Aula0102 Seguranca

SEGURANÇA DA
INFORMAÇÃO
Segurança em Redes – Aspectos de Gestão
PARTE 1 - CONCEITOS
Sejam bem-vindos ao nosso módulo de
Segurança da Informação!
Durante este primeiro encontro, iniciaremos uma

visão dos principais conceitos de segurança da
informação e além disso discutiremos as políticas de
segurança da informação. Se queremos dominar
qualquer assunto, devemos começar exercitando os
fundamentos, os conceitos.
Vejamos uma definição de conceito:

Conceito é uma frase (juízo) que diz o que a coisa é ou como funciona. O
conceito, enquanto o-que-é é a expressão de um predicado comum a todas as
coisas da mesma espécie. (Cf. KANT, I. Crítica da Razão Pura. Lisboa: Fundação
Calouste Gulbenkian, 2001 ).
são universais ao se aplicarem igualmente a todas as coisas em sua extensão.

Conceitos são portadores de significado. Um único conceito pode ser expresso em
qualquer número de linguagens: o conceito cão pode ser expresso como Hund em
alemão, hond em Afrikaans, dog em inglês, perro em castelhano, gos em
catalão, hundo em esperanto, txakur na língua basca, chien em francês, can em
galego, cane em italiano, canis em latim, inu em japonês etc. O fato de que
conceitos são, de uma certa forma, independentes das linguagens torna
a tradução possível; palavras em várias línguas "querem dizer" o mesmo porque
expressam um e o mesmo conceito.
Após esta leitura, fica claro que a primeira aula possui como um de seus objetivos
fornecer o vocabulário básico de segurança, promovendo um nível de
entendimento comum para todos os participantes.
Vamos começar?
Apresentação Pessoal
• Nome
• Formação acadêmica
• Atividade profissional
• Experiência com Segurança da Informação
• Já possui alguma certificação de Segurança da
Informação ou afim?
Gustavo Marchisotti, MSc.
Engenheiro Eletricista (CEFET), com especialização de Redes de
Computadores (UFMG), mestrado em Administração (FGV) e doutorado
em Sistema de Gestão Sustentável (UFF).
20 anos de experiência profissional no setores de Telecomunicações/TI,
atuando nas áreas técnica e gerencial em empresas como Telemar (Oi),
Alcatel-Lucent Brasil, Alcatel-Lucent Nova Zelândia, Huawei, Furukawa,
etc.
Atualmente trabalha na DATAPREV como Analista de TI da área de
planejamento tecnológico, além de atuar como professor no INFNET e na
FGV (convidado).
Regras do Jogo
• 2 formas de avaliação: Individual (60%) e Grupo (40%). Entregas
atrasadas, redução de 20% na nota.
ü Trabalho individual: Devem ser postados no Moodle, até a
data de início da aula subsequente. 2 Atividades ao todo.
ü Trabalho em grupo: Apresentação de um estudo de caso na
última aula (30 minutos cada grupo).
• As orientações tanto para o trabalho de grupo quanto para os
individuais estarão disponíveis no Moodle.
Regras do Jogo
Domínios de Conhecimento CISSP
DOMÍNIO OU PORÇÃO DE DOMÍNIO
NOVO DOMÍNIO
NA VERSÃO ANTIGA
Information Security Governance & Risk Management
BCP (Business Continuity Planning)

Security and Risk Management & DRP (Disaster Recovery Plan)
Legal, Regulation, Compliance and Investigation

Asset Security Physical Security
Security Architecture and Design
Security Engineering
Cryptography
Telecommunication & Network Security
Communications & Network Security
Cryptography
Identity and Access Management Access Control
Security Assessment and Testing Security Architecture and Design
Security Operations Operations Security
Software Development Security Application Development Security
https://www.youtube.com/watch?v=1eOrymKsnFE
CISSP - Aspectos de Gestão
Ementa
Governança da Segurança da Informação e
Gestão de Risco
Planejamento de Continuidade de Negócio e

