Análise/avaliação de riscos.
• Avaliação de riscos.
• Gestão de riscos.
CARREIRA PROFISSIONAL EM SEGURANÇA
DA INFORMAÇÃO
 CONCEITOS BÁSICOS

 A Informação:
– A Informação é um ativo que, como qualquer
outro importante para os negócios, tem um
valor para a organização e consequentemente
necessita ser adequadamente protegida.
– A informação pode existir de diversas formas:
» Impressa.
» Escrita.
» Papel.
» Armazenada eletronicamente.
» Transmitida pelo correio.
» Mostrada em filmes.
» Falada em conversas.
» Apresentada / transmitida / armazenada /
compartilhada.
 CONCEITOS BÁSICOS

 Segurança da Informação:
– A Segurança da Informação protege a Informação de diversas ameaças
para garantir a continuidade dos negócios, a integridade e a
disponibilidade da mesma.
– Visa minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.
 PILARES BÁSICOS DA SEGURANÇA

 Confidencialidade:
– Propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou
processos não autorizados.
– Tem o objetivo de garantir que apenas pessoas
autorizadas tenham acesso à informação. Essa
garantia deve ser obtida em todos os níveis, desde
a geração da informação, passando pelos meios de
transmissão, chegando a seu destino e sendo
devidamente armazenada ou, se for necessário,
destruída sem possibilidade de recuperação.
– Esse processo tende a ser mais dispendioso,
quanto maior for a necessidade de proteção da
informação e, é claro, quanto maior for o valor da
informação a ser protegida. Modernos processos
de criptografia aliados a controles de acesso, são
necessários nessa etapa.
 PILARES BÁSICOS DA SEGURANÇA

 Integridade:
– Propriedade de salvaguarda da exatidão e estado completo
dos ativos.
» Ao falarmos de integridade de dados, podemos
citar alguns exemplos que podem e ajudam a
garanti-la:
– Firewalls.
– Sistema Gerenciador de Banco de Dados (SGDB).
– Revisão regular de privilégio aos dados.
– Criptografia.
– Controle na prevenção de corrupção de dados.
– Conformidade (Compliance).
– Fácil recuperação de dados.
– Tempo de resposta dos sistemas (performance).
– Integração com os sistemas de armazenamento
(discos, fitas).
– Tráfego dos dados pela rede.
 PILARES BÁSICOS DA SEGURANÇA

 Disponibilidade:
– Propriedade de estar acessível e utilizável sob demanda por uma entidade
autorizada.
– Garantir que a informação sempre poderá ser acessada quando for necessário.
Esse objetivo é conseguido através da continuidade de serviço dos meios
tecnológicos, envolvendo políticas de backup, redundância e segurança de
acesso. De nada adianta ter uma informação confiável e íntegra se ela não está
acessível quando solicitada.
 HISTÓRICO DA SEGURANÇA DA
INFORMAÇÃO
 1992 - Código de Prática do
Gerenciamento de Segurança da
Informação (UK)

 1999 – Revisão da BS7799

 2001 – ISO 17799 toolkit

 2002 –BS7799-2

 2000 – ISO 17799

 1995 – BS7799 (BSI)

 British Standards
Institute
 HISTÓRICO DA SEGURANÇA DA
INFORMAÇÃO

 2005 – Nova versão da ISO 17799 ;e

publicada, alinhada à BS7799-2

 2008 –
NBR ISO/IEC
 2005 – NBR ISO/IEC 17799:2005 27005:2008
 2006 – BS7799-3 (Riscos)

 2006 – NBR ISO/IEC 27001:2006

 HISTÓRICO DA SEGURANÇA DA
INFORMAÇÃO
 2009 – ISO 27011 é lançada, ISO 27002
aplicada a empresas de TI

 2010 – NBR ISO/IEC 27004:2010 –  2013 – Revisão das

Métricas de um SGSI normas ISO 27001 e
27002
 Publicação da ABNT
NBR ISO/IEC 27037
– Forense

