Escolar Documentos
Profissional Documentos
Cultura Documentos
INFORMAÇ A ̃ O
E-mail: marcelo.lau@datasecurity.com.br
Termos e Definições
• Ativo.
• Disponibilidade.
• Confidencialidade.
• Segurança da informação.
• Evento de segurança da informação.
• Incidente de segurança da informação.
• Sistema de gestão da segurança da informação.
• Integridade.
• Risco residual.
• Aceitação do risco.
• Análise de riscos.
• Análise/avaliação de riscos.
• Avaliação de riscos.
• Gestão de riscos.
CARREIRA PROFISSIONAL EM SEGURANÇA
DA INFORMAÇÃO
CONCEITOS BÁSICOS
A Informação:
– A Informação é um ativo que, como qualquer
outro importante para os negócios, tem um
valor para a organização e consequentemente
necessita ser adequadamente protegida.
– A informação pode existir de diversas formas:
» Impressa.
» Escrita.
» Papel.
» Armazenada eletronicamente.
» Transmitida pelo correio.
» Mostrada em filmes.
» Falada em conversas.
» Apresentada / transmitida / armazenada /
compartilhada.
CONCEITOS BÁSICOS
Segurança da Informação:
– A Segurança da Informação protege a Informação de diversas ameaças
para garantir a continuidade dos negócios, a integridade e a
disponibilidade da mesma.
– Visa minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.
PILARES BÁSICOS DA SEGURANÇA
Confidencialidade:
– Propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou
processos não autorizados.
– Tem o objetivo de garantir que apenas pessoas
autorizadas tenham acesso à informação. Essa
garantia deve ser obtida em todos os níveis, desde
a geração da informação, passando pelos meios de
transmissão, chegando a seu destino e sendo
devidamente armazenada ou, se for necessário,
destruída sem possibilidade de recuperação.
– Esse processo tende a ser mais dispendioso,
quanto maior for a necessidade de proteção da
informação e, é claro, quanto maior for o valor da
informação a ser protegida. Modernos processos
de criptografia aliados a controles de acesso, são
necessários nessa etapa.
PILARES BÁSICOS DA SEGURANÇA
Integridade:
– Propriedade de salvaguarda da exatidão e estado completo
dos ativos.
» Ao falarmos de integridade de dados, podemos
citar alguns exemplos que podem e ajudam a
garanti-la:
– Firewalls.
– Sistema Gerenciador de Banco de Dados (SGDB).
– Revisão regular de privilégio aos dados.
– Criptografia.
– Controle na prevenção de corrupção de dados.
– Conformidade (Compliance).
– Fácil recuperação de dados.
– Tempo de resposta dos sistemas (performance).
– Integração com os sistemas de armazenamento
(discos, fitas).
– Tráfego dos dados pela rede.
PILARES BÁSICOS DA SEGURANÇA
Disponibilidade:
– Propriedade de estar acessível e utilizável sob demanda por uma entidade
autorizada.
– Garantir que a informação sempre poderá ser acessada quando for necessário.
Esse objetivo é conseguido através da continuidade de serviço dos meios
tecnológicos, envolvendo políticas de backup, redundância e segurança de
acesso. De nada adianta ter uma informação confiável e íntegra se ela não está
acessível quando solicitada.
HISTÓRICO DA SEGURANÇA DA
INFORMAÇÃO
1992 - Código de Prática do
Gerenciamento de Segurança da
Informação (UK)
2002 –BS7799-2
2008 –
NBR ISO/IEC
2005 – NBR ISO/IEC 17799:2005 27005:2008
2006 – BS7799-3 (Riscos)
Publicação da ABNT
NBR ISO/IEC 27014
– Governança de
segurança da
Informação
SEGURANÇA DA INFORMAÇÃO NO
BRASIL
Normas traduzidas pela ABNT:
– Modelo (PDCA):
» Plan (Planejar).
– Estabelecer o SGSI.
» Do (Fazer).
– Implementar e operar o SGSI.