Recuperação de Desastres
Lei, Investigação e Ética
Segurança Operacional
Segurança Física
Governança da Segurança da
Informação e Gestão de Risco
Refere-se à identificação dos recursos de informação com
o desenvolvimento e implementação de políticas, padrões,
diretrizes e procedimentos, visando a garantia da
Confidencialidade, Integridade e Disponibilidade das
informações.
Abordaremos as práticas de gestão de classificação de

dados e gestão de riscos, de identificação de ameaças, a
classificação dos ativos e vulnerabilidades da organização
de modo que controles de segurança sejam
implementados com eficácia.
Planejamento de Continuidade de Negócios
e Recuperação de Desastres
Envolve a preparação, teste e atualização das ações

necessárias para proteger processos críticos de
negócio dos efeitos de falhas nos principais sistemas e na
rede.
A gestão do Plano de Continuidade de Negócio inclui

escopo e plano de ação, avaliação de impacto do negócio
e desenvolvimento do plano de continuidade de negócio.
A gestão do Plano de Recuperação de Desastres inclui o

planejamento, definição de procedimentos e testes
necessários para situações de desastres.
Compreender as ameaças e vulnerabilidades das

operações de computador, a fim de apoiar as atividades
de rotina operacional de sistemas de computador
funcionarem corretamente.
Também se refere à implementação de controles de

segurança para o processamento normal de transações,
tarefas de administração de sistema e operações críticas
de apoio externo.
Segurança Física (Ativo)
Este domínio aborda as ameaças, vulnerabilidades e

medidas que podem ser utilizadas para proteger
fisicamente os recursos de uma empresa e informações
confidenciais.
Os recursos envolvidos na Segurança Física são: pessoas,

as instalações em que trabalham, os dados,
equipamentos, sistemas de apoio e os meios com os quais
trabalham.
CISSP - Aspectos de Gestão
Ementa
Governança da Segurança da Informação e
Gestão de Risco
Planejamento de Continuidade de Negócio e

Recuperação de Desastres
Lei, Investigação e Ética
Segurança Física
Governança da Segurança da Informação
e Gestão de Risco
• Princípios Básicos e Terminologia
• Controles de Segurança
• Frameworks, modelos, padrões e melhores práticas
• Arquitetura Corporativa de Segurança
• Gestão de Risco
• Documentação de Segurança
• Classificação e Proteção da Informação
• Conscientização da Segurança
• Governança da Segurança
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Básicos e
Terminologia
Introdução
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
e Gestão de Risco
Princípios Básicos e “Se ele tinha qualquer coisa confidencial

Terminologia
a dizer, ele escrevia cifrado, isto é,
mudando a ordem das letras do
padrões e melhores
alfabeto, para que nenhuma palavra
práticas
pudesse ser compreendida.
Se alguém deseja decifrar a mensagem e entender seu
significado, deve substituir a quarta letra do alfabeto, a
saber 'D', por 'A', e assim por diante com as outras.”
- Sobre a Cifra de Cesar

Caio Suetonio Tranquilo
Vidas dos Doze Césares, 121 BC
Governança da
e Gestão de Risco
Terminologia
Princípios Básicos e Terminologia
padrões e melhores
práticas
Governança da
e Gestão de Risco
Terminologia
padrões e melhores
práticas
Qual o impacto
O que é
da Segurança da
Segurança da
Informação no
Informação?
negócio?
Qual o propósito Por que a

da Segurança Segurança da
da Informação? Informação vem
se tornando
mais relevante?
Quais os
desafios da O que fazer?
Segurança da Por onde
Informação? começar?
Governança da
e Gestão de Risco
Terminologia
padrões e melhores
práticas
Governança da
e Gestão de Risco
Princípios Fundamentais
Princípios Básicos e Pilares da Segurança da Informação
Terminologia
padrões e melhores
práticas
Disponibilidade
Confidencialidade
Integridade
Governança da
e Gestão de Risco
Princípios Fundamentais
Princípios Básicos e Pilares da Segurança da Informação
Terminologia
Garantia de que os
Controles de Segurança recursos estarão
acessíveis de forma
padrões e melhores confiável e sempre que
práticas necessário para quem Garantia de que os
possui os devidos recursos não serão
privilégios divulgados ou
disponibilizados a
Disponibilidade quem não tem os
devidos privilégios
Garantia de que os
Confidencialidade
recursos estarão
corretos e completos
Integridade
Governança da
e Gestão de Risco
Segurança Balanceada
Princípios Básicos e Ativo de
Terminologia Confidencialidade
Informação
Negócio Integridade
padrões e melhores
práticas
Uso Disponibilidade
Governança da
e Gestão de Risco
Definições Básicas e Terminologia
Terminologia
Vulnerabilidade
padrões e melhores Ameaça
práticas
Risco
Controle
Exposição
Governança da
e Gestão de Risco
Definições Básicas e Terminologia
Probabilidade de que
Princípios Básicos e alguém explore uma
Terminologia
fraqueza e seu impacto
Vulnerabilidade no negócio
Frameworks, modelos, Situação de estar