 Publicação da ABNT
NBR ISO/IEC 27014
– Governança de
segurança da
Informação
 SEGURANÇA DA INFORMAÇÃO NO
BRASIL
 Normas traduzidas pela ABNT:

– NBR ISO/IEC 27001:2013 – Tecnologia da

Informação – Sistemas de Gestão de segurança da
Informação – Requisitos. ABNT 2013

– NBR ISO/IEC 27002:2013 – Tecnologia da

Informação – Técnicas de Segurança – Código de
Prática para controles de segurança da informação
(Cancela e substitui a edição anterior ABNT NBR
ISO/IEC 27002:2005)

– NBR ISO/IEC 27003:2011 – Tecnologia da

informação — Técnicas de segurança — Diretrizes
para implantação de um sistema de gestão da
segurança da informação
 SEGURANÇA DA INFORMAÇÃO NO
BRASIL
 Normas traduzidas pela ABNT:

– NBR ISO/IEC 27004:2010 – Tecnologia da

informação — Técnicas de segurança — Gestão da
segurança da informação — Medição

– NBR ISO/IEC 27005:2008 – Tecnologia da

informação - Técnicas de segurança - Gestão de
riscos de segurança da informação.

– NBR ISO/IEC 27007:2012 – Diretrizes para auditoria

de sistemas de gestão da segurança da informação.
(Complementação da ISO 19011).
 SEGURANÇA DA INFORMAÇÃO NO
BRASIL
 Normas traduzidas pela ABNT:

– NBR ISO/IEC 27011:2009 – Tecnologia da

informação - Técnicas de segurança - Diretrizes para
gestão da segurança da informação para
organizações de telecomunicações baseadas na
ABNT NBR ISO/IEC 27002:2009

– NBR ISO/IEC 27014:2013 – Tecnologia da

Informação - Técnicas de Segurança - Governança
de segurança da informação. ABNT 2013

– NBR ISO/IEC 27037:2013 – Tecnologia da

informação - Técnicas de segurança - Diretrizes para
identificação, coleta, aquisição e preservação de
evidência digital. ABNT 2013
 REQUISITOS GERAIS
 Sistema de Gestão de Segurança da
Informação
– Escopo:
» Atividades de negócio globais da organização.
» Riscos enfrentados pela organização.

– Modelo (PDCA):
» Plan (Planejar).
– Estabelecer o SGSI.
» Do (Fazer).
– Implementar e operar o SGSI.
» Check (Verificar).
– Monitorar e revisar criticamente o SGCI.
» Act (Agir).
– Manter e melhorar o SGSI.
 MODELO PDCA

Estabelecer
o SGSI
Plan
(Planejar)

SGSI
Implementar Manter e
e operar o melhorar o
SGSI SGSI
Do Act
(Fazer) (Agir)

Expectativas Check
e requisitos Segurança da
(Verificar)
da segurança Informação
da informação Monitorar e gerenciada
analisar
criticamente
o SGSI
 MODELO PDCA
 Plan (Planejar).
– Estabelecer a política, objetivos, processos e procedimentos
do SGSI, relevantes para a gestão de riscos e a melhoria da
segurança da informação para produzir resultados de
acordo com as políticas e objetivos globais de uma
organização.
 MODELO PDCA
 Do (Fazer).
– Implementar e operar a política, controles, processos e
procedimentos do SGSI.
– Envolve a execução do planejamento da fase anterior.
 MODELO PDCA
 Check (Verificar).
– Avaliar e, quando aplicável, medir o desempenho de um
processo frente à política, objetivos e experiência prática do
SGSI e apresentar os resultados para a análise crítica pela
direção.
 MODELO PDCA
 Act (Agir).
– Executar as ações corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da análise crítica
realizada pela direção e/ou outra fonte de informação
pertinente (Ex: Auditoria Externa) , para alcançar melhoria
contínua do SGSI.
 CONTEXTO DA ORGANIZAÇÃO

 Entendendo a organização e seu

contexto.

