Escolar Documentos
Profissional Documentos
Cultura Documentos
www.trainning.com.br
Introdução
Objetivos do curso e público alvo
A EXIN Information Security Foundation baseada na ISO / IEC 27001 é uma certificação que
valida o conhecimento de um profissional sobre:
www.trainning.com.br
▪ Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade das
informações;
▪ Abordagem e organização: a política de segurança e a organização de segurança, incluindo os
componentes da organização e o gerenciamento de incidentes (de segurança);
▪ Medidas: a importância de medidas de segurança, incluindo medidas físicas, técnicas e
organizacionais
▪ Legislação e regulamentos: a importância e o impacto da legislação e dos regulamentos
O exame para a EXIN Information Security Foundation baseado na ISO / IEC 27001 é destinado a
todos na organização que estejam processando informações. O módulo também é adequado
para empresários de pequenas empresas independentes para as quais é necessário algum
conhecimento básico de segurança da informação.
Este módulo pode ser um bom começo para novos profissionais de segurança da informação
www.trainning.com.br
I - Introdução
Módulo I
www.trainning.com.br
• É uma organização fundada em 1946 e
sediada em Genebra, na Suíça com o
propósito de desenvolver e promover normas
• É uma organização internacional de
padronização de tecnologias elétricas,
eletrônicas e relacionadas, sendo que alguns
dos seus padrões são desenvolvidos em
que possam ser utilizadas por todos os países
parceria com a ISO.
do mundo
• Além de trabalhar em parceria com a ISO atua
• No Brasil, estas normas são compostas pela
também em parceria com a ITU (International
sigla NBR e são criadas e gerenciadas pela
Telecommunication Union)
Associação Brasileira de Normas Técnicas
(ABNT)
Módulo I
www.trainning.com.br
• A ISO 27001 define os requisitos para um Sistema de Gestão da Segurança
da Informação (SGSI).
• O SGSI parte do sistema de gestão global da organização, com base em
uma abordagem de risco do negócio, para estabelecer, implementar,
operar, monitorar, revisar, manter e melhorar a segurança da informação
• A primeira versão desta norma foi publicada em 2005 e foi desenvolvida
com base na Norma Britânica BS 7799-2.
• Esta norma internacional pode ser utiliza como base para auditoria que
define os requisitos para um Sistema de Gestão de Segurança da
Informação (SGSI).
Módulo I
www.trainning.com.br
segurança da informação
• A ISO / IEC 27002 - Técnicas de segurança - Código de prática para
controles de segurança da informação
7
Módulo I
www.trainning.com.br
0. Introdução 11. Segurança física e de ambiente
1. Âmbito 12. Segurança de Operações
2. Referências normativas 13. Segurança das comunicações
3. Termos e Definições 14. Aquisição, desenvolvimento e manutenção
4. Estrutura desta Norma de sistemas
5. Políticas de Segurança da Informação 15. Relações com fornecedores
6. Organização da segurança da 16. Gerenciamento de incidentes de segurança
informação da informação
7. Segurança de Recursos Humanos 17. Aspectos de segurança da informação do
gerenciamento de continuidade de
8. Gerenciamento de ativos
negócios
9. Controle de Acesso
18. Conformidade (Compliance)
10. Criptografia
8
Módulo I
Melhor De acordo com o livro
Prática Foundations of Information
Security
Dado e Informação
www.trainning.com.br
adquirem um certo significado
• As informações podem assumir a
forma de texto, mas também das
palavras faladas e imagens de vídeo
9
Módulo I
Melhor De acordo com o livro
Prática Foundations of Information
www.trainning.com.br
USB
Digital ou impressa
CD/DVD
Transmitidas eletronicamente
Disco
Rígido
BYOD
10
Módulo I
Dado e Informação
www.trainning.com.br
informações depois que adquirem
um certo significado
• As informações podem assumir a
forma de texto, mas também das
palavras faladas e imagens de vídeo
Módulo I
Melhor
De acordo com a ITIL
Prática
Dado e Informação
www.trainning.com.br
• As informações respondem a quatro
perguntas:
• Who? (Quem ?)
• What? (O que ?)
• When? (Quando ?)
• Where? (Onde ?)
12
Módulo I
www.trainning.com.br
Norma) é a seguinte:
"Ativo: qualquer coisa
que tenha valor para a organização".
Na sociedade da informação em
que vivemos, a informação é o Criada
principal patrimônio da empresa,
representando a inteligência Descarta Armazena
competitiva do negócio e sendo da da
www.trainning.com.br
reconhecida como um ativo
crítico para a sua continuidade
operacional.
Ciclo de
vida da
informação
Arquiva
usada
da
Comparti
lhada
Módulo I
www.trainning.com.br
marcas são exemplos de formas intangíveis da
informação. Em um mundo interconectado, a informação
e os processos relacionados, sistemas, redes e pessoas
envolvidas nas suas operações, são informações que,
como outros ativos importantes, têm valor para o
negócio da organização e, consequentemente, requer
proteção contra vários riscos.”
Módulo I
www.trainning.com.br
de acordo com a sua importância para a organização
Cada um dos processos de negócio irá definir quais requisitos serão necessários para
poder oferecer a informação desejada
www.trainning.com.br
Para poder compreender o valor da informação é muito importante analisar o papel
da informação em cada um dos vários processos do negócio
Contexto
BEST
De acordo com a ITIL
PRACTICE
www.trainning.com.br Sabedoria
Por que?
Conhecimento
Como?
Informação
Quem, O que,
Quando, Onde?
Dado
Entendimento
18
Módulo I
Processo
Entradas Saídas
(transformação)
www.trainning.com.br
Processo poder ser definido como um conjunto de atividades interrelacionadas
com o objetivo de atingir um resultado.
De acordo com Hammer & Champy, 1993, processo pode ser definido como:
• Foco na geração de
www.trainning.com.br
cliente
Suporte
• Apoio aos processos
primários. Geram valor
indireto para o cliente
• Atividades interna da
www.trainning.com.br
Segurança
tais como: Física
▪ Políticas Segurança
▪ Processos lógica
▪ Procedimentos
▪ Estrutura organizacional
▪ Funções de hardware e software Sistema de
informações
Módulo I
www.trainning.com.br
como autenticidade, responsabilidade, não repúdio e a
confiabilidade também pode estar envolvida.
23
Módulo I
www.trainning.com.br
• Todo sistema cujo objetivo é transferir • A tecnologia normalmente inclui
informações computadores, telecomunicações,
• Exemplos de sistemas de informação aplicativos e outros softwares
são arquivos em arquivos, telefones • As informações podem incluir dados
celulares e impressoras comerciais, voz, imagens, vídeo, etc.
• No contexto da Segurança da • A tecnologia da informação é
Informação, um Sistema de frequentemente usada para dar suporte
Informação é a combinação a processos de negócios por meio de
completa de meios, procedimentos, serviços de TI.
regras e pessoas que garantem o
fornecimento de informações para
um processo operacional. BEST according to Foundations
PRACTICE 24
of Information Security and ITIL
Módulo I
Sistema de Informação
Melhor De acordo com o livro Foundations
Prática of Information Security
▪ É o processamento, armazenamento e
transferência de informações
www.trainning.com.br
▪ Não é necessariamente o mesmo que um
sistema de TI
▪ É notório que a informatização atinge
praticamente todas as empresas e que
raramente não utilizam um sistema de
TI (Tecnologia da Informação)
Módulo I
De acordo com o livro
Melhor
Sistema de Informação Prática
Foundations of Information
Security
www.trainning.com.br
Meios Procedimentos
S.I.
Regras Pessoas
Módulo I
www.trainning.com.br
palavras, números e imagens escritas: conhecimento, conceitos,
idéias e marcas são exemplos de formas intangíveis de informação.
Em um mundo interconectado, informações e processos, sistemas,
redes e pessoal relacionado a suas operações, manuseio e
proteção são ativos que, como outros ativos comerciais
importantes, são valiosos para os negócios de uma organização e,
consequentemente, merecem ou requerem proteção contra vários
perigos.
• 0.5 Considerações sobre o ciclo de vida .... O valor e os riscos
para os ativos podem variar durante sua vida útil ... a segurança da
informação permanece importante em certa medida em todos os
estágios ...
27
Módulo I
www.trainning.com.br
operações comerciais.
• 7.2.1: As informações devem ser classificadas em termos de valor,
requisitos legais, sensibilidade e criticidade para a organização
• 12.1.1: Os requisitos e controles de segurança devem refletir o
valor comercial dos ativos de informação envolvidos (consulte
também 7.2) e os possíveis danos aos negócios, que podem
resultar de uma falha ou ausência de segurança
• 8.2.1 Classificação das informações ... As informações devem ser
classificadas em termos de requisitos legais, valor, criticidade e
sensibilidade à divulgação ou modificação não autorizada
28
Módulo I
www.trainning.com.br
•Matéria Prima
www.trainning.com.br
acordo com as diretrizes e processos e
gerenciamento de riscos corporativos e de
negócios.
30
Módulo I
www.trainning.com.br
destinatário atribui a ela
▪ A informação é um ativo estratégico para as
organizações
Módulo I
www.trainning.com.br
representam tudo aquilo o que ela possui e
controla, sejam estes bens, créditos ou direitos,
tangíveis ou intangíveis
informação
www.trainning.com.br
quesitos:
Confiden
cialidade
Confidencialidade
Integridade CONFIABILI
Disponibilidade DADE
Disponibi
Integridade
lidade
Módulo I
Confidencialidade BEST
PRACTICE
De acordo com o livro Foundations
of Information Security
35
Módulo I
www.trainning.com.br
• Os funcionários tomam medidas para garantir que as informações não achem
o caminho para as pessoas que não precisam delas. Eles garantem, por
exemplo, que nenhum documento confidencial esteja sobre a mesa enquanto
estiverem fora (política clara da mesa)
• O gerenciamento de acesso lógico garante que pessoas ou processos não
autorizados não tenham acesso a sistemas, bancos de dados e programas
automatizados. Um usuário, por exemplo, não tem o direito de alterar as
configurações do PC
36
Módulo I
Medidas de Confidencialidade
BEST De acordo com o livro Foundations
PRACTICE of Information Security
www.trainning.com.br
alterações nos salários
• Deve haver segregações rigorosas entre o ambiente de
desenvolvimento, o ambiente de teste e aceitação e o
ambiente de produção
• No processamento e uso de dados, são tomadas medidas
para garantir a privacidade do pessoal e de terceiros. O
departamento de Recursos Humanos (RH) possui, por
exemplo, sua própria unidade de rede que não é acessível a
outros departamentos
37
Módulo I
Medidas de Confidencialidade
www.trainning.com.br
esta informação a terceiro
• Um fornecedor divulga uma informação confidencial para um concorrente
quando deveria manter sigilo
• Um funcionário imprime ou tira foto de um documento sem que tenha
permissão para isso
• Uma das formas de tentar garantir a confidencialidade é implementar
políticas, processos e procedimentos
Módulo I
Integridade BEST
PRACTICE
De acordo com o livro Foundations
of Information Security
www.trainning.com.br
manutenção e destruição).