» Check (Verificar).
– Monitorar e revisar criticamente o SGCI.
» Act (Agir).
– Manter e melhorar o SGSI.
MODELO PDCA
Estabelecer
o SGSI
Plan
(Planejar)
SGSI
Implementar Manter e
e operar o melhorar o
SGSI SGSI
Do Act
(Fazer) (Agir)
Expectativas Check
e requisitos Segurança da
(Verificar)
da segurança Informação
da informação Monitorar e gerenciada
analisar
criticamente
o SGSI
MODELO PDCA
Plan (Planejar).
– Estabelecer a política, objetivos, processos e procedimentos
do SGSI, relevantes para a gestão de riscos e a melhoria da
segurança da informação para produzir resultados de
acordo com as políticas e objetivos globais de uma
organização.
MODELO PDCA
Do (Fazer).
– Implementar e operar a política, controles, processos e
procedimentos do SGSI.
– Envolve a execução do planejamento da fase anterior.
MODELO PDCA
Check (Verificar).
– Avaliar e, quando aplicável, medir o desempenho de um
processo frente à política, objetivos e experiência prática do
SGSI e apresentar os resultados para a análise crítica pela
direção.
MODELO PDCA
Act (Agir).
– Executar as ações corretivas e preventivas, com base nos
resultados da auditoria interna do SGSI e da análise crítica
realizada pela direção e/ou outra fonte de informação
pertinente (Ex: Auditoria Externa) , para alcançar melhoria
contínua do SGSI.
CONTEXTO DA ORGANIZAÇÃO
Entendendo as necessidades e as
expectativas das partes interessadas.
Liderança e comprometimento.
Política.
Recursos.
Conscientização.
Comunicação.
Informação documentada.
OPERAÇÃO
Auditoria interna.
Melhoria contínua.
ISO 27001
• A Segurança da Informação.
OBJETIVOS DE CONTROLE E
CONTROLES
Segurança da informação no
gerenciamento de projetos:
– Trabalho remoto.
SEÇÕES DA ISO 27002
Antes da contratação:
– Seleção.
Durante a contratação:
– Responsabilidades da Direção.
– Conscientização, educação e
treinamento em segurança da
informação.
– Processo disciplinar.
SEÇÕES DA ISO 27002
– Devolução de ativos.
SEÇÕES DA ISO 27002
Classificação da Informação:
– Classificação da informação.
Tratamento de mídias:
– Descarte de mídias.
A.10. Criptografia.
Controles criptográficos:
– Gerenciamento de chaves.
SEÇÕES DA ISO 27002
A.11. Segurança física e do ambiente.
Áreas seguras:
Equipamento:
Responsabilidades e procedimentos
operacionais:
– Gestão de mudanças.
– Gestão de capacidade.
Cópias de segurança:
Registro e monitoramento:
– Registro de eventos.
– Controle de redes.
– Segregação de redes.
SEÇÕES DA ISO 27002
Transferência de informação:
– Mensagens eletrônicas.
Redundâncias:
A.18. Conformidade.
Conformidade com requisitos legais e
contratuais:
– Identificação da legislação aplicável e de
requisitos contratuais.
– Direitos de propriedade intelectual.
– Proteção de registros.
– Proteção e privacidade de informações
de identificação pessoal.
– Regulamentação de controles de
criptografia.
SEÇÕES DA ISO 27002
A.18. Conformidade.
Análise crítica da
segurança da informação:
– Análise crítica independente da
segurança da informação.
Podem ser:
Critério de auditoria
Conjunto de políticas, procedimentos ou requisitos
como uma referência contra a qual uma evidência
de auditoria é comparada.
Evidência de auditoria
Registros, apresentação de fatos ou outras
informações pertinentes aos critérios de auditoria e
verificáveis.
Pode ser qualitativa ou quantitativa.
Constatações de auditoria
Resultados da avaliação da evidência de auditoria
coletada comparada com os critérios de auditoria,
podendo indicar conformidade ou não-
conformidade.