 Entendendo as necessidades e as
expectativas das partes interessadas.

 Definir o escopo e os limites do SGSI.

 LIDERANÇA

 Liderança e comprometimento.

 Política.

 Autoridades, responsabilidades e papéis

organizacionais.
 PLANEJAMENTO

 Avaliação de riscos de segurança da

informação.

 Tratamento de riscos de segurança da

informação.

 Objetivo de segurança da informação e

planejamento para alcançá-los.
 APOIO

 Recursos.

 Conscientização.

 Comunicação.

 Informação documentada.
 OPERAÇÃO

 Planejamento operacional e controle.

 Avaliação de riscos de segurança da

informação.

 Tratamento de riscos de segurança da

informação.
 AVALIAÇÃO DO DESEMPENHO

 Monitoramento, medição, análise e avaliação.

 Auditoria interna.

 Análise crítica pela Direção.

 MELHORIA

 Não conformidade e ação corretiva.

 Melhoria contínua.
 ISO 27001

No Sistema de Gestão de Segurança

da Informação a Organização deve:
• Estabelecer.
• Implementar.
• Operar.
• Monitorar.
• Analisar Criticamente.
• Manter.
• Melhorar...

• A Segurança da Informação.
 OBJETIVOS DE CONTROLE E
CONTROLES

 Os objetivos de controle e controles

são derivados diretamente e estão
alinhados com aqueles listados na
ABNT NBR/IEC 17799:2005 – Seções
de 5 a 15.

 Esta Norma (27002:2013) contém 14

seções de controles de segurança
de um total de 35 objetivos de
controles e 114 controles.
 SEÇÕES DA ISO 27002

A.5. Política de Segurança.

 Orientação da direção para segurança

da informação:

– Documento da política de segurança

da informação.

– Análise crítica da política de

segurança da informação.
 SEÇÕES DA ISO 27002

A.6. Organização da Segurança da Informação.

 Infraestrutura da Segurança da Informação:

– Responsabilidades e papéis pela

segurança da informação.
– Segregação de funções.
– Contato com autoridades.
– Contato com grupos especiais.
 SEÇÕES DA ISO 27002

A.6. Organização da Segurança da Informação.

 Segurança da informação no
gerenciamento de projetos:

 Dispositivos móveis e trabalho remoto:

– Política para o uso de dispositivo móvel.

– Trabalho remoto.
 SEÇÕES DA ISO 27002

A.7. Segurança em recursos humanos.

Antes da contratação:

– Seleção.

– Termos e condições de contratação.

 SEÇÕES DA ISO 27002

A.7. Segurança em recursos humanos.

Durante a contratação:

– Responsabilidades da Direção.

– Conscientização, educação e
treinamento em segurança da
informação.

– Processo disciplinar.
 SEÇÕES DA ISO 27002

A.7. Segurança em recursos humanos.

Encerramento e mudança da contratação:

– Responsabilidades pelo encerramento

ou mudança da contratação.
 SEÇÕES DA ISO 27002

A.8. Gestão de ativos.

Responsabilidade pelos ativos:

– Inventário dos ativos.

– Proprietário dos ativos.

– Uso aceitável dos ativos.

– Devolução de ativos.
 SEÇÕES DA ISO 27002

A.8. Gestão de ativos.

Classificação da Informação:

– Classificação da informação.

– Rótulos e tratamento da informação.

– Tratamento dos ativos.

 SEÇÕES DA ISO 27002

A.8. Gestão de ativos.

Tratamento de mídias:

– Gerenciamento de mídias removíveis.

– Descarte de mídias.

– Transferência física de mídias.

 SEÇÕES DA ISO 27002

A.9. Controle de acesso.

Requisitos do negócio para controle de

acesso:

– Política de controle de acesso.

– Acesso às redes e aos serviços de rede.