padrões e melhores Ameaça exposto à perdas
práticas
Risco Ausência de controles

ou fraquezas que
podem ser exploradas
Controle
Perigo potencial
associado à exploração
de fraquezas
Exposição
Contramedida
implementada para mitigar
Agente da Ameaça a probabilidade de
Entidade que pode tirar exploração de uma
vantagem de uma vulnerabilidade ou seu
vulnerabilidade impacto
Governança da
e Gestão de Risco Vulnerabilidade x Ameaça x Risco
Terminologia
padrões e melhores
práticas
Governança da
e Gestão de Risco
Analisando os conceitos
Exercício:
Terminologia Vulnerabilidade x Ameaça x Risco
Agente da Ameaça??
Vulnerabilidade:
A tela do computador é
padrões e melhores visível de qualquer ângulo
práticas
Ameaça:
Que alguém veja o
conteúdo na tela ou o que
é digitado (visual hacking)
Risco:
Roubo de informações
sensíveis à empresa e
perda de credibilidade
Governança da
e Gestão de Risco
Terminologia
padrões e melhores
práticas
Governança da
e Gestão de Risco
Princípios Básicos e Terminologia
Relações básicas entre os conceitos:
Terminologia
Agente da Dá origem a
Controles de Segurança Ameaça
Frameworks, modelos, Explora

Ameaça
padrões e melhores
práticas
Vulnerabilidade Leva a
Risco
Afeta diretamente
Ativo
Pode afetar
Controles Exposição
E causar uma
Salvaguarda
Pode ser protegida
por um
Governança da
e Gestão de Risco
Terminologia
“Medida tomada para modificar risco. Controles podem
incluir qualquer processo, política, dispositivo, prática, ou
Controles de Segurança qualquer outra ação que modifique o risco.”
ISO 27000
padrões e melhores
práticas
“Controles de segurança são salvaguardas ou
contramedidas gerenciais, operacionais ou técnicas,
prescritas para sistemas de informação visando proteger
a confidencialidade, integridade e disponibilidade do
sistema e suas informações”
NIST 800-53
Governança da
e Gestão de Risco
Terminologia Tipos de Controle
• Administrativo ou Gerencial
• Físico
• Técnico
padrões e melhores
práticas
Funcionalidades dos Controles

• Diretiva ou Administrativo * (nova versão)
• Desencorajamento (deterrent)
• Prevenção
• Correção
• Recuperação
• Detecção
• Compensação
Governança da
e Gestão de Risco
Definições
• Administrativo ou Gerencial
• Físico
padrões e melhores • Técnico
práticas
“São definidos como políticas, procedimentos, e atividades que

protegem os ativos de informação da organização.” ¹
Desta forma, são comumente referenciados como Soft

Controls por conta de sua natureza gerencial e estratégica.
Ex.: Documentações de segurança, Política de Segurança,

Normas de Uso, Gestão de Risco, Treinamento e
Conscientização
¹ The security Assessment Handbook – Douglas J. Landoll,

Governança da
e Gestão de Risco
Definições
• Administrativo
• Físico
práticas
São recursos dispostos com a finalidade de proteger a

estrutura física, pessoal e os recursos da organização.
Ex.: Guarda de segurança, Alarme térmico e de movimento,

Cercas, muros, portas, iluminação, CFTV, Catracas,
Sistema de Crachás com foto, Biometria (inclui impressão
digital, voz, rosto, íris, manuscrito e outros métodos
automatizados usados para reconhecer indivíduos), etc...
Governança da
e Gestão de Risco
Definições
• Administrativo
• Físico
práticas
São os componentes de Hardware ou Software

empregados na garantia da segurança da informação
Ex.: Criptografia, Cartões inteligentes, Autenticação de

rede, Listas de controle de acesso (Access control lists -
ACLs), Software de auditoria de integridade de arquivos,
etc...
...
Governança da
e Gestão de Risco
• Administrativo
• Físico
• Técnico
padrões e melhores
práticas
Funcionalidades dos Controles