• É o grau em que as informações estão atualizadas e sem erros
• A correção da informação
• A integridade das informações
39
Módulo I
BEST
Medidas de Integridade
De acordo com o livro Foundations
PRACTICE of Information Security
www.trainning.com.br
usar o termo correto. Por exemplo, um cliente sempre é chamado de
'cliente', o termo 'cliente' não pode ser inserido no banco de dados
• As ações dos usuários são registradas (registradas) para determinar quem
fez uma alteração nas informações.
• Ações vitais do sistema, por exemplo, a instalação de um novo software,
não podem ser executadas por apenas uma pessoa. Segregando deveres,
posições e autoridades, pelo menos duas pessoas serão necessárias para
realizar uma mudança que tenha grandes consequências
40
Módulo I
www.trainning.com.br
Existem mais 2 propriedades que buscam garantir a integridade:
Não repúdio: É a propriedade visa garantir que o autor não negue ter criado e
assinado o documento
Módulo I
Disponibilidade BEST
PRACTICE
according to Foundations of
Information Security
www.trainning.com.br
As características da disponibilidade são :
42
Módulo I
www.trainning.com.br
• Os procedimentos de backup estão configurados. Os requisitos
regulamentares para quanto tempo os dados devem ser
armazenados são levados em consideração. O local do backup é
fisicamente separado da empresa, a fim de garantir a
disponibilidade em casos de emergência
• Procedimentos de emergência são estabelecidos para garantir que
as atividades possam retomar o mais rápido possível após uma
interrupção em grande escala
43
Módulo I
BEST according to Foundations of
PRACTICE Information Security
Arquitetura de informação
www.trainning.com.br
• A Segurança da Informação pode ajudar a garantir que os requisitos de
fornecimento de informações definidos sejam cumpridos na Arquitetura
da Informação
• A arquitetura da informação concentra-se principalmente em perceber a
necessidade de informações de uma organização e a maneira pela qual
isso pode ser organizado. A Segurança da Informação pode apoiar esse
processo, garantindo a Confidencialidade, Integridade e Disponibilidade
das informações.
44
Módulo I
www.trainning.com.br
• Um processo operacional possui os seguintes componentes principais:
entrada, atividades e saída
• Existem vários tipos de processos operacionais:
Processo Primário
Por exemplo. Fabricando uma bicicleta ou Gerenciando dinheiro
Processos norteadores
Por exemplo. Planejando a estratégia da empresa
45
Módulo I
www.trainning.com.br
• Cada Processo Operacional define requisitos específicos para o
fornecimento de informações
• Existem processos que dependem muito da disponibilidade de
informações
• Por exemplo. O site da empresa
• Outros processos são mais dependentes da absoluta exatidão das
informações
• Por exemplo. Os preços dos produtos
46
Módulo I
BEST according to Foundations of
Análise da informação PRACTICE Information Security
www.trainning.com.br
• Um hóspede se registra em um hotel através do site
• Essas informações são repassadas ao departamento de administração, que depois
aloca uma sala.
• A recepção sabe que o hóspede chegará hoje
• O departamento de limpeza sabe que o quarto deve estar limpo para a chegada do
hóspede
• Em todas essas etapas, é importante que as informações sejam confiáveis
• Os resultados de uma análise de informações podem ser usados para
projetar um sistema de informações
47
Módulo I
BEST according to Foundations of
Gerenciamento de Informações PRACTICE Information Security
www.trainning.com.br
• O Gerenciamento de informações envolve muito mais do que o
processamento automatizado de informações realizado por uma
organização
• Em muitos casos, a comunicação externa e a comunicação com a mídia
fazem parte da estratégia de gerenciamento de informações
48
Módulo I
Informática
BEST according to Foundations of
PRACTICE Information Security
www.trainning.com.br
49
Módulo I
Atribuição (Assignment)
www.trainning.com.br
50
Módulo I
www.trainning.com.br
• Confidencialidade
• Integridade
• Disponibilidade
- Os processos operacionais
- A arquitetura da informação
- Gerenciamento de Informações
51
Módulo I
Simulado – 10 Questões
www.trainning.com.br
1) Qual a relação entre dados e informações?
A) Dados são informações estruturadas
B) Informações são o significado e o valor atribuídos a uma coleção de dados (correta)
2) Um hacker obtém acesso a um servidor Web e pode visualizar um arquivo no servidor que contém
números de cartão de crédito de clientes. Qual principio da confiabilidade da informação foi violado neste caso?
A) Disponibilidade
B) Confidencialidade (correta)
C) Integridade
3) Existe uma impressora de rede no corredor da empresa onde você trabalha. Muitos funcionários
não vão pegar suas impressões imediatamente e deixam o material na impressora. Quais são as consequências disto com relação à confiabilidade das informações?
www.trainning.com.br
A) A integridade das informações não pode mais ser garantida
B) A disponibilidade das informações não pode mais ser garantida
C) A confidencialidade das informações não pode mais ser garantida (Correta)
4) Um funcionário nega ter enviado uma mensagem específica que outra pessoa diz ter recebido deste funcionário. Qual o aspecto de confiabilidade da informação está
em risco aqui?
A) Disponibilidade
B) Exatidão
C) Integridade (correta)
D) Confidencialidade
5) Como se chama a etapa de “definir se a identidade de alguém é correta” no processo de concessão de acesso?
A) Autenticação (correta)
B) Autorização
C) Identificação
6) Uma empresa possui um sistema ERP para gestão de seus processos de negócio. Este sistema
coleta milhares de dados que são salvos em um banco de dados. Quando um gerente recebe um relatório de faturamento mensal, o que este relatório contém?
A) Dados
B) Dados e informações
C) Informações (correta)
7) Um comprador enviou para o seu fornecedor dados do seu cartão de crédito para fazer o
pagamento de uma fatura e no percurso estes dados foram capturados por um hacker. Quem determina o valor das informações do cartão de crédito?
A) Cada uma das partes determina o valor das informações de forma independente (correta)
B) A legislação sobre privacidade determina a pena e, portanto, o valor
C) O destinatário que pode usar os dados do cartão para fazer compras indevidas
D) O remente, que poderá ter prejuízo financeiro com o vazamento destas informações
www.trainning.com.br
8) Uma analista de PCP em uma fábrica precisa processar todo final do dia o cronograma de
produção para encaminhar para o gerente de produção que o utilizará no dia seguinte. Quais aspectos de confiabilidade das informações deste cronograma são mais importantes nesta situação?
A) Disponibilidade e confidencialidade
B) Confidencialidade e integridade
C) Continuidade e autenticidade
D) Integridade e disponibilidade (correta)
A) O nível de capacidade do sistema é o suficiente para que vários usuários se conectem ao mesmo tempo
B) O nível de continuidade é garantido caso aconteça algum evento de desastre
C) O nível em que o sistema de informações está disponível para os usuários no momento em que eles precisam (correta)
D) O tempo total de funcionamento de um sistema de informações está acessível na rede
www.trainning.com.br
www.trainning.com.br
II - Ameaças e riscos
Módulo II
www.trainning.com.br
▪ As ameaças normalmente se aproveitam das
falhas de segurança da organização
▪ É um evento que pode comprometer a
confiabilidade da informação
▪ O agente de ameaça é a entidade que tira
vantagem de uma vulnerabilidade
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
57
Módulo II
www.trainning.com.br
▪ Funcionário mal intencionado
▪ Queda de raio, inundação, incêndio
▪ Perda de dados
▪ Super aquecimento dos computadores
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
58
Módulo II
Melhor De acordo com o livro
www.trainning.com.br Humanas
Não
humanas
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido
na norma ISO / IEC 27000: Visão Geral e Vocabulário
Módulo II
Melhor De acordo com o livro
www.trainning.com.br
Um exemplo desse tipo de ameaça é a engenharia social
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
Módulo II
Melhor De acordo com o livro
www.trainning.com.br
Um exemplo desse tipo de ameaça são fenômenos naturais, como
por exemplo, tempestades, queda de raio ou incêndio,
O termo "Ameaça" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
Módulo II
Tipos de Danos
Dano
Os danos são decorrentes das ameaças e
podem ser classificados de 2 formas:
www.trainning.com.br
Direto: Quando o resultado da ameaça
impacta de forma direta algum item de
configuração.
Direto Indireto
Exemplos:
Parara da rede por causa do ataque de
hacker, infecção por vírus que criptografa
os dados
Módulo II
Tipos de Danos
Dano
Indireto: Quando o resultado da ameaça
impacta de forma indireta algum item
de configuração.
www.trainning.com.br
Exemplos:
Direto Indireto
Danos provocados pela água de extintor
ou ar condicionado, perda de contrato
com cliente porque o banco de dados
ficou fora do ar após um ataque de
hackers
Módulo II
www.trainning.com.br
AMEAÇA
VULNERA
BILIDADE
PROBABI
LIDADE
POTENCIAL
IMPACTO
INCIDENTE DANO DESASTRE
Módulo II
Agente de
Ameaça ameaça
www.trainning.com.br
(hacker) (Invasão)
Vulnerabilidade
(Equipamentos)
www.trainning.com.br
(ameaças) devem ser são mapeados da melhor forma possível.
• A Segurança da Informação determina quais medidas de segurança
devem ser tomadas para evitar esses efeitos.
• A entidade que tira vantagem de uma vulnerabilidade é chamada de
agente ameaçador
• Exemplos: invasão do servidor, usuário mal intencionado, tornado
que destrói equipamentos
66
Módulo II
www.trainning.com.br
uma proteção que pode ser explorada
• Exemplos:
67
Módulo II
www.trainning.com.br
pela referência a possíveis eventos e consequências, ou uma
combinação deles.
• O risco de segurança da informação está associado ao potencial de que
as ameaças explorem as vulnerabilidades de um ativo ou grupo de
informações e, portanto, causem danos a uma organização.
• Exemplo:
• Portas do firewall mal configuradas
O termo "Risco" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
68
Módulo II
www.trainning.com.br
• É um processo contínuo que se aplica a todos os aspectos dos
processos operacionais.