 SEÇÕES DA ISO 27002

A.9. Controle de acesso.

Gerenciamento de acesso do usuário:

– Registro e cancelamento de usuário.

– Provisionamento para acesso de usuário.

– Gerenciamento de direitos de acesso privilegiados.

– Gerenciamento da informação de autenticação

secreta de usuários.

– Análise crítica dos direitos de acesso de usuário.

– Retirada ou ajuste dos direitos de acesso.

 SEÇÕES DA ISO 27002

A.9. Controle de acesso.

Responsabilidade dos usuários:

– Uso da informação de autenticação secreta.

 SEÇÕES DA ISO 27002
A.9. Controle de acesso.

Controle de acesso ao sistema e à aplicação:

– Restrição de acesso à informação.

– Procedimentos seguros de entrada no sistema

(log-on).

– Sistema de gerenciamento de senha.

– Uso de programas utilitários privilegiados.

– Controle de acesso ao código-fonte de

programas.
 SEÇÕES DA ISO 27002

A.10. Criptografia.

Controles criptográficos:

– Política para o uso de controles

criptográficos.

– Gerenciamento de chaves.
 SEÇÕES DA ISO 27002
A.11. Segurança física e do ambiente.

Áreas seguras:

– Perímetro de segurança física.

– Controles de entrada física.

– Segurança em escritórios, salas e instalações.

– Proteção contra ameaças externas e do meio

ambiente.

– Trabalhando em áreas seguras.

– Áreas de entrega e carregamento.

 SEÇÕES DA ISO 27002

A.11. Segurança física e do ambiente.

Equipamento:

– Localização e proteção do equipamento.

– Utilidades.
– Segurança do cabeamento.
– Manutenção dos equipamentos.
– Remoção de ativos.
– Segurança de equipamentos e ativos fora
das dependências da organização.
– Reutilização ou descarte seguro de
equipamentos.
– Equipamento de usuário sem monitoração.
– Política de mesa limpa e tela limpa.
 SEÇÕES DA ISO 27002

A.12. Segurança nas operações.

Responsabilidades e procedimentos
operacionais:

– Documentação dos procedimentos de operação.

– Gestão de mudanças.

– Gestão de capacidade.

– Separação dos ambientes de desenvolvimento,

teste e de produção.
 SEÇÕES DA ISO 27002

A.12. Segurança nas operações.

Proteção contra malwares:

– Controles contra malwares.

Cópias de segurança:

– Cópias de segurança das informações.

 SEÇÕES DA ISO 27002
A.12. Segurança nas operações.

Registro e monitoramento:

– Registro de eventos.

– Proteção das informações dos registros de

eventos (logs).

– Registro de eventos (log) de administrador e

operador.

– Sincronização dos relógios.

 SEÇÕES DA ISO 27002

A.12. Segurança nas operações.

Controle de software operacional:

– Instalação de software nos sistemas

operacionais.

Gestão de vulnerabilidades técnicas:

– Gestão de vulnerabilidades técnicas.

– Restrições quanto à instalação de software.

 SEÇÕES DA ISO 27002

A.12. Segurança nas operações.

Considerações quanto à auditoria de

sistemas da informação:

– Controles de auditoria de sistemas de

informação.
 SEÇÕES DA ISO 27002

A.13. Segurança nas comunicações.

Gerenciamento da segurança em redes:

– Controle de redes.

– Segurança dos serviços de rede.

– Segregação de redes.
 SEÇÕES DA ISO 27002

A.13. Segurança nas comunicações.

Transferência de informação:

– Políticas e procedimentos para transferência

de informações.

– Acordos para transferência de informações.

– Mensagens eletrônicas.

– Acordos de confidencialidade e não

divulgação.
 SEÇÕES DA ISO 27002

A.14. Aquisição, desenvolvimento e

manutenção de sistemas.

Requisitos de segurança de sistemas de

informação:

– Análise e especificação dos requisitos de

segurança da informação.