• Diretiva ou Administrativo
• Prevenção
• Correção
• Recuperação
• Detecção
• Compensação
Governança da
Segurança da Informação Funcionalidades dos Controles
e Gestão de Risco
• Diretiva ou Administrativo
Fornece orientação sobre o comportamento esperado e aceitável
em relação à Segurança da Informação dentro da organização
Terminologia
Tem o objetivo de desencorajar potenciais atacantes. Por vezes
utiliza-se de ameaças ou avisos sobre violações
padrões e melhores
• Prevenção
práticas
Possui a finalidade de impedir que um incidente ocorra
• Correção
Medidas definidas para reagir à detecção de um incidente, visando
reduzir o eliminar a possibilidade de recorrência
• Recuperação
Uma vez que um incidente já tenha comprometido as propriedades
de segurança de um ativo, sua implementação é necessária para
retomar as operações
• Detecção
Visa identificar e reagir a incidentes
• Compensação
Controles que oferecem soluções alternativas como medidas de
segurança
Governança da
e Gestão de Risco
Tipos de Controles de Segurança
Terminologia Separação
Cerca Firewall Iluminação
de Funções
Política de
Site Remoto CFTV IDS
Frameworks, modelos, Segurança
padrões e melhores
práticas
Log de Backup de Extintor de Cão de
Auditoria Dados Incêndios Guarda
Security Monitoração
Cadeado Testes
Awareness e Supervisão
Encriptação Férias
de dados Crachá Plano de DR
Obrigatórias
Físicos Administrativos Técnicos

Governança da
e Gestão de Risco
Tipos de Controles de Segurança
Terminologia Separação
Cerca Firewall Iluminação
de Funções
Política de
Site Remoto CFTV IDS
Frameworks, modelos, Segurança
padrões e melhores
práticas
Log de Backup de Extintor de Cão de
Auditoria Dados Incêndios Guarda
Security Monitoração
Cadeado Q&A
Awareness e Supervisão
Encriptação Férias
de dados Crachá Plano de DR
Obrigatórias
Físicos Administrativos Técnicos

Administrativo Técnico Físico
Avisos de Somente de
Política de Padrões de
Diretiva Profissionais
Segurança Configurações
Autorizados
Iluminação, Placa de
Desencorajador Norma de Uso Banner de alerta
Cuidado com Cão
Separação de
Firewall, Encriptação Cerca, Cadeado, Cão
Prevenção Funções, Security
de Dados de Guarda, Crachá
Awareness, Q&A
Férias Obrigatórias,
Detecção Monitoração e IDS, Log de Auditoria CFTV
Supervisão
Desconectar redes,
Desligamento de
Correção isolar e encerrar Extintor de Incêncios
Funcionários
conexões
Recuperação Plano de DR Backup de Dados Site Remoto

Governança da
e Gestão de Risco
Defense in Depth
Terminologia “Defense in Depth is a practical strategy for achieving
Information Assurance in today’s highly networked
environment. It is a “best practices” strategy in that it
Frameworks, modelos, relies on the intelligent application of techniques
padrões e melhores
práticas
and technologies that exist today.
…
An important principle of the Defense in Depth Strategy
is that achieving Information Assurance requires a
balanced focus on the three primary elements: People,
Technology and Procedures”.
Controles e Salvaguarda
Defense in Depth
Classificação de dados, Senhas fortes, Revisão de
Políticas e procedimentos códigos, Politicas de uso, Guidelines, Normas, ...
Defesas Físicas
Monitorar e Melhorar
Cercas, paredes, guardas, cofres, chaves e senhas,

crachás, dispositivos biométricos, ...
Redes
TLS, Firewalls, NAT, Prevenção a DoS, Criptografia,
IPS/IDS,...
Servidores
Sistemas Operacionais, Gestão de vulnerabilidades,
Antivírus e Proteção a malware, Gestão de Patch …
Aplicações
SSO, Gestão de identidade, Desenvolvimento Seguro,
Autenticação, Autorização, Auditoria, …
Ativos de
Informação Segurança de Bases de Dados , Backup e retenção,
Conteúdo, …
Controles e Salvaguarda
Defense in Depth
Fonte: https://www.slideshare.net/DilumBandara/network-security-defense-in-depth
Governança da
Segurança da Informação Frameworks, modelos, padrões e
e Gestão de Risco melhores práticas
Terminologia
padrões e melhores
práticas
Um programa de segurança baseado