• O principal papel pelo gerenciamento de risco é exercido pelo CISO
(Chief Information Security Officer)
• Uma de suas principais responsabilidades é monitorar os riscos
• Está contemplado na ISO 27005
O termo "Risco" não está definido na ISO / IEC 27002. Em vez disso, é definido na
norma ISO / IEC 27000: Visão Geral e Vocabulário
69
Módulo II
Gerenciamento de Risco
Definição do contexto
ANÁLISE / AVALIAÇÃO
Comunicação do risco
é reduzi-lo a um nível aceitável e não eliminá-lo. Identificação de riscos
www.trainning.com.br
Estimativa de riscos
A avaliação de risco deve identificar, quantificar e
priorizar os riscos de acordo com os critérios de Avaliação de riscos
Tratamento de riscos
Não
Ponto de decisão 2
Tratamento satisfatório ?
Sim
Aceitação de riscos
70
Fonte ISO/IEC 27005
Módulo II
Avaliação Não
Sim
www.trainning.com.br
reduzir, reter, evitar e transferir
Riscos residuais
71
Módulo II
www.trainning.com.br
• É a metodologia / processo para nos ajudar a adquirir uma visão /
compreensão dos riscos que uma organização está enfrentando e
precisa se proteger.
• Fornece a base para a avaliação de riscos e decisões sobre tratamento
de riscos.
Nota: Os riscos designam proprietários que também devem estar envolvidos na análise e nas
avaliações de riscos
73
Módulo II
BEST according to Foundations of
Análise de risco PRACTICE Information Security
www.trainning.com.br
atrapalhem o processo operacional
4. Determinar um equilíbrio entre os custos de um incidente e os
custos de uma medida de segurança
• Pergunta:
www.trainning.com.br
• Um servidor custa US $ 100.000.
• As medidas de segurança da informação desse servidor custam
US $ 150.000.
Definição do contexto
Análise de riscos
ANÁLISE / AVALIAÇÃO
Identificação de riscos
www.trainning.com.br
Análise
Análise de
de riscos
riscos
Qualitativa Quantitativa
Avaliação de riscos
Não
Ponto de decisão 1 ▪ Visão subjetiva (intuitiva) ▪ Baseada em números e valores
Avaliação satisfatória ? ▪ Pode ser utilizado o “bom ▪ Busca calcular o valor da dano
Sim ▪ senso”, intuição e experiência
Tratamento de riscos
Não
Ponto de decisão 2
Tratamento satisfatório ?
Sim
Aceitação de riscos
www.trainning.com.br
brainstorming, storyboard, questionários e reuniões
• É preciso que a equipe possua conhecimento experiência das ameaças
que estão sendo avaliadas
• Esta análise produz uma visão subjetiva (intuitiva) de possíveis
ameaças procurando elaborar contramedidas no eventual caso de
ataque cibernético
77
Módulo II
www.trainning.com.br
• A análise examina o processo operacional ao qual a ameaça se refere e as
medidas de segurança da informação que já foram tomadas
• Tudo isso leva a uma visão subjetiva das possíveis ameaças
• Medidas são tomadas posteriormente para minimizar o risco à segurança da
informação
• O melhor resultado é alcançado através da análise em uma sessão de grupo,
pois isso leva a uma discussão que evita a visão de uma única pessoa ou
departamento dominando a análise.
Módulo II
www.trainning.com.br
Módulo II
BEST according to Foundations of
Análise de risco quantitativa PRACTICE Information Security
www.trainning.com.br
• O valor de cada elemento em todos os processos operacionais é determinado
• Esses valores podem ser compostos pelos custos das medidas de segurança
da informação e pelo valor da propriedade, incluindo itens como edifícios,
hardware, software, informações e impacto nos negócios
• O tempo decorrido até a ameaça aparecer, a eficácia das medidas de
segurança da informação e o risco de exploração de uma vulnerabilidade
também são elementos a serem considerados
• Uma análise de risco puramente quantitativa é praticamente impossível
80
Módulo II
www.trainning.com.br
• A SLE que é uma quantidade atribuída a um único evento que representa
a perda potencial da empresa se uma ameaça especifica ocorrer
www.trainning.com.br
• ALE = Taxa de Perda Anual (Annual Rate of Occurence – ARO)
• ALE = ARO x SLE
• Suponha que um ativo seja avaliado em US $ 100.000 e o fator de exposição
(EF) para esse ativo seja de 25%. A expectativa de perda única (SLE), então, é de
25% * $ 100.000, ou $ 25.000.
• A expectativa de perda anual é o produto da taxa de ocorrência anual (ARO) e a
expectativa de perda única. ALE = ARO * SLE
• Para uma taxa anual de ocorrência de 3, a expectativa de perda anualizada é de
3 * US$ 25.000 ou US$ 75.000
Módulo II
www.trainning.com.br
se é necessário tomar medidas Ativos Ameaças Vulnerabilidades
para minimizar o risco e o que elas
podem ser. Análise de
Risco
Riscos
Gerenciamento Contramedidas
De Risco
83
Módulo II
BEST according to
PRACTICE ITIL CRAMM
Avaliação de risco
www.trainning.com.br
empresa
www.trainning.com.br
Medidas repressivas: Com o objetivo de interromper as consequências de
incidentes de segurança
Medidas corretivas: Com o objetivo de recuperar os danos causados por
incidentes de segurança
Adquirir seguro: Destinado a comprar seguro contra certos incidentes de
segurança, porque a implementação das medidas
de segurança pode ser muito cara
86
Módulo II
BEST according to Foundations of
www.trainning.com.br
Prevenção
Incidente
Repressão
Recuperação
87
Módulo II
www.trainning.com.br
Não intencional Fogo
Hacking, danificando propriedades, Inundações
destruindo e-mails após serem demitidos Furacões
Exclusão de dados e confirmação descuidada Tornados
com OK Etc.
Engenharia social
Phishing: Enganar as pessoas a fornecer
voluntariamente informações confidenciais
88
Módulo II
www.trainning.com.br
É o dano que geralmente tem impacto direto
São consequências que podem surgir, de
sobre o negócio quando uma ameaça se
forma indireta, após a ocorrência de uma
concretiza.
ameaça
Exemplo 1: Furto de um servidor de banco de
dados
Exemplo 1: Devido a um data center ser
Exemplo 2: Firewall queimado porque foi
inundado, nenhum Serviço de TI pode ser
atingido por um raio
fornecido, causando perda de receita para
os Negócios
Exemplo 2: Após apagar um incêndio o
banco de dados é destruído por causa
dos extintores
89
Módulo II
BEST according to Foundations of
• Termos:
• Ameaças
• Riscos
• Medidas de segurança
www.trainning.com.br
• Análise de risco
• Avaliação de risco
• Os tipos de análise de riscos
• Os vários tipos de ameaças e como lidar com elas
• Os vários tipos de danos
• As estratégias de risco que temos disponíveis
• As medidas de segurança que se pode implementar
90
Módulo II
Simulado – 10 Questões
www.trainning.com.br
1) Um departamento administrativo vai determinar os riscos aos quais está exposto.
Como denominamos um possível evento que possa comprometer a confiabilidade da informação?
A) Dependência
B) Ameaça (correta)
C) Vulnerabilidade
D) Risco
www.trainning.com.br
3) No ciclo de incidente há quatro etapas sucessivas. Qual é a etapa que sucede o incidente?
A) Ameaça
B) Dano (correta)
C) Recuperação
4) Há alguns anos você começou sua empresa, que já cresceu de 1 para 20 funcionários. As informações de sua empresa valem mais e mais e já passaram os dias em que você podia manter tudo em suas próprias
mãos. Você está ciente de que precisa tomar medidas, mas quais? Você contrata um consultor, que o aconselha a começar com uma análise de riscos qualitativa. O que é uma análise de riscos qualitativa?
A) Esta análise segue um cálculo preciso de probabilidade estatística a fim de calcular a exata perda causada pelo dano
B) Esta análise é baseada em cenários e situações e produz uma visão subjetiva de possíveis ameaças (correta)
5) Você precisa conduzir uma análise de riscos na sua empresa para determinar quais medidas terão que ser tomadas. Existem dois tipos de análise que podem ser feitas: qualitativa e quantitativa. De que consiste a
análise qualitativa de riscos?
A) Ela tem como objetivo calcular, baseando-se no impacto do risco, o nível do prejuízo financeiro e a probabilidade de uma ameaça se tornar um incidente
A) Calcular, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameça possa se tornar um incidente de segurança (correta)
B) Com base em cenários e situações, avaliar subjetivamente chances de uma ameaça se tornar real
C) Determinar probabilidade e impacto consultando consultores experientes no setor
D) Contabilizar a quantidade de riscos que poderiam ocorrer devido à manifestação de uma ameaça
A) Um relâmpago
B) Fogo
www.trainning.com.br
C) Phishing (correta)
9) Danos diretos são perdas, prejuízos e estragos provocados diretamente pela manifestação de ameaças. Danos indiretos são perdas consequentes das ameaças que podem ocorrer. Qual dos exemplos abaixo é
um dano direto?
10) Danos resultantes da ocorrência das ameaças podem ser classificados em dois grupos: diretos e indiretos. Qual das seguintes alternativas é um exemplo de dano indireto?
11) Existem dois grupos de análises de riscos: quantitativa e qualitativa. Qual o foco da análise quantitativa de riscos?
A) Calcular, com base no impacto do risco, o nível de perda financeira e a probabilidade que uma ameça possa se tornar um incidente de segurança (correta)
B) Com base em cenários e situações, avaliar subjetivamente chances de uma ameaça se tornar real
C) Determinar probabilidade e impacto consultando consultores experientes no setor
D) Contabilizar a quantidade de riscos que poderiam ocorrer devido à manifestação de uma ameaça
www.trainning.com.br
III - Abordagem e Organização
Módulo III
Objetivo:
www.trainning.com.br
Fornecer orientação de gerenciamento e suporte à Segurança da
Informação, de acordo com os requisitos comerciais e as leis e
regulamentos relevantes
95
Módulo III
Conteúdo:
www.trainning.com.br
Um conjunto de políticas para segurança da informação deve ser
definido, aprovado pela gerência, publicado e comunicado aos
funcionários e partes externas relevantes.
96
Módulo III
BEST according to Foundations of
www.trainning.com.br
• Esta política deve ser redigida de acordo com os requisitos
comerciais, bem como a legislação e os regulamentos relevantes
• A Política de Segurança da Informação deve ser aprovada pelo
Conselho de Administração e publicada para todos os funcionários e
todas as partes externas relevantes, como Clientes e Fornecedores
Publicando a política
97
Módulo III
BEST according to Foundations of
PRACTICE
Políticas de Segurança da Informação Information Security
Conteúdo
• Regulamentos
• Um regulamento é mais detalhado que um documento de política.
www.trainning.com.br
• Procedimentos
• Descreve em detalhes como determinadas medidas devem ser
executadas e, às vezes, pode incluir as Instruções de Trabalho.
• Diretrizes
• Fornecer orientação:
• Descreva quais aspectos devem ser examinados com aspectos
específicos de segurança
• As diretrizes não são obrigatórias, mas são de natureza consultiva.