– Serviços de aplicação seguros em redes

públicas.

– Protegendo as transações nos aplicativos de

serviços.
 SEÇÕES DA ISO 27002

A.14. Aquisição, desenvolvimento e manutenção

de sistemas.

Segurança em processos de desenvolvimento:

– Política de desenvolvimento seguro.
– Procedimentos para controle de mudanças de
sistemas.
– Análise crítica técnica das aplicações após
mudanças nas plataformas operacionais.
– Restrições sobre mudanças em pacotes de
software.
– Princípios para projetar sistemas seguros.
– Ambiente seguro para desenvolvimento.
– Desenvolvimento terceirizado.
– Teste de segurança do sistema.
– Teste de aceitação de sistemas.
 SEÇÕES DA ISO 27002

A.14. Aquisição, desenvolvimento e

manutenção de sistemas.

Dados para teste:

– Proteção dos dados para teste.

 SEÇÕES DA ISO 27002

A.15. Relacionamento na cadeia de suprimento.

Segurança da informação na cadeia de

suprimento:

Gerenciamento da entrega do serviço do

fornecedor:

– Monitoramento e análise crítica de serviços

com fornecedores.

– Gerenciamento de mudanças para serviços

com fornecedores.
 SEÇÕES DA ISO 27002

A.16. Gestão de incidentes de segurança da Informação.

Gestão de incidentes de segurança da informação e
melhorias:
– Responsabilidades e procedimentos;
– Notificação de eventos de segurança da informação;
– Notificando fragilidades de segurança da informação;
– Avaliação e decisão dos eventos de segurança da
informação;
– Resposta aos incidentes de segurança da informação;
– Aprendendo com os incidentes de segurança da
informação; e
– Coleta de evidências.
 SEÇÕES DA ISO 27002

A.17. Aspectos da segurança da informação na

gestão da continuidade do negócio.

Continuidade da segurança da informação:

– Planejamento a continuidade da segurança da

informação.

– Implementado a continuidade da segurança

da informação.

– Verificação, análise crítica e avaliação da

continuidade da segurança da informação.
 SEÇÕES DA ISO 27002

A.17. Aspectos da segurança da informação

na gestão da continuidade do negócio.

Redundâncias:

– Disponibilidade dos recursos de

processamento da informação.
 SEÇÕES DA ISO 27002

A.18. Conformidade.
Conformidade com requisitos legais e
contratuais:
– Identificação da legislação aplicável e de
requisitos contratuais.
– Direitos de propriedade intelectual.
– Proteção de registros.
– Proteção e privacidade de informações
de identificação pessoal.
– Regulamentação de controles de
criptografia.
 SEÇÕES DA ISO 27002

A.18. Conformidade.

Análise crítica da
segurança da informação:
– Análise crítica independente da
segurança da informação.

– Conformidade com as políticas e

procedimentos de segurança da
informação.

– Análise crítica da conformidade técnica.

PCI-DSS
CYBER SECURITY FRAMEWORK
CYBER SECURITY FRAMEWORK
 DIRETRIZES DE AUDITORIA

Auditoria (ISO 19011)

Processo sistemático, documentado e independente

para obter evidências de auditoria e avaliá-las
objetivamente para determinar a extensão na qual
os critérios da auditoria são atendidos.

Podem ser:

Internas (1ª parte).

Externas (2ª ou 3ª parte).

 DIRETRIZES DE AUDITORIA

Critério de auditoria
Conjunto de políticas, procedimentos ou requisitos
como uma referência contra a qual uma evidência
de auditoria é comparada.

Evidência de auditoria
Registros, apresentação de fatos ou outras
informações pertinentes aos critérios de auditoria e
verificáveis.
Pode ser qualitativa ou quantitativa.

Constatações de auditoria
Resultados da avaliação da evidência de auditoria
coletada comparada com os critérios de auditoria,
podendo indicar conformidade ou não-
conformidade.