em uma estrutura flexível parece ótimo,
mas como podemos construir um?
Governança da
e Gestão de Risco
Frameworks, modelos, padrões e
melhores práticas
Terminologia
Frameworks:
Frameworks, modelos, Estrutura básica, conceitual, de alguma coisa. Um conjunto de
padrões e melhores
práticas
ideias ou fatos que dão suporte a algo.
Existem diversos frameworks e metodologias disponíveis no

mercado que foram criados visando apoiar a prática de
segurança, auditoria, gestão de risco e avaliação de controles.
São recursos valiosos no auxílio à definição e avaliação de um
Programa de Segurança da Informação.
Governança da Frameworks associados à segurança
e Gestão de Risco • Programa de Segurança
Princípios Básicos e • Família ISO/IEC 27000

Terminologia
• Arquitetura Empresarial
Controles de Segurança • NIST Enterprise
• ... Zachman framework, TOGAF, DoDAF, MODAF
padrões e melhores
• Arquitetura Segurança
práticas
• SABSA
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Programa de Segurança da Informação
e Gestão de Risco
• Família ISO 27000
Terminologia
• Define um padrão internacional, servindo como melhor
prática de mercado, para a gestão de controles de
segurança de forma holística dentro da organização.
• O padrão descreve como um sistema de gerenciamento de
Frameworks, modelos, segurança da informação (também conhecido como
padrões e melhores programa de segurança) deve ser construído e mantido
práticas
BS7799
Historicamente, sua a família ISO 27000 deriva do padrão

britânico BS7799, desenvolvido em 1995 determinando como
construir e gerenciar um sistema de gestão de segurança da
informação.
O padrão britânico era dividido em duas partes:

• BS7799 Parte 1: objetivos de controles e controles a serem
implementados;
• BS7799 Parte 2: como se deve construir um Programa de
Segurança da Informação.
Governança da
e Gestão de Risco
Terminologia
BS7799 -> ISO17799 -> ISO 27000
padrões e melhores Considerando a necessidade de um código de prática
práticas
internacional o padrão britânico foi revisado e publicado
pela ISO/IEC:
ISMS / SGSI - Certificação:

ISO/IEC
BS 7799-2:2002 ...
27001:2005
Padrão de Código de Prática:

ISO/IEC ISO/IEC
BS 7799-1:1999
17799:2000 17799:2005
ISO/IEC
27002:2005 ...
Governança da
e Gestão de Risco
Princípios Básicos e • Família ISO 27000

Terminologia
Controles de Segurança ISO/IEC 27000 Overview and vocabulary

Frameworks, modelos, ISO/IEC 27001 ISMS requirements
padrões e melhores
práticas
ISO/IEC 27002 Code of practice for information
security management
ISO/IEC 27003 Guideline for ISMS implementation
ISO/IEC 27004 Guideline for information security
management measurement and metrics framework
ISO/IEC 27005 Guideline for information security risk
management
ISO/IEC 27006 Guidelines for bodies providing audit
and certification of information security management
systems
ISO/IEC 27011 Information security management
guidelines for telecommunications organizations
Governança da
e Gestão de Risco
Terminologia
ISO/IEC 27031 Guideline for information and
padrões e melhores
communications technology
práticas readiness for business continuity
ISO/IEC 27033-1 Guideline for network security
ISO 27799 Guideline for information security
management in health organizations
ISO 27001
PDCAaplicado ao SGSI
https://www.youtube.com/watch?v=4Z3IaA_n-i4
O SGSI (Sistema de Gestão de Segurança da Informação) inclui estratégias, planos,

políticas, medidas, controles, e diversos instrumentos usados para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar a
segurança da informação.
Relação entre ISO 27001 e ICSSP
As organizações buscam uma certificação ISO/IEC
27001 por meio de terceiros credenciados, que as
avaliam em relação aos requisitos do SGSI estabelecido
na ISO/IEC 27001. A ISSO/IEC 27001 descreve os
componentes necessários de um programa de segurança
organizacional.
Por sua vez, a (ISC)2 atesta o conhecimento de

segurança de uma pessoa, depois que ela passa no
exame CISSP.
CISSP foca em pessoas. ISO foca na empresa.