• Padrões
• Por exemplo: a configuração padrão de plataformas específicas.
98
Módulo III
www.trainning.com.br
Confidencialidade, Integridade e Disponibilidade) continuem operando
• Para muitas organizações, a abordagem adotada para a Segurança de TI é
coberta por uma Política de Segurança da Informação pertencente e
mantida pelo Gerenciamento de Segurança da Informação
• Na execução da Política de Segurança, o Gerenciamento de Disponibilidade
desempenha um papel importante em sua operação para novos Serviços
de TI
99
Módulo III
www.trainning.com.br
• O ISM precisa entender o ambiente total de TI e Segurança de negócios,
incluindo:
100
Módulo III
www.trainning.com.br
• Política de uso e uso indevido de ativos de TI
• Uma política de controle de acesso
• Uma política de controle de senha
• Uma diretiva de email
• Uma política da Internet
• Uma política antivírus
• Uma política de classificação de informações
• Uma política de classificação de documentos
• Uma política de acesso remoto
• Uma política referente ao acesso do fornecedor a serviços, informações e
componentes de TI
• Uma política de alienação de ativos
101
Módulo III
www.trainning.com.br
6.1 Organização interna
Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e
operação da segurança da informação dentro da organização.
102
Módulo III
www.trainning.com.br
6.1.2 Segregação de funções
▪ Deveres e áreas de responsabilidade conflitantes devem ser segregados para reduzir as oportunidades de
modificação não autorizada ou não intencional ou uso indevido dos ativos da organização.
www.trainning.com.br
• 6.2.1 Política de dispositivo móvel
•Uma política e medidas de segurança de suporte devem ser adotadas
para gerenciar os riscos introduzidos pelo uso de dispositivos móveis.
104
Módulo III
• Sem segurança efetiva das informações, não é possível que uma organização
www.trainning.com.br
sobreviva
• Todos na organização devem aceitar isso e o conselho de administração e a
gerência devem agir como exemplos
• Somente quando a gerência apoia sua própria Política, os funcionários levam a
sério a Segurança da Informação e, assim, trabalham para cumprir as medidas.
• Segurança da Informação é um processo no qual muitas pessoas estão
envolvidas
• O processo precisa ser controlado efetivamente
• Se não houver responsabilidade ou gerenciamento, a Segurança da informação
não será eficaz 105
Módulo III
www.trainning.com.br
• Em pequenas organizações, a Segurança da Informação pode ser apenas uma
das responsabilidades de várias pessoas
• Uma pessoa que trabalha por conta própria e sem funcionários é responsável por
todos os aspectos da TI, incluindo Segurança
• Por outro lado, em grandes organizações, haverá pessoal cuja única
responsabilidade é um aspecto particular da Segurança da Informação
• No processo de Segurança da Informação, é necessário realizar consultas
periódicas entre todos aqueles com responsabilidade primária
106
Módulo III
Conteúdo (continuação)
• Além dos agentes de Segurança da Informação, também podem ser
responsáveis pela implementação de determinadas medidas
www.trainning.com.br
• Preferencialmente, são pessoas que trabalham nos departamentos de
Recursos Humanos, Informação, Finanças, Contabilidade ou
Acomodação
107
Módulo III
Funções BEST
PRACTICE
according to Foundations of
Information Security
www.trainning.com.br
CISO (Chief Information Security Officer) está no mais alto nível de gerenciamento da
organização e desenvolve a estratégia geral para todo o negócio
Oficial de Segurança da Informação (ISO) desenvolve a política de uma unidade de
negócios com base na política da empresa e garante que ela seja observada
Information Security Manager (ISM) desenvolve a Política de Segurança da Informação na
organização de TI e garante que isso seja observado
Além dessas funções voltadas especificamente para a segurança da informação, uma
organização pode ter um Diretor de Política de Segurança da Informação ou um Oficial de
Proteção de Dados
108
Módulo III
BEST
Funções PRACTICE
according to ITIL
O Gerente de Segurança:
O Gerente de Segurança é responsável por garantir que os objetivos de Segurança da Informação
Gerenciamento são atendidos, como:
www.trainning.com.br
Desenvolvendo e mantendo a Política de Segurança da Informação
• Comunicação e divulgação da Política de Segurança da Informação
• Garantir que a Política de Segurança da Informação seja aplicada e respeitada
• Identificação e classificação de ativos de TI e informações e o nível de controle e proteção necessário
• Assistência com análises de impacto nos negócios
• Executando análise de risco de segurança e gerenciamento de risco
• Projetando controles de segurança e desenvolvendo planos de segurança
• Desenvolvimento e documentação de procedimentos para operação e manutenção de controles de segurança
• Monitorar e gerenciar todas as violações de segurança e lidar com incidentes de segurança
109
Módulo III
www.trainning.com.br
• Manter um conjunto de controles e documentação de segurança e revisar e auditar regularmente
controles e procedimentos de segurança
• Garantir que todas as alterações sejam avaliadas quanto ao impacto em todos os aspectos de
segurança, incluindo a Política de Segurança da Informação e os controles de segurança, e
participando de reuniões do CAB quando apropriado
• Executando testes de segurança
• Participar de quaisquer análises de segurança decorrentes de violações de segurança e instigar ações
corretivas
• Garantir que a confidencialidade, integridade e disponibilidade dos serviços sejam mantidas nos
níveis acordados nos SLAs e que estejam em conformidade com todos os requisitos legais relevantes
• Garantir que todo o acesso aos serviços por parceiros e fornecedores externos esteja sujeito a
acordos e responsabilidades contratuais
• Atuando como ponto focal para todos os problemas de segurança
110
Módulo III
Objetivos:
www.trainning.com.br
contratados.
111
Módulo III
www.trainning.com.br
indicar suas responsabilidades e a da organização pela segurança da informação.
• 7.2.1 Responsabilidades da gerência A gerência deve exigir que todos os funcionários e contratados
apliquem a segurança das informações de acordo com as políticas e procedimentos estabelecidos da
organização.
• 7.2.2 Conscientização, educação e treinamento em segurança da informação Todos os funcionários da
organização e, quando pertinente, contratados devem receber educação e treinamento em
conscientização apropriados e atualizações regulares nas políticas e procedimentos organizacionais,
conforme relevantes para o seu cargo.
• 7.2.3 Processo disciplinar Deve haver um processo disciplinar formal e comunicado para tomar
medidas contra funcionários que cometeram uma violação da segurança da informação.
• 7.3.1 Rescisão ou mudança de responsabilidades no emprego As responsabilidades e os deveres de
segurança da informação que permanecem válidos após o término ou a mudança de emprego devem
ser definidos, comunicados ao empregado ou contratado e cumpridos 112
Módulo III
www.trainning.com.br
conduta pode indicar, por exemplo, que emails particulares não são permitidos.
• O gerente é responsável pelas descrições corretas das funções e, portanto, também é
responsável pelos vários aspectos relacionados ao tratamento de informações nos
vários cargos
• Para uma posição que envolve confidencialidade, essa confidencialidade pode ter que
ser observada mesmo após o término do emprego. O gerente é responsável por
documentar regras especiais para posições específicas. Em todos os casos, todo o
pessoal com uma posição que envolva confidencialidade deve assinar um Acordo de
Não Divulgação (NDA).
• Também é geralmente o caso em que esse pessoal deve enviar um certificado de bom
caráter ou concordar com uma verificação de antecedentes
113
Módulo III
www.trainning.com.br
Que e-mails pessoais não são permitidos
Os registros de funcionários podem conter informações como perfil do trabalho, contrato de
trabalho e vários acordos assinados
Que, para o uso de e-mail, declara-se entender e ter a intenção de observar a legislação (por
exemplo, na área de proteção de dados e crimes informáticos), bem como aderir ao Acordo
de Não Divulgação
Que uma campanha de conscientização conscientize os funcionários sobre ameaças à
segurança, como malware, phishing e spam
Que terceiros atendam aos requisitos de segurança da informação
Que é permitido o uso de telefone, email e Internet para fins pessoais, desde que o trabalho
não sofra conseqüência;
É explicitamente proibido baixar músicas, filmes e software e visitar sites com orientação
sexual.
114
Módulo III
Propriedade
6.2.1 Política de dispositivo móvel
…
Diretrizes de implementação
www.trainning.com.br
• Onde a política de dispositivos móveis permite o uso de dispositivos móveis de
propriedade privada, a política e as medidas de segurança relacionadas também devem
considerar:
• a) separação do uso privado e comercial dos dispositivos, incluindo o uso de software
para suportar essa separação e proteger os dados comerciais em um dispositivo privado;
• b) fornecer acesso às informações comerciais somente após os usuários assinarem um
contrato de usuário final reconhecendo suas funções (proteção física, atualização de
software etc.), renunciar à propriedade dos dados comerciais, permitindo a limpeza
remota de dados pela organização em caso de roubo ou perda do dispositivo ou
quando não estiver mais autorizado a usar o serviço. Esta política precisa levar em conta
a legislação de privacidade. 115
Módulo III
Propriedade
8.1.1 Inventário de ativos
Diretrizes de implementação
• Para cada um dos ativos identificados, a propriedade do ativo deve ser atribuída e a
classificação deve ser identificada….
www.trainning.com.br
8.1.2 Propriedade dos ativos
Controle
• Os ativos mantidos no inventário devem ser de propriedade.
Diretrizes de implementação
• Um processo para garantir a atribuição oportuna da propriedade de ativos geralmente é
implementado. A propriedade deve ser atribuída quando ativos são criados ou quando
ativos são transferidos para a organização. O proprietário do ativo deve ser responsável
pelo gerenciamento adequado de um ativo durante todo o ciclo de vida do ativo
116
Módulo III
www.trainning.com.br
• As informações registradas sobre o ativo comercial são:
• O tipo de ativo de negócios
• Proprietário
• Localização
• Formato
• Classificação
• Valor para o negócio
• O Proprietário é a pessoa responsável por um Processo de Negócios,
subprocesso ou Atividade de Negócios e cuida de todos os aspectos do Ativo de
Negócios, incluindo Segurança, gerenciamento, produção e desenvolvimento
117
Módulo III
• O proprietário é a pessoa responsável por um ativo comercial. Uma pasta na rede pode,
por exemplo, ter um proprietário. Se alguém quiser ter acesso a essa pasta, o proprietário
terá que dar permissão
• Nos laptops, o usuário geralmente é registrado como proprietário
www.trainning.com.br
• O Proprietário de um Ativo Comercial atribui uma classificação apropriada de acordo
com uma lista acordada de classificações. A classificação:
www.trainning.com.br
ser armazenado fisicamente
• O Proprietário dos Dados, geralmente um gerente, é a pessoa que autoriza o
acesso durante o processo de autorização. Essa autorização pode ser
processada automaticamente por software ou pode ser concedida pelo
gerente do sistema / aplicativo
119
Módulo III
www.trainning.com.br
Módulo III
Objetivo:
www.trainning.com.br
16.1 Gerenciamento de incidentes e melhorias na segurança da
informação
• Garantir uma abordagem consistente e eficaz ao gerenciamento de
incidentes de segurança da informação, incluindo comunicação sobre
eventos e pontos fracos de segurança
121
Módulo III
Incidentes de segurança
• Exemplos
www.trainning.com.br
• Violação das expectativas de integridade, confidencialidade ou
disponibilidade das informações
• Erros humanos
• Não conformidades com políticas ou diretrizes
• Violações de acordos de segurança física
• Alterações não controladas do sistema
• Mau funcionamento de software ou hardware
• Violações de acesso.
