Escolar Documentos
Profissional Documentos
Cultura Documentos
REVISÃO SIGLAS:
2
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
REVISÃO
Ameaças: Causa potencial (agente) de um incidente indesejado,
que pode resultar em dano para um sistema ou organização [ISO
27002].
Podem colocar em risco a confidencialidade, integridade e
disponibilidade das informações.
São classificadas em: Naturais (natureza), Intencionais (maldades)
e Involuntárias (despreparo e desconhecimento humano).
3
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
REVISÃO
Esteganografia (Steganography)
4
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
INTRODUÇÃO
5
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
INTRODUÇÃO
6
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
INTRODUÇÃO
Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT),
os objetivos da normalização são:
7
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
A família ISO 27000 – Sistema de Gerenciamento de Segurança:
8
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
ISO/IEC 27003:2011 - Diretrizes para Implantação de um Sistema de Gestão da
Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta
norma é fornecer diretrizes práticas para a implementação de um Sistema de
Gestão da Segurança da Informação (SGSI), na organização, de acordo com a
ABNT NBR ISO/IEC 27001:2005.
9
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
ISO/IEC 27007:2016 – Diretrizes para auditoria de sistemas de gestão da
segurança da informação - Esta Norma fornece diretrizes sobre como gerenciar
um programa de auditoria de sistemas de gestão da segurança da informação
(SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI,
em complementação as diretrizes descritas na ABNT NBR ISO 19011. Esta Norma
é aplicável a todos que necessitam entender ou realizar auditorias internas ou
externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.
11
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
ISO/IEC 27031:2015 - Tecnologia da informação - Técnicas de segurança -
Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da
informação e comunicação - Esta Norma descreve os conceitos e princípios da
prontidão esperada para a tecnologia de comunicação e informação (TIC) na
continuidade dos negócios e fornece uma estrutura de métodos e processos para
identificar e especificar todos os aspectos (como critérios de desempenho, projeto
e implementação) para fornecer esta premissa nas organizações e garantir a
continuidade dos negócios.
É aplicável para qualquer organização (privada, governamental e não
governamental, independentemente do tamanho) desenvolvendo a prontidão de
sua TIC para atender a um programa de continuidade nos negócios (PTCN),
requerendo que os serviços e componentes de infraestrutura relacionados
estejam prontos para suportar as operações de negócio na ocorrência de eventos
e incidentes e seus impactos na continuidade (incluindo segurança) das funções
críticas de negócio. Também assegura que a organização estabeleça parâmetros
para medir o desempenho que está correlacionado à PTCN de forma consistente e
organizada.
12
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
ISO/IEC 27032:2015 - Tecnologia da Informação - Técnicas de segurança -
Diretrizes para segurança cibernética - Esta Norma fornece diretrizes para
melhorar o estado de Segurança Cibernética, traçando os aspectos típicos
desta atividade e suas ramificações em outros domínios de segurança.
13
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
A FAMÍLIA 27000
14
http://marcioteixeira.pro.br ©2020 Márcio Andrey Teixeira
ABNT NBR ISO/IEC 27002:2013 – CÓDIGO DE
PRÁTICA PARA SI
As medidas de segurança são definidas pela norma ISO/IEC
27002, que dá suporte ao desenvolvimento e normas de planos de
segurança da informação e orienta de melhor forma a Gestão da
Segurança da Informação.
Contém:
35 objetivos de controles e
114 controles
18 – Conformidade (2)
18.1 Conformidade com requisitos legais e contratuais
18.2 Análise crítica da segurança da informação
Objetivo:
Definições:
SOX (Sarbanes-Oxley)
Bacen 3380 (Banco Central)
CVM (Comissão de Valores Imobiliários)
CFM (Conselho Federal de Medicina)
Sistema de
Gestão de Segurança
da Informação
Interpretação da norma
NBR ISO/IEC 27001:2006
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Módulo 3
Conceitos
Riscos de segurança, processos de
avaliação e tratamento do risco,
sistema de gestão, Sistema de
Gestão de Segurança da Informação
Riscos de segurança
§ Um risco de segurança é o potencial que uma dada ameaça irá explorar
vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos.