Terminologia
padrões e melhores
práticas
• SABSA
• COBIT
• NIST 800-53
• COSO
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Arquitetura Empresarial
e Gestão de Risco
Terminologia NIST Enterprise Architecture Framework
• Evita perda financeira devido ao desalinhamento
padrões e melhores entre as áreas de negócios e as de tecnologia
práticas
• Evita que a área de vendas negocie o
”impossível”, o que a área técnica não consegue
prover ou que tenha um custo impeditivo.
• Garantir padronização dos conceitos e
alinhamento de expectativas, para ofertar o que o
cliente necessita e a empresa possa disponibilizar
• https://www.youtube.com/watch?v=FgQ3Mo00Oj0
NIST Enterprise Architecture Framework

Terminologia
padrões e melhores
práticas
• SABSA
• COBIT
• NIST 800-53
• COSO
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Arquitetura de Segurança
e Gestão de Risco
• SABSA
Terminologia • É uma arquitetura de segurança corporativa, um
subconjunto de uma arquitetura corporativa.
Controles de Segurança • Define a estratégia de segurança da informação por
meio de camadas de soluções, processos e
procedimentos, bem como a maneira como eles estão
padrões e melhores
vinculados em uma empresa de maneira estratégica,
práticas
taticamente e operacionalmente.
• É um método abrangente e rigoroso para descrever a
estrutura e comportamento de todos os componentes
que compõem um sistema holístico de gerenciamento de
segurança da informação (SGSI).
• O principal motivo para desenvolver uma arquitetura de
segurança corporativa é garantir que os esforços de
segurança se alinhem às práticas comerciais de maneira
padronizada e econômica.
• A arquitetura funciona em um nível de abstração e
fornece um quadro de referência. Além da segurança,
esse tipo de arquitetura permite que as organizações
melhorem a interoperabilidade, integração, facilidade de
uso, padronização e governança.
https://www.youtube.com/watch?v=qbFTg85I4eE

Terminologia
padrões e melhores
práticas
• SABSA
• COBIT
• NIST 800-53
• COSO
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Controle de Segurança
e Gestão de Risco
Princípios Básicos e • COBIT

Terminologia
O Framework definido pela ISACA e pelo ITGI
Frameworks, modelos, fornece uma estrutura abrangente para a gestão e
padrões e melhores governança de TI. Sua especificação é derivada
práticas
do framework de Governança definido pelo COSO.
O COBIT estabelece um conjunto de práticas que

podem ser seguidos com foco na Governança de
TI. O COBIT disponibiliza um roadmap completo
que pode ser referenciado para implantação de
seus objetivos de controle.
• https://www.youtube.com/watch?v=HCjBwqfPMG8
COBIT
Habilitadores
COBIT
Principais Áreas de Governança
Processos de Gover ança Corpo a va de
Avallar, o· ·gr e onl orar
Governança da
e Gestão de Risco
Princípios Básicos e • SP 800-53 (NIST)

Terminologia
Controles de Segurança O Information Technology Laboratory (ITL) dentro do

NIST ajuda a promover a economia e o bem-estar
Frameworks, modelos, público fornecendo liderança à infraestrutura de
padrões e melhores
práticas
nacional de medição e padronização.
As publicações speciais (Special Publication-SP) da

série 800-X referem-se ao trabalho do ITL relativos à
pesquisa, guidelines e esforços na prática de
segurança de sistemas de informação.
O documento SP 800-53 foi publicado em 2005 e

detalha os Controles de Segurança
Recomendados para Sistemas de Informação
Federais. Os controles descritos nessa publicação
especial descrevem os controles que agencias
americanas devem seguir para estar aderente ao
Federal Information Security Management Act de
2002.
Governança da
e Gestão de Risco
• SP 800-53 (NIST)
Terminologia
padrões e melhores
práticas
Nota: Os controles podem ser referenciados utilizando as

categorias Administrativos, Técnicos e Físicos, ou conforme o
padrão do NIST Gerencial, Técnico e Operacional