122
Módulo III
www.trainning.com.br
• Localização (onde está o incidente?)
• Qual é o problema? (descrição do incidente: incidente com vírus, roubo, invasão, perda de
dados etc.)
• Qual é o efeito do incidente?
• Como foi descoberto?
www.trainning.com.br
• Eles devem relatar todos os incidentes e pontos fracos o mais rápido possível ao
Service Desk ou a uma pessoa de contato.
• Dois assuntos são de grande importância e precisam ser esclarecidos pela gerência:
www.trainning.com.br
• É importante que as pessoas não tenham medo de denunciar um Incidente por
medo da resposta da Gerência ou que não queiram ser vistas como
reveladoras.
• O processo também deve garantir que a pessoa que relata um incidente de
segurança da informação seja informada dos resultados depois de ter sido
tratada.
125
Processo genérico de gerenciamento de incidentes
BEST according to ITIL
PRACTICE
Incident Control
Detection & Registration
www.trainning.com.br
Classification & Assignment
Yes Service
Ownership, Service
Request
monitoring, Request
Procedure
tracking,
and No
communication No Investigation
Investigation & Diagnosis Match? and
diagnosis
Yes No
Resolution & Recovery Match?
Yes
Closure
126
Módulo III
Existem 2 tipos de
escalonamento de incidentes:
Gerente de TI
www.trainning.com.br
Vertical: O incidente pode ser
escalonado para o
coordenador ou gerente
Coordenador
de Sistemas
Coordenador
de Banco de
Dados
www.trainning.com.br
possíveis 6 tipos de medidas: Detectiva Incidente
• Redutiva, preventiva,detectiva,
repressiva, corretiva e avaliativa Repressiva
• As medidas devem ser tomadas Dano
com base no CID da organização
• É muito importante que todos os
incidentes sejam registrados e
que as evidências sejam Corretiva Recuperação
armazenadas para fins de
melhoria ou auditoria.
Avaliativa
Módulo III
O que aprendemos?
www.trainning.com.br
• O Código de Conduta, Propriedade e Funções e Responsabilidades com
relação à Segurança da Informação
• O gerenciamento de incidentes de segurança da informação
129
Simulado – 10 Questões
www.trainning.com.br
1) Um incidente de segurança relacionado com um servidor Web é relatado a um funcionário do helpdesk. Sua colega tem mais experiência em servidores Web, então ele transfere o caso para ela. Qual termo
descreve essa transferência?
2) Se o funcionário da helpdesk não está habilitado a lidar com um incidente devido à falta de
conhecimento técnico, este incidente pode ser repassado para outro funcionário com mais experiência para resolver a questão. Isto é chamado de: [Código de referência: 3534]
A) Escalação funcional (correta)
B) Escalação hierárquica
3) Ao lidar com um incidente, o help desk pode fazer uma escalação hierárquica. Qual exemplo
abaixo descreve uma escalação hierárquica?
A) Encaminhar uma falha de segurança em um determinado aplicativo para o fornecedor do
aplicativo
B) Notificar o Gerente de Segurança da informação que há uma incoerência na política de acessos
www.trainning.com.br
C) Notificar um gerente a respeito de um comportamento suspeito de um colega (correta)
5) Uma funcionária de uma companhia de seguros descobre que a data de validade de uma política
foi alterada sem seu conhecimento. Ela é a única pessoa autorizada a fazer isso. Ela relata este incidente de segurança ao helpdesk. O atendente do helpdesk registra as seguintes informações sobre este incidente:
- data e hora
- descrição do incidente
- possíveis consequências do incidente
A) Ameaça
B) Dano (correta)
C) Recuperação
6) Qual é o termo usado para designar a causa potencial de um incidente indesejado que pode resultar em danos a um sistema ou organização?
A) Evento
B) Ameaça (correta)
C) Incidente
D) Vulnerabilidade
7) Em uma avaliação de riscos identificamos além da ameaça o agente da ameaça. De que forma definimos este agente da ameaça?
www.trainning.com.br
A) A entidade que tira vantagem de uma vulnerabilidade (correta)
B) Pessoas que roubam informações
C) Danos causados pela ameaça
9) Você trabalha em uma instituição bancária e percebe que tem acesso a informações confidenciais de determinados clientes que não deveria conseguir acessar. Você reporta isto como um incidente de
segurança para a central de serviços e o ciclo de incidente é iniciado. Depois da fase de ocorrência do incidente, o que ocorre na sequência?
A) Ameaça
B) Dano (correta)
C) Recuperação
10) O gerenciamento de riscos é um processo contínuo que se aplica a todos os aspectos dos processos operacionais. Em grandes organizações, a função de acompanhar este processo é realizada por
um especialista em segurança da informação. Qual função representa o mais alto nível hierárquico na segurança da informação de uma organização?
A) Diretor Principal de Segurança da Informação (Chief Information Security Officer - CISO) (correta)
B) Gerente de Segurança da Informação (Information Security Officer - ISM)
C) Gestor de Segurança da Informação (Information Security Manager- ISO)
www.trainning.com.br
IV - Medidas
Assignment
www.trainning.com.br
134
Módulo IV
BEST according to Foundations of
www.trainning.com.br
Prevenção
Incidente
Repressão
Recuperação
135
Módulo IV
www.trainning.com.br
Contramedidas detectivas: Visam detectar incidentes de segurança
Contramedidas repressivas: Visam interromper as consequências de
incidentes de segurança
Contramedidas corretivas: Visam recuperar os danos causados por
incidentes de segurança
Aceitação: Visa aceitar o risco, geralmente adquire-se um seguro contra
certos incidentes de segurança, uma vez que a implementação das
medidas de segurança pode ser muito cara
136
Módulo IV
Medidas preventivas
www.trainning.com.br
•
• Exemplos:
• Interrompendo a conexão com a Internet
• Fazendo uma prova de bala da porta do cockpit
• Colocar informações confidenciais em um local
segurob
137
Módulo IV
• Exemplos:
www.trainning.com.br
• Vigilância por vídeo com adesivos nas janelas informando as
pessoas que estão sendo monitoradas
• Informar as pessoas que o uso da Internet está sendo
monitorado dissuadirá muitos funcionários de atividades
impróprias de navegação na Internet
138
Módulo IV
BEST according to Foundations of
www.trainning.com.br
• Exemplos:
• Apagando um pequeno incêndio
• Fazendo um backup
• Um arranjo de espera
139
Módulo IV
BEST according to Foundations of
PRACTICE Information Security
Medidas corretivas
• Exemplos:
www.trainning.com.br
• Ao criar um novo banco de dados, um banco de dados
existente foi substituído; a idade do backup desse banco de
dados determinará quanto esforço de recuperação precisará
ser feito
140
Módulo IV
www.trainning.com.br
• Exemplos:
• Seguro contra fogo
• Colocando cópias de informações importantes em um local diferente
141
Módulo IV
Exercício
www.trainning.com.br
Medidas preventivas
Medidas detectivas
Medidas repressivas
Medidas corretivas
Adquirir seguro
142
Módulo IV
Classificação da informação
Objetivo Garantir que as informações recebam um nível adequado de proteção, de
acordo com sua importância para a organização.
Conteúdo
www.trainning.com.br
8.2.1 A classificação das informações deve ser classificada em termos de
requisitos legais, valor, criticidade e sensibilidade à divulgação ou modificação
não autorizada.
143
Módulo IV
www.trainning.com.br
também deve incluir os procedimentos para cadeia de custódia e registro de qualquer evento
relevante de segurança
• A rotulagem (tagueamento) e o manuseio seguro de informações classificadas são um
requisito essencial para acordos de compartilhamento de informações
• Rótulos físicos são uma forma comum de rotulagem
• No entanto, documentos eletrônicos exigem que um meio eletrônico de rotulagem que
precise ser usado; por exemplo. uma mensagem de notificação na tela
144
Módulo IV
Melhor De acordo com o livro Foundations of
Classificação da informação na prática Prática Information Security
CLASSIFICAÇÃO DA INFORMAÇÃO
• Usada para definir diferentes níveis de sensibilidade na qual a informação deve ser
estruturada
www.trainning.com.br
CLASSIFICAR
• É o ato de atribuir a classificação apropriada, como por exemplo, sigiloso, confidencial ou
público
DESIGNAR
• Forma especial de categorizar a informação, por exemplo, assunto ou grupo de pessoas
autorizadas
PROPRIETÁRIO
• É a cada encarregada de um ativo de negócio
145
Módulo IV
Segurança física
Objetivo:
www.trainning.com.br
Para impedir o acesso físico não autorizado, danos e interferência nas informações e
instalações de processamento de informações da organização.
Conteúdo
Segurança física
11.2 Equipamento
Objetivo:
Para evitar perda, dano, roubo ou comprometimento de ativos e interrupção das
operações da organização.
www.trainning.com.br
Conteúdo:
11.2.1 Localização e proteção do equipamento
11.2.2 Utilitários de suporte
11.2.3 Segurança de cabeamento
11.2.4 Manutenção de equipamentos.
11.2.5 Remoção de ativos
11.2.6 Segurança de equipamentos e ativos externos
11.2.7 Eliminação segura ou reutilização de equipamentos
11.2.8 Equipamento de usuário desacompanhado
11.2.9 Política de mesa limpa e tela limpa 147
Módulo IV
www.trainning.com.br
maneira coerente
Exemplos:
A proteção dos equipamentos através do controle climático (ar
condicionado, umidade)
Os cabos devem ser instalados de maneira que não ocorra interferência.
Interferência ocorre quando os cabos de rede captam o ruído e a estática
dos cabos de energia que correm paralelos a eles
A exclusão de informações confidenciais na mídia de armazenamento
quando uma pessoa sai da organização
148
Módulo IV
BEST according to Foundations of
Principais Categorias:
• Anéis de proteção
• A área ao redor do edifício
• O edifício
www.trainning.com.br
• O espaço de trabalho
• Os objetos
• Alarmes
• Sensores
• Monitoramento
• Proteção contra fogo
• Planejamento de Emergência
• Relacionado ao planejamento de contingência
de negócios
149
Módulo IV
Segurança técnica
9. Controle de Acesso
www.trainning.com.br
informações e facilidades de processamento de informações.