§ Exemplos...?
Nem sempre TI!
Os riscos podem ser técnicos, de
equipamentos, de pessoas e de
procedimentos.
Exemplos de riscos de segurança
§ Interrupção da continuidade do negócio
§ Indisponibilidade da informação
§ Perda da integridade dos dados
§ Perda ou roubo de informação
§ Perda do controle do serviço
§ Perda de credibilidade e imagem
§ Perda da confidencialidade de dados
§ Etc.
Processo de tratamento do risco
§ Evitar o risco
§ Transferir o risco (por exemplo: seguro)
§ Reduzir as vulnerabilidades
§ Reduzir as ameaças
§ Reduzir os possíveis impactos
§ Detectar eventos indesejados, reagir e
recuperar
§ Aceitar o risco (residual)
Exercício
Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu
ponto de vista, para os três ativos para os quais você identificou vulnerabilidades,
ameaças e probabilidades das ameaças atingirem as vulnerabilidades.
As respostas dependem de critérios pessoais. Portanto é importante que o profissional
que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o
tratamento de riscos.
Resposta
Patches
desatualizados
Servidor Peçachave Antivírus,
do processo desatualizado
Backup
inadequado
Patches
desatualizados
Controles
A segurança eficaz normalmente requer a combinação das seguintes ações:
§ Detecção
§ Desencorajamento
§ Prevenção
§ Limitação
§ Correção
§ Recuperação
§ Monitoramento
§ Conscientização
Controles
Após a identificação dos riscos, é necessário identificar os controles já existentes na
organização e verificar se o risco resultante após a utilização destes controles é aceitável.
E só então devese avaliar a necessidade de novos controles.
A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização
pode implementar, mas a organização não deve se restringir a estes. Outros controles
podem ser identificados.
Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A:
A.11.5 – Controle de acesso ao sistema operacional
à Procedimentos seguros de entrada no sistema (log on)
à Identificação e autenticação de usuário
à Sistema de gerenciamento de senha
à Uso de utilitários de sistema Login
à Desconexão de terminal por inatividade
à Limitação de horário de conexão
Avaliação de risco e controles
Ativos
Têm
Impacto potencial
Valor no negócio
Por ter valor Portanto é
são necessário
que se
defina
Vulneráveis
E por isso
Requisitos de
podem ser Segurança
atacados por
Ameaças E
E correm
Controles
Riscos
Podendo provocar
Processos de avaliação e tratamento do risco
Avaliação de risco
§ Identificação e valorização dos ativos
§ Identificação das vulnerabilidades
§ Identificação das ameaças
§ Avaliação de impactos que a perda de confidencialidade, integridade e
disponibilidade nos ativos pode causar
§ Análise e avaliação dos riscos
§ Priorização dos riscos
Tratamento de risco
§ Definição do grau de garantia
§ Revisão de controles existentes
§ Identificação de novos controles
§ Implementação dos novos controles
§ Aceitação do risco residual
A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de
risco seja realizada para identificar ameaças aos ativos.
Exercício
Continuando o exercício anterior onde foram identificados os riscos, para um destes
ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que
poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou
eliminar cada um destes riscos.
Resposta
Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior
teremos:
Descrição Disponibilidad Integridad Confidenci Valor Comentári Vulnerabilidade Ameaças Probabil Desc
e e alidade o idade rição
Patches
desatualizados
E alguns controles possíveis serão apresentados no próximo slide.