Terminologia
padrões e melhores
práticas
• SABSA
• COBIT
• NIST 800-53
• COSO
• ITIL
• Six Sigma
• CMMI
Governança da
e Gestão de Risco
Terminologia
• COSO
Fundada em 1985 para liderar a comissão chamada
Frameworks, modelos, National Commission on Fraudulent Financial
padrões e melhores
práticas
Reporting. O objetivo da comissão era estudar
atividades financeiras fraudulentas e entender os
fatores que permitiram sua ocorrência.
O modelo de controles internos do COSO foi adotado

por algumas organizações visando aderir à Seção
404 do Sarbanes-Oxley (SOX).
• https://www.youtube.com/watch?v=8h8EMJel04g
Governança da
e Gestão de Risco
Terminologia
• COSO
Identifica 5 áreas de controles internos necessários
Frameworks, modelos, para atender os objetivos de publicação de relatórios
padrões e melhores financeiros e sua divulgação. Estas áreas incluem:
práticas
1. Ambiente de Controle
2. Análise de Risco
3. Atividades de Controle
4. Informação e Comunicação
5. Monitoração
Governança da
e Gestão de Risco
COSO vs. COBIT
Terminologia
COSO - Governança Corporativa;
padrões e melhores
práticas COBIT - Governança de TI.
Nota: COBIT é um framework relacionado a todos os

aspectos da Governança de TI, e não deve ser visto
puramente como Segurança da Informação.

Terminologia
padrões e melhores
práticas
• SABSA
• COBIT
• NIST 800-53
• COSO
• ITIL
• Six Sigma
• CMMI
Governança da IT Infrastructure Library
e Gestão de Risco
• ITIL
Terminologia
O ITIL é um framework tido como padrão de mercado e
aceito como melhor-prática para gestão de serviços de
TI.
padrões e melhores
práticas
Dividido em 5 livros oficiais:
1. Service Strategy
2. Service Design
3. Service Transition
4. Service Operation
5. Continual Service Improvement
https://www.youtube.com/watch?v=5zm-ruBIfYg
O foco principal do ITIL é a relação entre a área de TI,

provedora dos serviços, e seus clientes. Entretanto,
existem componentes específicos para lidar com a
Segurança da Informação e Gestão de Incidentes.
Governança da
Segurança da Informação IT Infrastructure Library
e Gestão de Risco
Princípios Básicos e • ITIL

Terminologia
padrões e melhores
práticas
Governança da
Segurança da Informação Six Sigma
e Gestão de Risco
Princípios Básicos e Sigma é a letra grega que denota variação de um

Terminologia
padrão:
padrões e melhores
práticas
Six Sigma é uma metodologia de melhoria de
processos, desenvolvida pela Motorola, cujo objetivo
principal é proporcionar melhoria na qualidade do
processo utilizando métodos estatísticos para avaliar
a eficiência operacional e reduzir variações, defeitos e
perdas.
https://www.youtube.com/watch?v=goj1whrZTww
http://www.isixsigma.com/new-to-six-sigma/getting-
started/what-is-lean-six-sigma-video/
Governança da
Segurança da Informação Por trás do Six Sigma
e Gestão de Risco
Princípios Básicos e Existem dois processos Six Sigma:

Terminologia
• DMAIC – Defines, Measures, Analyses, Improves
Controles de Segurança and Controls (Processos existentes)
padrões e melhores • DMADV – Defines, Measures, Analises, Designs
práticas
and Verify (Novos processos)
https://www.youtube.com/watch?v=fP4-8S1An1s
Na prática da Segurança da Informação Six Sigma

é utilizado na avaliação e medição de fatores de
sucesso de diferentes controles e procedimentos.
Governança da
Segurança da Informação Por trás do Six Sigma (Agentes de Melhoria)
e Gestão de Risco
• Master Black Belt: Trains and coaches Black Belts and
Princípios Básicos e Green Belts. Functions more at the Six Sigma program level
Terminologia
by developing key metrics and the strategic direction. Acts as
an organization’s Six Sigma technologist and internal
Controles de Segurança consultant.
padrões e melhores
• Black Belt: Leads problem-solving projects. Trains and
práticas
coaches project teams.
• Green Belt: Assists with data collection and analysis for

Black Belt projects. Leads Green Belt projects or teams.
• Yellow Belt: Participates as a project team member. Reviews

process improvements that support the project.
• White Belt: Can work on local problem-solving teams that

support overall projects, but may not be part of a Six Sigma
project team. Understands basic Six Sigma concepts from an
awareness perspective.
https://www.youtube.com/watch?v=PgBGOVayqAY
Governança da
Segurança da Informação Six Sigma
e Gestão de Risco
Terminologia
padrões e melhores
práticas
http://www.isixsigma.com/new-to-six-sigma/sigma-
level/how-calculate-process-sigma/
Governança da
Capability Maturity Model Integration
e Gestão de Risco
CMMI foi proposto e desenvolvido pelo Software
Terminologia Engineering Institute (SEI) da Universidade
Carnegie Mellon (CMU), possibilitando a adoção do
Controles de Segurança conceito de melhoria contínua.
padrões e melhores
práticas
Atualmente os produtos e atividades relativos ao
CMMI foram transferidos do SEI para o CMMI
Institute (www.cmmiinstitute.com), empresa
subsidiária da CMU.
Para o processo de avaliação será utilizada a