9.2 Gerenciamento de acesso do usuário Objetivo: Garantir o acesso autorizado do
usuário e impedir o acesso não autorizado a sistemas e serviços.
9.3 Responsabilidades do usuário Objetivo: Responsabilizar os usuários pela proteção
de suas informações de autenticação.
9.4 Controle de acesso ao sistema e aplicativos Objetivo: Impedir o acesso não
autorizado a sistemas e aplicativos.
10. Criptografia
10.1 Controles criptográficos Objetivo: Garantir o uso adequado e eficaz da
criptografia para proteger a confidencialidade, autenticidade e / ou integridade das
informações.
150
Módulo IV
www.trainning.com.br
▪ Administração centralizada
▪ Controle muito rígido
▪ Administração DEScentralizada
▪ Controle flexível
▪ O usuário PODE alterar as
▪ O usuário não pode alterar as permissões de acesso
permissões de acesso ▪ O usuário define quem irá ou não
▪ As permissões são obtidas através ter a acesso ao objeto através de
de uma política de segurança da permissões
informação
Módulo IV
Segurança técnica
Conteúdo:
9.1.1 Política de controle de acesso Uma política de controle de acesso deve ser
estabelecida, documentada e revisada com base nos requisitos de negócios e
segurança da informação.
www.trainning.com.br
9.1.2 Acesso a redes e serviços de rede Os usuários devem ter acesso apenas à rede
e aos serviços de rede que eles foram especificamente autorizados a usar.
9.2.1 Registro e cancelamento de registro do usuário Um processo formal de
registro e cancelamento de registro deve ser implementado para permitir a
atribuição de direitos de acesso.
9.2.2 Provisionamento de acesso do usuário Um processo formal de
provisionamento de acesso do usuário deve ser implementado para atribuir ou
revogar direitos de acesso de todos os tipos de usuários a todos os sistemas e
serviços.
152
Módulo IV
Segurança técnica
Conteúdo (continuação):
9.2.3 Gerenciamento de direitos de acesso privilegiados A alocação e uso de direitos de acesso
privilegiados devem ser restritos e controlados.
www.trainning.com.br
9.2.4 Gerenciamento de informações de autenticação secreta dos usuários A alocação de
informações de autenticação secreta deve ser controlada através de um processo formal de
gerenciamento.
9.2.5 Revisão dos direitos de acesso dos usuários Os proprietários de ativos devem revisar os
direitos de acesso dos usuários em intervalos regulares.
9.3.1 Uso de informações de autenticação secreta Os usuários devem ser obrigados a seguir as
práticas da organização no uso de informações de autenticação secreta.
153
Módulo IV
Segurança técnica
Conteúdo (continuação):
• 9.4.1 Restrição de acesso a informações. O acesso a informações e funções do sistema
de aplicativos deve ser restrito de acordo com a política de controle de acesso.
• 9.4.2 Procedimentos de logon seguro. Quando exigido pela política de controle de
www.trainning.com.br
acesso, o acesso a sistemas e aplicativos deve ser controlado por um logon seguro
• 9.4.3 Sistema de gerenciamento de senhas Os sistemas de gerenciamento de senhas
devem ser interativos e garantir senhas de qualidade.
• 9.4.4 Uso de programa utilitário privilegiado O uso de programas utilitários que possam
ser capazes de substituir os controles do sistema e do aplicativo deve ser restrito e
rigidamente controlado.
• 9.4.5 Controle de acesso ao código fonte do programa O acesso ao código fonte do
programa deve ser restrito.
154
Módulo IV
Segurança técnica
Conteúdo (continuação):
• 10.1.1 Política de uso de controles criptográficos Uma política de uso de controles
criptográficos para proteção de informações deve ser desenvolvida e implementada.
www.trainning.com.br
• 10.1.2 Gerenciamento de chaves Uma política sobre o uso, a proteção e a vida útil
das chaves criptográficas deve ser desenvolvida e implementada durante todo o
ciclo de vida.
155
Módulo IV
www.trainning.com.br
• O uso correto de um aplicativo e o processamento correto de
informações
156
Módulo IV
www.trainning.com.br
• Requisitos de segurança para sistemas de informação
• Requisitos relativos à compra e desenvolvimento de sistemas de informação
• Criptografia
Um meio de manter as informações em segredo: criptografia de dados
• Requisitos de segurança para sistemas de informação
• Requisitos relativos à compra e desenvolvimento de sistemas de informação
157
Módulo IV
BEST according to Foundations of
Medidas de segurança técnica PRACTICE Information Security
Política de criptografia; :
www.trainning.com.br
• Que tipos de criptografia a organização usa e em
quais aplicativos
• Controle e gerenciamento de chaves
• Cópia de segurança
• Ao controle
158
Módulo IV
www.trainning.com.br
fisicamente
• O registro dos pares de chaves: Quais pares foram emitidos para quem e quando
• Quando uma chave expirará?
• O que deve ser feito quando uma chave foi comprometida?
• Evite usar a mesma chave em sistemas diferentes (por exemplo, laptops)
159
Módulo IV
O que é PKI ?
BEST
Tipos de sistemas criptográficos
according to Foundations of
PRACTICE Information Security
Simétrico
Encryption
Decryption
www.trainning.com.br
Como vai ? %RT$@<S Como vai?
W?S<MG_(
*
Mesma Chave
Segredo compartilhado
161
Módulo IV
Assimétrico
Encryption
Decryption
www.trainning.com.br
How are %RT$@<S How are
you doing? W?S<MG_( you doing?
*
Different keys
are used to
encrypt and
decrypt
Recipient’s Recipient’s
Public Key Private Key
162
Módulo IV
www.trainning.com.br
produzida ou enviada por quem ela afirma ser comparável à assinatura de
documentos em papel com uma assinatura escrita.
• Uma assinatura digital geralmente consiste em dois algoritmos:
• um para confirmar que as informações não foram alteradas por terceiros
• o outro para confirmar a identidade da pessoa que “assinou” o
• em formação
• Em alguns países (por exemplo, UE), uma assinatura digital agora é considerada igual
a uma assinatura "em papel". Na maioria dos casos, deve ser possível verificar essa
assinatura digital usando um certificado atestado, que deve ser feito por meios
seguros (por exemplo, um cartão inteligente)
Módulo IV
BEST
Três etapas para o Internet Banking PRACTICE
according to Foundations of
Information Security
• A Associação Holandesa de Bancos mostrou que 98% dos bancos que utilizam a
Internet o consideram seguro
• No entanto, cerca de 20% não tomam medidas de segurança suficientes
www.trainning.com.br
• Os bancos trabalham diariamente para manter a segurança, mas a responsabilidade
pela segurança também cabe ao consumidor
• Isso levou à campanha dos "três direitos" na Holanda:
A segurança do seu PC está correta?
O site do seu banco está correto?
Seu pagamento está correto?
• A atenção pode ajudar a evitar muitos danos
164
Módulo IV
www.trainning.com.br
• Normalmente, a vítima recebe um e-mail pedindo
para verificar ou confirmar uma conta com um banco
ou provedor de serviços, números de conta, códigos
PIN ou detalhes de cartão de crédito, por exemplo
• Às vezes, mensagens instantâneas são usadas
• Mesmo contato telefônico foi tentado
165
Módulo IV
www.trainning.com.br
consideradas spam
Um filtro de spam pode aliviar um pouco esse fardo
Existem algumas coisas que os usuários de computador
podem fazer para combater o spam. Alguns deles são:
Nunca responda a uma mensagem de spam - mesmo se você
"optar por não participar" ou "cancelar" causa mais spam,
você estará confirmando para o remetente de spam que ele
possui um e-mail ativo e seu spam aumentará
Não encaminhe mensagens de spam e não distribua
endereços de email (use a funcionalidade Cco)
166
Módulo IV
Malware BEST
PRACTICE
according to Foundations of
Information Security
www.trainning.com.br
worms, cavalos de Tróia e spyware
• Uma medida padrão contra malware é usar
scanners antivírus e um firewall
• Um antivírus sozinho não é suficiente para
interromper o malware devido a ações humanas,
como abrir emails suspeitos ou de remetentes
desconhecidos
167
Módulo IV
Definição:
• Um vírus é um pequeno programa de computador que se replica propositadamente, às
vezes de forma alterada
www.trainning.com.br
• As versões replicadas do vírus original também são, em virtude dessa definição, vírus. Para
que o vírus se espalhe, depende de operadoras que contenham código executável
Explicação:
• Assim que o portador é ativado, o vírus procura novos portadores adequados e tenta
infectá-los. O vírus só pode se espalhar para fora do alcance do sistema infectado se um
usuário transferir arquivos do sistema infectado para um novo sistema.
• As operadoras eram tradicionalmente apenas programas, mas hoje em dia os documentos
podem atuar como host de um vírus, pois cada vez mais eles contêm códigos executáveis,
como macros, VBScript ou ActiveX. Na grande maioria dos casos, os vírus são equipados
com uma carga útil que hospeda todas as tarefas que não sejam necessárias para
replicação. Essa carga útil é geralmente, mas nem sempre sempre, de natureza destrutiva168
Módulo IV
Vírus BEST
PRACTICE
according to Foundations of
Information Security
Exemplos:
• Brain
www.trainning.com.br
• Chernobyl
Medidas:
• Verifique se há um antivírus no servidor de email e nos
computadores individuais no local de trabalho
• Verifique se o assunto de vírus está incluído em uma campanha
de conscientização de segurança
• Verifique se esse assunto está incluído na Política de Segurança
da Informação da organização
169
Módulo IV
Definição:
• Um worm é um pequeno programa de computador que se
replica intencionalmente. Os resultados da replicação são
cópias da propagação original para outros sistemas,
www.trainning.com.br
utilizando os recursos de rede de seu host.