Resposta
Controle Aplicação do Controle
Criar procedimento
automático para atualização
Criar política adequada
para tratar o problema
Terceirizar a manutenção e
Controle contra software atualização do sistema anti
malicioso vírus
Criar procedimento de
backup
Controlar a disponibilidade
de espaço
Terceirizar procedimento de
Housekeeping backup
Criar procedimento para
atualização de patches
Terceirizar a informação e
Desenvolvimento e atualização dos softwares
manutenção de sistema Adquirir software IDS
O que é um sistema de gestão?
Definição de sistema de gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir
estes objetivos utilizando:
§ A estrutura organizacional
§ Processos sistemáticos e recursos associados
§ Metodologia de medição e avaliação
§ Processo de análise crítica para assegurar que os problemas são corrigidos e as
oportunidades de melhoria são identificadas e implementadas quando necessário
O que é monitorado pode ser medido,
e o que é medido pode ser gerenciado.
Elementos de um sistema de gestão
§ Política (demonstração de compromisso e princípios para ação)
§ Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades)
§ Implementação e operação (construção da consciência organizacional e treinamento)
§ Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não
conformidades)
§ Melhoria (ação preventiva e corretiva, melhoria contínua)
§ Análise crítica pela direção
Normas de sistemas de gestão
§ ISO/IEC 27001 – Segurança da Informação
§ ISO/IEC 20000 – Gestão em TI
§ ISO 9001 – Qualidade
§ ISO 14001 – Ambiental
§ OHSAS 18001 – Segurança e Saúde Ocupacional
§ TL 9000 – Telecomunicações
§ TS 16949 – Automotiva
§ SAE AS 9100 – Aeroespacial
§ ISO 22001 – Alimentos
Sistema de Gestão de Segurança da Informação
SGSI
§ Parte do sistema de gestão, baseado no
enfoque de risco nos negócios, para
estabelecer, implementar, operar, monitorar,
revisar, manter e melhorar a segurança da
informação.
Projeto e implementação
§ Influenciados pelas necessidades e objetivos
dos negócios, resultando em requisitos de
segurança, processos utilizados, tamanho e
estrutura da organização. Esperase que o
SGSI e os sistemas de apoio mudem com o
tempo.
Fatores críticos do sucesso
§ Comprometimento e apoio visível de todos os
níveis da direção
§ Provisão de recursos para as atividades de
Gerenciamento de Segurança da Informação
§ Divulgação, conscientização, educação e
treinamento adequados
§ Política de segurança da informação, objetivos e
atividades refletindo os objetivos do negócio
§ Bom entendimento dos requisitos de segurança da
informação, avaliação de risco e gerenciamento de
risco
Fatores críticos do sucesso
§ Implementação, manutenção,
monitoramento e melhoria da
segurança da informação consistente
com a cultura organizacional
§ Estabelecer um processo eficaz de
gestão de incidentes de segurança da
informação
§ Implementação de um sistema de
medição que seja usado para avaliar o
desempenho da Gestão de Segurança
da Informação e obtenção de
sugestões para melhoria
Exercício
Indique se é verdadeiro ou falso:
1) ( ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para
atingir estes objetivos.
2) ( ) Análise crítica não é um elemento de um sistema de gestão.
3) ( ) Um SGSI não deve mudar com o tempo.
4) ( ) A estrutura da ISO 27001 está baseada no PDCA.
5) ( ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação
escrita, falada e eletrônica é o objetivo da ISO 27001.
6) ( ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.
7) ( ) O SGSI é parte do sistema de gestão global da organização.
Resposta
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para
atingir estes objetivos.
2) ( F ) Análise crítica não é um elemento de um sistema de gestão.
3) ( F ) Um SGSI não deve mudar com o tempo.
4) ( V ) A estrutura da ISO 27001 está baseada no PDCA.
5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação
escrita, falada e eletrônica é o objetivo da ISO 27001.
6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.
7) ( V ) O SGSI é parte do sistema de gestão global da organização.
Fim do módulo 3
Conceitos
Riscos de segurança, processos de
avaliação e tratamento do risco,
sistema de gestão, Sistema de
Gestão de Segurança da Informação