Standard CMMI Appraisal Method for Process
Improvement (SCAMPI), divididas em 3 classes: A, B
e C. Para fins de certificação, a avaliação (appraisal)
exige a execução seguindo a metodologia SCAMPI
Classe A.
https://www.youtube.com/watch?v=quPBfXS-WGw
CMMI
Níveis de Maturidade
Inicial Gerenciado Definido Gerenciado Otimizado

Quantitativamente
Processos Processos Processos Processos já são Foco na melhoria

imprevisíveis, caracterizados definidos para a medidos e do processo
pouca ou para Projetos e Organização e controlados
nenhuma gestão, comumente são proativos.
reativos reativos (Projetos definem
seus processos
do padrão
corporativo)

Aula0102 Seguranca

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Aula0102 Seguranca

Enviado por

Direitos autorais:

Formatos disponíveis

SEGURANÇA DA

Durante este primeiro encontro, iniciaremos uma

Vejamos uma definição de conceito:

são universais ao se aplicarem igualmente a todas as coisas em sua extensão.

BCP (Business Continuity Planning)

Legal, Regulation, Compliance and Investigation

Planejamento de Continuidade de Negócio e

Lei, Investigação e Ética

Abordaremos as práticas de gestão de classificação de

Envolve a preparação, teste e atualização das ações

A gestão do Plano de Continuidade de Negócio inclui

A gestão do Plano de Recuperação de Desastres inclui o

Compreender as ameaças e vulnerabilidades das

Também se refere à implementação de controles de

Este domínio aborda as ameaças, vulnerabilidades e

Os recursos envolvidos na Segurança Física são: pessoas,

Planejamento de Continuidade de Negócio e

Lei, Investigação e Ética

Princípios Básicos e “Se ele tinha qualquer coisa confidencial

- Sobre a Cifra de Cesar

Qual o propósito Por que a

Frameworks, modelos, Situação de estar

Risco Ausência de controles

Frameworks, modelos, Explora

Funcionalidades dos Controles

“São definidos como políticas, procedimentos, e atividades que

Desta forma, são comumente referenciados como Soft

Ex.: Documentações de segurança, Política de Segurança,

¹ The security Assessment Handbook – Douglas J. Landoll,

São recursos dispostos com a finalidade de proteger a

Ex.: Guarda de segurança, Alarme térmico e de movimento,

São os componentes de Hardware ou Software

Ex.: Criptografia, Cartões inteligentes, Autenticação de

Funcionalidades dos Controles

Físicos Administrativos Técnicos

Físicos Administrativos Técnicos

Recuperação Plano de DR Backup de Dados Site Remoto

Cercas, paredes, guardas, cofres, chaves e senhas,

Um programa de segurança baseado

Existem diversos frameworks e metodologias disponíveis no

Princípios Básicos e • Família ISO/IEC 27000

Historicamente, sua a família ISO 27000 deriva do padrão

O padrão britânico era dividido em duas partes:

ISMS / SGSI - Certificação:

Padrão de Código de Prática:

Princípios Básicos e • Família ISO 27000

Controles de Segurança ISO/IEC 27000 Overview and vocabulary

O SGSI (Sistema de Gestão de Segurança da Informação) inclui estratégias, planos,

Por sua vez, a (ISC)2 atesta o conhecimento de

CISSP foca em pessoas. ISO foca na empresa.

Princípios Básicos e • Família ISO/IEC 27000

Princípios Básicos e • Família ISO/IEC 27000

Princípios Básicos e • Família ISO/IEC 27000

Princípios Básicos e • COBIT

O COBIT estabelece um conjunto de práticas que

Princípios Básicos e • SP 800-53 (NIST)

Controles de Segurança O Information Technology Laboratory (ITL) dentro do

As publicações speciais (Special Publication-SP) da

O documento SP 800-53 foi publicado em 2005 e

Nota: Os controles podem ser referenciados utilizando as

Princípios Básicos e • Família ISO/IEC 27000

O modelo de controles internos do COSO foi adotado