Explicação:
• As diferenças entre vírus e worms estão se tornando cada
vez mais obscuras
• Um vírus pode atacar seu host por diferentes operadoras e
infectar novas operadoras transferindo código ativo nessas
novas operadoras
• Um worm, por outro lado, não depende de um usuário se
espalhar: assim que um worm é ativado, ele pode se espalhar
automaticamente. É isso que permite que os worms infectem
grandes áreas em um curto período de tempo. 170
Módulo IV
Exemploss:
• Melissa, I love you, Happy99, Blaster, Storm Worm
www.trainning.com.br
Medidas:
• Verifique se há um scanner (vírus) no servidor de correio e nos
computadores individuais no local de trabalho
• Como os worms podem ser descobertos na rede, certifique-se de usar
uma ferramenta de monitor de rede
• Verifique se o assunto de vírus está incluído em uma campanha de
conscientização de segurança
• Verifique se esse assunto está incluído na Política de Segurança da
Informação da organização
• Garantir que haja maneiras eficazes de relatar incidentes e que haja bons
procedimentos de acompanhamento 171
Módulo IV
Definição:
• Um Trojan é um programa que, além da função que parece desempenhar, realiza
propositadamente atividades secundárias, despercebidas pelo usuário do computador,
o que pode prejudicar a integridade do sistema infectado
www.trainning.com.br
Explicação:
• Assim como no verdadeiro cavalo de Tróia, um cavalo de Tróia se apresenta como algo
útil, mas, quando ativado pelo usuário, realiza todo tipo de atividades indesejadas em
segundo plano
• A carga útil de um Trojan geralmente instala um "backdoor", através do qual pessoas
desconhecidas podem obter acesso não autorizado ao sistema infectado
• Outra atividade frequente dos cavalos de Troia é que eles enviam informações
confidenciais do sistema infectado para outro local onde elas podem ser coletadas e
analisadas
• A diferença mais notável com vírus e worms é que os cavalos de Troia não podem se
auto-replicar. Como resultado, os cavalos de Troia geralmente são capazes de continuar
fazendo seu trabalho despercebidos por um longo período de tempo.
172
Módulo IV
Trojan BEST
PRACTICE
according to Foundations of
Information Security
Exemplos:
• BackOrrifice, Netbus
Medidas:
www.trainning.com.br
• Verifique se há um scanner de Trojan e / ou vírus no servidor de email e
nos computadores individuais no local de trabalho
• Garantir que o assunto Trojans seja incluído em uma campanha de
conscientização de segurança; por exemplo, a equipe deve estar ciente
dos perigos de abrir anexos de e-mails suspeitos
• Verifique se esse assunto está incluído na Política de Segurança da
Informação da organização
• As conseqüências dos cavalos de Troia (comunicação) também podem ser
descobertas na rede pelos gerentes de rede; ferramentas de monitor de
rede estão disponíveis para este
173
Módulo IV
BEST according to Foundations of
PRACTICE Information Security
Hoax
Definição:
• Um hoax é uma mensagem que tenta convencer o leitor de sua
veracidade e depois convence o leitor a realizar uma ação específica
www.trainning.com.br
• A disseminação de uma farsa depende do envio deliberado da
mensagem a outras vítimas em potencial que também podem fazer o
mesmo Se você quebrar
esta corrente
Explicação: minha vingança
será maligna
• A carga útil de um hoax não é de natureza técnica, mas psicológica
• Ao brincar com as emoções das pessoas, o hoax tenta convencer o
leitor a enviá-la a outras pessoas (uma forma de engenharia social)
• Esse quase sempre é o objetivo de um hoax, mas um hoax pode
ocasionalmente tentar convencer uma pessoa a depositar dinheiro,
fornecer informações pessoais (phishing) ou algo semelhante.
• As correntes são a forma mais significativa e bem-sucedida de trotes 174
Módulo IV
Medidas:
www.trainning.com.br
• Verifique se há um antivírus no local de trabalho e uma solução
anti-spam para o servidor de email. Uma farsa geralmente contém
textos que podem ser reconhecidos por esses scanners
Envie esta msg e
um cobre coitado
ganhará 1 real
Definição:
• Uma bomba lógica é um pedaço de código embutido em um
sistema de software
www.trainning.com.br
• Este código executará uma função quando condições específicas
forem atendidas
• Isso nem sempre é usado para fins maliciosos. Um programador
de computador, por exemplo, pode criar um código que destrói
arquivos (sensíveis) assim que sai da rede da empresa
• Vírus e worms geralmente contêm bombas lógicas, que
geralmente possuem um atraso interno para a execução do vírus
ou a disseminação do worm
Medidas:
• Para softwares criados por funcionários da empresa ou sob
contrato com terceiros, verifique se uma revisão de código é
realizada por outra parte 176
Módulo IV
BEST according to Foundations of
Spyware PRACTICE Information Security
Definição:
• O Spyware é um programa de computador que coleta informações
sobre o usuário do computador e envia essas informações a terceiros.
O objetivo disso é ganhar dinheiro
www.trainning.com.br
• O spyware não intencionalmente tenta danificar o PC e / ou o software
instalado, mas sim violar a privacidade
• O spyware pode ser reconhecido de várias maneiras, por exemplo:
• O computador está mais lento que o normal
• Os programas estão sendo executados no computador que você não
iniciou ou que nunca viu antes
• As configurações do computador foram modificadas e pode haver
uma barra de ferramentas no seu navegador da Internet que não
existia antes e não pode ser removida
• Todos os tipos de pop-ups aparecem sem aviso ou ao abrir páginas da
web 177
Módulo IV
Medidas:
• Existem scanners que examinam o registro do Windows em busca
de chaves de registro suspeitas e examinam o software instalado
quanto a spyware
www.trainning.com.br
• Às vezes, os programas antivírus também podem detectar
spywares
• Use um firewall pessoal para detectar o tráfego de rede,
especialmente o tráfego que sai do computador sem motivo
• Verifique se o assunto de spyware está incluído em uma campanha
de conscientização de segurança
• Verifique se esse assunto está incluído na Política de Segurança da
Informação da organização
• Garantir que haja maneiras eficazes de relatar incidentes e que haja
bons procedimentos de acompanhamento
178
Módulo IV
Explicação:
• Storm Worm é considerado por muitos o futuro do malware
• É paciente e, portanto, difícil de detectar e analisar
www.trainning.com.br
• Funciona como uma colônia de formigas, na qual não existe um
servidor central de comando e controle, mas uma conexão de rede
entre milhares de PCs infectados é configurada
• Como resultado, as máquinas infectadas não afetam a rede de bots
• O Storm Worm não causa nenhum dano ou carga ao host, para que
os hosts não saibam que estão infectados
• O motivo pelo qual o Storm Worm é tão bem-sucedido é que os
servidores que espalham o Storm Worm recodificam a mensagem
de vírus a cada trinta minutos, alterando a assinatura do vírus e
dificultando a detecção por programas antivírus tradicionais
179
Módulo IV
BEST according to Foundations of
Explicação:
• Um rootkit é um conjunto de ferramentas de software que
geralmente são usadas por terceiros (geralmente um hacker) após
o acesso a um sistema (computador)
www.trainning.com.br
• O rootkit se esconde profundamente no sistema operacional,
possivelmente resultando na instabilidade do sistema operacional
• É quase impossível remover um rootkit sem danificar o sistema
operacional
• Os rootkits podem funcionar em dois níveis: nível do kernel e nível
do usuário
• Os rootkits com estratégias de kernel podem, portanto, fazer quase
qualquer coisa que desejarem na memória de trabalho. O objetivo
dessas ferramentas é ler, alterar ou influenciar os processos em
execução, dados ou arquivos do sistema
• Um rootkit ajuda o invasor a obter acesso ao sistema, sem que o
usuário perceba nada 180
Módulo IV
Segurança Organizacional
www.trainning.com.br
• 12.2 Proteção contra malware Objetivo: garantir que as informações e
os recursos de processamento de informações estejam protegidos
contra malware.
• 12.3 Objetivo do backup: Proteger contra perda de dados.
• 12.4 Log e monitoramento Objetivo: Registrar eventos e gerar
evidências.
• 12.5 Controle de software operacional Objetivo: Garantir a integridade
dos sistemas operacionais.
• 12.7 Considerações sobre auditoria de sistemas de informação
Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas
operacionais. 181
Módulo IV
Segurança Organizacional
Conteúdo (continuação)
• 12.2.1 Controles contra malware Devem ser implementados controles de detecção, prevenção e recuperação
para proteção contra malware, combinados com o conhecimento apropriado do usuário.
• 12.3.1 Backup de informações Cópias de backup de informações, software e imagens do sistema devem ser
www.trainning.com.br
tiradas e testadas regularmente, de acordo com uma política de backup acordada.
• 12.4.1 Registro de eventos Os registros de eventos que registram atividades do usuário, exceções, falhas e
eventos de segurança da informação devem ser produzidos, mantidos e revisados regularmente.
• 12.4.2 Proteção das informações de registro Os recursos de registro e as informações de registro devem ser
protegidos contra adulteração e acesso não autorizado.
• 12.4.3 Logs do administrador e do operador As atividades do administrador do sistema e do operador do
sistema devem ser registradas e os logs protegidos e revisados regularmente
182
Módulo IV
Segurança Organizacional
Conteúdo (continuação):
• 12.4.4 Sincronização do relógio Os relógios de todos os sistemas relevantes de processamento de
informações em uma organização ou domínio de segurança devem ser sincronizados com uma única fonte
de tempo de referência.
www.trainning.com.br
• 12.5.1 Instalação do software nos sistemas operacionais Os procedimentos devem ser implementados para
controlar a instalação do software nos sistemas operacionais.
• 12.6.1 Gerenciamento de vulnerabilidades técnicas As informações sobre vulnerabilidades técnicas dos
sistemas de informação que estão sendo usadas devem ser obtidas em tempo hábil, a exposição da
organização a essas vulnerabilidades avaliadas e as medidas apropriadas tomadas para lidar com o risco
associado.
• 12.6.2 Restrições à instalação do software As regras que regem a instalação do software pelos usuários
devem ser estabelecidas e implementadas.
• 12.7.1 Controles de auditoria de sistemas de informação Os requisitos e atividades de auditoria que
envolvem a verificação de sistemas operacionais devem ser cuidadosamente planejados e acordados para
minimizar interrupções nos processos de negócios.
