Márcio Correia

Analista de Tecnologia da Informação

Apresentação
Serão apresentados os conceitos de
Gerência de Segurança da Informação de
acordo com a família NBR 27000
Também, será apresentado um levanta-
mento sobre as exigências de Segurança da
Informação na Administração Pública Federal
Sumário
 Glossário
 Gerência de Segurança da Informação
 Fundamentos
 Objetivos
 Etapas
 Ponto de Partida
 Dicas
 Exigências na Administração Pública Federal
 Legislação
 Gabinete de Segurança Institucional - Presidência da
República
 Tribunal de Contas da União
 Conclusões
 Referências
Glossário
 Confidencialidade
Garante que apenas pessoas autorizadas devem acessar uma informação

 Integridade
Garante a informação correta, sem adulteração

 Disponibilidade
Garante a informação a disposição ininterruptamente

 Ativo
Qualquer coisa que tenha valor para a organização

 Risco
A combinação da probabilidade de um evento ocorrer e o seu impacto

 Controle
Medida tomada para gerenciar o risco
Fundamentos
Confidencialidade

Segurança

Pessoas

Processos Tecnologia
Integridade

Informação
Objetivos
 Proteger os ativos de maior valor
 Melhorar o nível do serviço oferecido
 Investir de forma eficiente os recursos
 Obedecer regulamentações
Etapas
 Montar Grupo de Trabalho
 Analisar os risco
 Definir o escopo
 Definir os controles
 Definir a Política de Segurança da
Informação.
 Desenvolver estratégias de gerenciamento.
Etapas (continuação)
 Montar Grupo de Trabalho
 Definir as diretrizes
○ Objetivos simples ajudarão o startup
 Envolver as Pessoas Chave (Stakeholder)
○ A abrangência do grupo deve ser e acordo com as
diretrizes (Recursos Humanos, Jurídico,
Financeiro, Segurança Patrimonial ...)
○ As pessoas entenderão melhor as necessidades
do seu domínio
Etapas (continuação)
 Analisar os riscos
 Identificar os Ativos, Ameaças, Probabilidades e
Impactos com base nas diretrizes
 Definir o escopo
 Definir os Ativos que serão protegidos
○ Lembrar que isso impactará na simplicidade do
projeto e no seu custo
Etapas (continuação)
 Definir os controles
 Definir como os riscos serão tratados
○ Reduzir
○ Reter (Aceitar)
○ Evitar
○ Transferir
 Definir Ferramentas e Procedimentos
Etapas (continuação)
 Definir a Política de Segurança da
Informação
 Elaboração dos documentos
○ PSI
○ Termos de Compromisso
○ Formulários e requerimentos
 Conscientização e treinamento
 Implementação dos controles
Etapas (continuação)
 Definir estratégia de gerenciamento
 Riscos
 Diretrizes
 Normas
 Procedimentos
 Ferramentas
 Conscientização e treinamentos
 Resposta a incidentes
Ponto de Partida
 Requisitos legais
 Proteção de dados e da privacidade de
informações pessoais
 Proteção de registros organizacionais
 Direito de propriedade intelectual
Ponto de Partida (continuação)
 Melhores práticas
 Documentação da política de segurança da informação
 Atribuição de responsabilidades para segurança da
informação
 Conscientização e treinamento em segurança da
informação
 Processamento correto nas aplicações
 Gestão de vulnerabilidades técnicas
 Gestão da continuidade do negócio
 Gestão de incidentes de segurança da informação e
melhorias
Observação: essa seleção não substitui a análise/avaliação de risco
Dicas
 Fatores críticos para o sucesso
 Política de Segurança da Informação alinhada as necessidades do
negócio
 Uma abordagem e estrutura consistente com a cultura
organizacional
 Comprometimento e apoio visível de todos os níveis gerenciais
 Um bom entendimento dos requisitos, isto é, gestão de riscos
 Divulgação eficiente da política de segurança da informação para
alcançar a conscientização de todos.
 Provisão dos recursos financeiros necessários para a gestão de
segurança da informação
 Estabelecimento de um eficiente processo de gestão dos
incidentes
 Estabelecimento de um eficiente processo de avaliação do
desempenho da gestão de segurança
Legislação
 Decreto Nº 3505, 13 de junho de 2000
 Institui a política de segurança da informação
nos órgão e entidades da APF
 Decreto Nº 4553, 27 de dezembro de 2002
 Dispõe sobre a salvaguarda das informações
nos órgão e entidades da APF
 Lei Nº 10683, 28 de maio de 2003
 Institui o Gabinete de Segurança Institucional e
atribui a ele a coordenação da segurança da
informação
Gabinete de Segurança Institucional
Presidência da República

 Instrução Normativa GSI/PR Nº 1, 13 de

junho de 2008
 Disciplina a Gestão da Segurança da
Informação e Comunicação na APF
 Atribui ao Departamento de Segurança da
Informação e Comunicação – DSIC o função de
normatização.
Gabinete de Segurança Institucional
Presidência da República

 Norma Complementar Nº 1, 13 de outubro de 2008

 Recomendação do formato para os documentos
 Norma Complementar Nº 2, 13 de outubro de 2008
 Recomendação da metodologia de GSI baseada no
PDCA proposto pela NBR 27001
 Norma Complementar Nº 3, 30 de junho de 2009
 Diretrizes para elaboração da PSI na APF
Gabinete de Segurança Institucional
Presidência da República

 Norma Complementar Nº 4, 30 de junho de 2009

 Diretrizes para o processo de Gestão de Risco na APF
 Norma Complementar Nº 5, 14 de agosto de 2009
 Disciplinar a criação de Equipes de Resposta a Incidentes de
Segurança na APF
 Norma Complementar Nº 6, 11 de novembro e 2009
 Diretrizes para Gestão de Continuidade de Negócios
Gabinete de Segurança Institucional
Presidência da República

 Norma Complementar Nº 7, 06 de maio e 2010

 Diretrizes para Controle de Acesso Físico e Lógico
 Norma Complementar Nº 8, 19 de agosto e 2010
 Diretrizes para Gestão de Incidentes de Segurança
Tribunal de Contas da União
 Boas Práticas em Segurança da Informação
 Controle de Acesso Lógico
 Política de Segurança da Informação
 Plano de Contingências
 TCU e NBR 27000
Tribunal de Contas da União
 Sumário Executivo: Auditoria do Sistema de
Informação do Diário Oficial da União
 GSI
 Análise de Risco
 Política de Segurança da Informação
 Controle de Acesso
 Gerência de usuários
 Política de Senhas
 Política de Backup
 Plano de Continuidade do Negócio
Conclusão
Com estas informação em mente
deveremos encontrar a metodologia mais
apropriada para estabelecer com sucesso a
Gerência de Segurança da Informação da
Universidade Federal do Ceará.
Referências
 ISO NBR 27001/27002 – SGSI
 ISO NBR 27005 – Gestão de Risco
 RCF 2196 – Manual de Sites Seguros
 Planalto – Legislação
 DSIC/GSI/PR - Normas
 TCU – Guias e Normas
?
Obrigado!