Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • WebAula07 Unidade4 GSC

    Enviado por

    Caroline Costa Machado
    5 visualizações26 páginas

    Título original

    WebAula07_Unidade4_GSC (1)

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações26 páginas

    WebAula07 Unidade4 GSC

    Enviado por

    Caroline Costa Machado

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 26

    WebAula07

    Gestão de Segurança
    Cibernética
    Gestão de Segurança da Informação

    O papel da gestão é buscar meios


    para implementar a estratégia
    definida pela Governança de
    Segurança da Informação (SI). No
    nível estratégico se planeja, no
    nível tático tomam-se decisões
    reais a respeito de mecanismos,
    abordagens e ações de Segurança
    da Informação que permita-se Fonte: Unsplash

    atingir os objetivos estratégicos.


    Gestão de Segurança da Informação

    A gestão é responsável por prover


    serviços e enviar os resultados das
    ações para a Governança de SI.
    Além disso, a gestão deve
    implementar as estratégias e
    políticas determinadas pela
    governança e alertar para possíveis
    riscos na direção tomada pelo corpo
    governante, o comitê de SI e seus Fonte: Unsplash

    assessores.
    Gestão de Segurança da Informação

    É preciso planejar, fazer


    (implantar), checar e agir. Muitas
    vezes as organizações somente
    planejam e implementam, mas
    executam o plano sem parar. Para
    um ciclo de melhoria contínua, é
    preciso identificar os erros ou
    desvios e corrigi-los; voltando,
    assim, para o início, o Fonte: Unsplash

    planejamento.
    Diagnóstico Gestão da Segurança da Informação

    A elaboração de um diagnóstico de
    Segurança da Informação permite
    à organização analisar com
    eficiência o estado atual do
    ambiente como um todo,
    determinando o grau de proteção
    das informações, e, além disso,
    verificar as principais ameaças e
    vulnerabilidades às quais os ativos Fonte: Unsplash

    de informação estão expostos.


    Diagnóstico Gestão da Segurança da Informação

    Dessa forma, é possível direcionar


    os projetos emergenciais de SI
    para mitigar os principais riscos,
    orientando as atividades para os
    processos de negócio mais críticos
    e relevantes da organização.

    Fonte: Unsplash
    Metodologia de
    Diagnóstico
    • A.5: Política de Segurança • A.12: Segurança na Operações
    • A.6: Organização da Segurança • A.13: Segurança nas Comunicações
    • A.7: RH • A.14: Aquisição, Desenvolvimento,
    • A.8: Gestão e Ativos Manutenção de Sistemas
    • A.9: Controle de Acesso • A.15: Relação com a Cadeia de
    Suprimento
    • A.10: Criptografia
    • A.16: Gestão e Incidentes
    • A.11: Segurança Física do Ambiente
    • A.17: Gestão de Continuidade
    • A.18: Conformidade
    Análise de capacidade dos processos da gestão de
    SI
    Avaliação do nível de maturidade da
    segurança da informação por meio da
    estimativa dos valores dos controles de
    segurança individuais presentes na
    norma NBR ISO/IEC 27002, em cinco
    processos de governança do COBIT 2019
    (0 – Processo Incompleto; 1 – Processo
    Realizado; 2 – Processo Gerenciado; 3 –
    Processo Estabelecido; 4 – Processo
    Previsível e 5 – Processo em Fonte: Unsplash

    Otimização.)
    Análise de capacidade dos processos da gestão de
    SI
    Análise de conformidade dos processos da gestão
    de SI
    Análise de conformidade dos processos da gestão de SI
    Análise de conformidade dos processos da gestão de SI
    Resultado da Análise de Conformidade
    Teste de Invasão

    Ø Identificar as vulnerabilidades e
    os riscos inerentes aos ambientes
    internos e externos.
    Ø Identificar os impactos que os
    riscos possam causar à Segurança
    da Informação e à imagem da
    organização, através da
    simulação de tentativas reais de
    ataques de invasão. Fonte: Unsplash
    Teste de Invasão

    Ø Descrever as ações necessárias


    para aumentar o nível de
    Segurança da Informação.
    Ø Possibilitar que as decisões
    estratégicas sejam tomadas com
    base nos fatos reais.

    Fonte: Unsplash
    Teste de Invasão - Planejar

    Nesta etapa é realizada uma


    reunião de planejamento para
    coordenar as ações que serão
    realizadas durante o teste de
    invasão. Definição do escopo,
    objetivo, tipo de teste, ponto de
    onde será realizado.

    Fonte: Unsplash
    Teste de Invasão – Planejar – Exemplo

    O analista executou diversos ataques de


    reconhecimento visando levantar ativos e
    aumentar a superfície de ataque, mas não
    conseguiu ser bem-sucedido. O teste intrusão
    executado apresentou-se como graybox,
    onde apenas algumas informações foram
    repassadas ao analista e os ataques foram
    executados através de acesso via VPN com
    credenciais previamente fornecidas. Essas
    mesmas credenciais se mostraram válidas
    para o acesso ao sistema X. Fonte: Unsplash
    Teste de Invasão – Avaliar

    Esta fase consiste em coletar o maior


    número possível de informações sobre o
    escopo alvo do teste, com o objetivo de
    realizar um entendimento inicial sobre o
    ambiente. Essas informações podem ser
    coletadas de meios públicos, como listas de
    discussão, mecanismos de busca,
    informações sobre os domínios pertencentes
    à organização, redes internas, entre outras
    fontes.
    Fonte: Unsplash
    Teste de Invasão – Executar

    Esta fase consiste no uso ou


    desenvolvimento de programas e
    técnicas para exploração das
    vulnerabilidades identificadas na
    fase anterior, com o objetivo de
    evidenciar as vulnerabilidades que
    podem ser exploradas.

    Fonte: Unsplash
    Teste de Invasão – Apresentar Resultados

    Nesta fase será elaborado um relatório de


    perfil técnico, com a descrição detalhada
    das atividades realizadas, na forma de
    procedimentos, ambientes e serviços
    afetados, evidências e recomendações de
    correção, permitindo uma visão em
    profundidade das fragilidades de maior
    criticidade e suscetíveis a atividades
    maliciosas. O público-alvo desse relatório
    são os administradores de rede e a equipe Fonte: Unsplash
    técnica.
    Teste de Invasão – Revalidar

    Nesta fase são verificados se todas


    as vulnerabilidades apontadas foram
    mitigadas e se todos os controles de
    Segurança da Informação
    recomendados foram implantados.

    Fonte: Unsplash
    OWASP TOP 10

    O OWASP Top 10 é um documento


    padrão de conscientização para
    desenvolvedores e segurança de
    aplicativos da web. Ele representa
    um amplo consenso sobre os riscos
    de segurança mais críticos para
    aplicativos da web.
    OWASP TOP 10

    As empresas devem adotar este


    documento e iniciar o processo de
    garantir que seus aplicativos da
    web minimizem esses riscos. Usar o
    OWASP Top 10 é talvez o primeiro
    passo mais eficaz para mudar a
    cultura de desenvolvimento de
    software em sua organização para
    uma que produza um código mais
    seguro.
    OWASP TOP 10
    Até a próxima

    Manter registros de auditoria é vital


    para ficar por dentro de qualquer
    alteração suspeita em seu site. Um
    registro de auditoria é um documento
    que registra os eventos em um site
    para que você possa detectar
    anomalias e confirmar com o
    responsável se a conta não foi
    comprometida.
    Sucuri

    Você também pode gostar