183
Módulo IV
BEST according to Foundations of
Segurança de Segurança Organizacional PRACTICE Information Security
Características:
www.trainning.com.br
organizacionais; Medidas técnicas executam ou aplicam medidas
organizacionais
O ciclo PDCA é uma maneira de implementar a Segurança da Informação na
organização
Como comercializar a segurança da informação na organização
Como lidar com desastres e como se preparar para eles
O aspecto da comunicação da Segurança da Informação
Os aspectos operacionais, procedimentos de teste e gerenciamento de
Segurança da Informação 184
Módulo IV
www.trainning.com.br
Partes interessadas Partes interessadas
(stakeholders) (stakeholders)
Segurança da Segurança da
informação informação
gerenciada gerenciada
Módulo IV
www.trainning.com.br
• Rastreio e Não Divulgação
• Registros de funcionários
• Consciência de segurança
• Gerenciamento de Acesso
• Gestão de Continuidade de Negócios
• Planejamento de continuidade de negócios
• Planejamento de recuperação de desastres
• Gerenciamento de processos operacionais e de comunicação
• Procedimentos operacionais
• Mudar a gestão
• Segregação de deveres
186
Módulo IV
Controle de Acesso
Seções
www.trainning.com.br
• Requisitos comerciais para controle de acesso
• Política de Controle de Acesso
• Responsabilidades do Usuário
• Uso da senha
• Equipamento de usuário autônomo
• Política de tela clara de anúncio de mesa limpa
187
Módulo IV
Controle de Acesso
Seções
• Controle de acesso à rede
• Política de Uso de Serviços de Rede
• Autenticação do usuário para conexões externas
www.trainning.com.br
• Identificação de equipamentos em redes
• Proteção remota de diagnóstico e porta de configuração
• Segregação em redes
• Controle de Conexão de Rede
• Controle de roteamento de rede
www.trainning.com.br
• Autorização
1. A identificação é o primeiro passo no processo para conceder acesso. Na
identificação, a pessoa ou sistema apresenta um token, por exemplo, uma
chave, nome de usuário ou senha
2. O sistema determina se o token é autêntico e a quais recursos o acesso
pode ser concedido
3. Assim que isso for determinado, as autorizações podem ser alocadas
189
Módulo IV
www.trainning.com.br
• Na segregação de funções, é realizada uma revisão para determinar se
uma pessoa executa tarefas de tomada de decisão, executivo ou controle
• É determinado se a pessoa precisa acessar informações
• O acesso desnecessário aumenta o risco de informações serem usadas,
alteradas ou destruídas intencionalmente ou não. Isso é chamado de
princípio “need to know“ ou conhecer apenas o necessário.
• Depois que as funções de pessoal e as necessidades de acesso são
determinadas, as tarefas podem ser divididas para reduzir os riscos para a
organização
190
Módulo IV
www.trainning.com.br
b.Permitir que os usuários selecionem e alterem suas próprias senhas e incluam um
procedimento de confirmação para permitir erros de entrada
c. Impor uma escolha de senhas de qualidade
d.Aplicar alterações de senha
e. Forçar os usuários a alterar senhas temporárias no primeiro logon
f. Manter um registro de senhas de usuários anteriores e impedir a reutilização
191
Módulo IV
Continuidade do negócio
www.trainning.com.br
• Objetivo: A continuidade da segurança das informações deve ser incorporada
aos sistemas de gerenciamento de continuidade de negócios da organização
• 17.2 Redundâncias
• Objetivo: Garantir a disponibilidade de instalações de processamento de
informações.
192
Módulo IV
193
Módulo IV
www.trainning.com.br
• Planejamento de continuidade de negócios (BCP)
• Organizar métodos e procedimentos para falhas que durem mais tempo
• Organizando um local alternativo onde o trabalho pode ser realizado enquanto o
local original é reconstruído
• Tudo está focado em manter a empresa funcionando, mesmo que apenas
parcialmente, desde o momento em que o desastre ocorre até quando a empresa
se recupera totalmente
BEST according to Foundations of
PRACTICE Information Security
194
Módulo IV
www.trainning.com.br
• As várias medidas de segurança física
• As várias medidas técnicas de segurança
• Criptografia
• Malware
• As várias medidas de segurança organizacional
• Gerenciamento de Acesso
• Identificação, autenticação, autorização
• Gestão de Continuidade de Negócios
195
Módulo IV
Simulado – 10 Questões
www.trainning.com.br
1) Uma avaliação/análise de riscos bem executada oferece uma grande quantidade de informações úteis. A análise de riscos tem quatro principais objetivos. Qual das opções abaixo não é um dos
quatro principais objetivos da avaliação/análise de riscos?
www.trainning.com.br
A) Fazer um seguro contra incêndio
B) Apagar o fogo depois que o incêndio for detectado pelo detector de incêndio (correta)
C) Reparar os danos causados pelo incêndio
4) O acesso à sala de computadores está bloqueado por um leitor de crachás. Somente o Departamento de Gerenciamento de Sistemas tem um crachá. Que tipo de medida de segurança é essa?
A) O autor do documento
B) O administrador do documento
C) O proprietário do documento (correta)
D) O gerente do proprietário do documento
6) Qual é o objetivo da classificação da informação?
A) Criar um manual sobre como manusear dispositivos móveis
B) Aplicar identificações que facilitem o reconhecimento das informações
C) Estruturar as informações de acordo com sua confidencialidade (correta)
7) Na segurança física, múltiplas zonas em expansão (anéis de proteção) podem ser aplicadas, nas quais diferentes medidas podem ser adotadas. Qual dos seguintes não é um anel de proteção típico?
A) Edifício
B) Anel médio (correta)
C) Objeto
D) Anel externo
www.trainning.com.br
9) Você trabalha no departamento de TI de uma empresa de tamanho médio. Informações
confidenciais têm caído em mãos erradas por várias vezes. Isso tem prejudicado a imagem da companhia.
Você foi solicitado a propor medidas de segurança organizacional em laptops para sua companhia. Qual o
primeiro passo que você deveria dar?
A) Formular uma política para tratar da segurança de dispositivos móveis (PDAs, laptops, smartphones, pen drive) (correta)
B) Designar uma equipe de segurança
C) Criptografar os discos rígidos dos laptops e mídias de armazenamento externo, como pen drives
D) Estabelecer uma política de controle de acesso
A) Bomba Lógica
B) Storm Worm ou Botnet (correta)
C) Cavalo de Tróia
D) Spyware
11) Qual o nome dado ao programa de computador que coleta informações de um computador de
usuário e as envia para um terceiro com a intenção de obter informações?
A) Spyware (correta)
B) Spam
C) Botnet
D) Worms
www.trainning.com.br
V- Legislações e Regulamentos
Módulo IV
Conformidade
www.trainning.com.br
à segurança da informação e a quaisquer requisitos de segurança.
Conformidade
Conteúdo:
www.trainning.com.br
atender a esses requisitos devem ser explicitamente identificados, documentados e atualizados
para cada sistema de informação e organização.
• 18.1.2 Direitos de propriedade intelectual Procedimentos apropriados devem ser
implementados para garantir a conformidade com os requisitos legislativos, regulamentares e
contratuais relacionados aos direitos de propriedade intelectual e ao uso de produtos de
software proprietários.
• 18.1.3 Proteção de registros Os registros devem ser protegidos contra perda, destruição,
falsificação, acesso não autorizado e liberação não autorizada, de acordo com os requisitos
legislativos, regulamentares, contratuais e comerciais.
• 18.1.4 Privacidade e proteção de informações de identificação pessoal A privacidade e a
proteção de informações de identificação pessoal devem ser garantidas conforme exigido na
legislação e regulamentação relevantes, quando aplicável 201
Módulo IV
Conformidade
Conteúdo (continuação)
• 18.1.5 Regulamentação dos controles criptográficos Os controles criptográficos
devem ser utilizados em conformidade com todos os acordos, legislação e
regulamentos relevantes.
www.trainning.com.br
• 18.2.1 Revisão independente da segurança da informação A abordagem da
organização para gerenciar a segurança da informação e sua implementação (ou
seja, objetivos de controle, controles, políticas, processos e procedimentos para
segurança da informação) deve ser revisada independentemente em intervalos
planejados ou quando ocorrem alterações significativas.
• 18.2.2 Conformidade com políticas e padrões de segurança Os gerentes devem
revisar regularmente a conformidade do processamento e procedimentos de
informações em sua área de responsabilidade com as políticas, padrões e
quaisquer outros requisitos de segurança apropriados.
• 18.2.3 Revisão técnica de conformidade Os sistemas de informação devem ser
revisados regularmente para verificar se estão em conformidade com as políticas
e padrões de segurança da informação da organização. 202
Módulo IV
www.trainning.com.br
• Para proteger documentos comerciais
• Para proteger dados e a confidencialidade de dados pessoais
• E.g.: Personal Data Protection Act: the protection of personal data
and privacy
• Para impedir o abuso de instalações de TI
• Para bservar a política de segurança e os padrões de segurança
• Para monitorar medidas
• Para conduzir auditorias de sistemas de informação
• Proteger os Meios Usados para Auditar Sistemas de Informação
203
Módulo IV
www.trainning.com.br
• A política da própria empresa em relação à legislação interna
• A legislação de uma nação estrangeira ao fazer negócios internacionais
• Legislação envolvendo Privacidade
• Os governos estão sujeitos a registros públicos. Esta legislação trata da criação de
arquivos, gerenciamento, destruição, transferência para o arquivo central, transferência
entre governos e acesso a arquivos
• Legislação destinada a crimes realizados com computadores
Módulo IV
Atos legislativos
BEST according to Foundations of
PRACTICE Information Security
www.trainning.com.br
Regulamenta o direito à inspeção de dados pessoais
A Lei de Criminalidade de Computadores
Esta lei é uma alteração do Código Penal e do Código de Processo Penal para facilitar o
tratamento de delitos cometidos por meio de tecnologia da informação avançada. Um exemplo
de uma nova ofensa é a invasão de computadores
A Lei de Acesso Público à Informação do Governo
Regulamenta a inspeção de documentos governamentais escritos. Os dados pessoais não
são um documento governamental.
205
Módulo IV
www.trainning.com.br
bancos e empresas (por exemplo, Sarbanes Oxley)
• Regulamentos Locais, Estaduais e Nacionais
• Política da própria empresa em relação a regulamentos internos
• Os regulamentos de uma nação estrangeira ao fazer negócios internacionais
• Regulamentos envolvendo Privacidade
• Regulamentos para proteger dados
• Regulamentos relativos ao uso correto de Licenças
206
Módulo IV
Exemplos
• Medidas para proteger os direitos de propriedade intelectual
• Contratos de direitos autorais
• Contratos de licença
•
•
www.trainning.com.br
• Medidas envolvendo os registros organizacionais de proteção
Arquivos Criptografados
Salas com temperatura controlada para armazenamento de registros em papel
• Uma política de descarte de registros
• Medidas envolvendo a proteção de informações pessoais
• Direitos de acesso apropriados
• Prevenção de uso indevido de instalações de processamento de informações
• Monitorando através de uma rede de câmeras de segurança
207
www.trainning.com.br
V - Exame e Revisão de Amostra
Módulo V
www.trainning.com.br
Módulo IV
www.trainning.com.br
www.trainning.com.br
Sobre a EXIN
Publicado e projetado pelo EXIN. O EXIN é o instituto global de certificação independente para profissionais
do domínio de TI. Com mais de 30 anos de experiência na certificação de competências de mais de 2
milhões de profissionais de TI, a EXIN é a autoridade líder e confiável no mercado de TI. Com mais de 1000
parceiros credenciados, o EXIN facilita exames e avaliações de competência eletrônica em mais de 165
países e 20 idiomas. O EXIN é co-iniciador da Estrutura de Competência Eletrônica, que foi criado para
fornecer princípios inequívocos de medição de certificação de TIC na Europa e outros países.
211