Escolar Documentos
Profissional Documentos
Cultura Documentos
INFORMAÇÃO
Segurança em Redes – Aspectos de Gestão
PARTE 1 - CONCEITOS
Sejam bem-vindos ao nosso módulo de
Segurança da Informação!
Após esta leitura, fica claro que a primeira aula possui como um de seus objetivos
fornecer o vocabulário básico de segurança, promovendo um nível de
entendimento comum para todos os participantes.
Vamos começar?
Apresentação Pessoal
• Nome
• Formação acadêmica
• Atividade profissional
• Experiência com Segurança da Informação
• Já possui alguma certificação de Segurança da
Informação ou afim?
Gustavo Marchisotti, MSc.
Engenheiro Eletricista (CEFET), com especialização de Redes de
Computadores (UFMG), mestrado em Administração (FGV) e doutorado
em Sistema de Gestão Sustentável (UFF).
20 anos de experiência profissional no setores de Telecomunicações/TI,
atuando nas áreas técnica e gerencial em empresas como Telemar (Oi),
Alcatel-Lucent Brasil, Alcatel-Lucent Nova Zelândia, Huawei, Furukawa,
etc.
Atualmente trabalha na DATAPREV como Analista de TI da área de
planejamento tecnológico, além de atuar como professor no INFNET e na
FGV (convidado).
Regras do Jogo
• 2 formas de avaliação: Individual (60%) e Grupo (40%). Entregas
atrasadas, redução de 20% na nota.
ü Trabalho individual: Devem ser postados no Moodle, até a
data de início da aula subsequente. 2 Atividades ao todo.
ü Trabalho em grupo: Apresentação de um estudo de caso na
última aula (30 minutos cada grupo).
• As orientações tanto para o trabalho de grupo quanto para os
individuais estarão disponíveis no Moodle.
Regras do Jogo
Domínios de Conhecimento CISSP
DOMÍNIO OU PORÇÃO DE DOMÍNIO
NOVO DOMÍNIO
NA VERSÃO ANTIGA
Information Security Governance & Risk Management
https://www.youtube.com/watch?v=1eOrymKsnFE
CISSP - Aspectos de Gestão
Ementa
Governança da Segurança da Informação e
Gestão de Risco
Segurança Operacional
Segurança Física
Governança da Segurança da
Informação e Gestão de Risco
Refere-se à identificação dos recursos de informação com
o desenvolvimento e implementação de políticas, padrões,
diretrizes e procedimentos, visando a garantia da
Confidencialidade, Integridade e Disponibilidade das
informações.
Segurança Operacional
Segurança Física
Governança da Segurança da Informação
e Gestão de Risco
• Princípios Básicos e Terminologia
• Controles de Segurança
• Frameworks, modelos, padrões e melhores práticas
• Arquitetura Corporativa de Segurança
• Gestão de Risco
• Documentação de Segurança
• Classificação e Proteção da Informação
• Conscientização da Segurança
• Governança da Segurança
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Básicos e
Terminologia
Introdução
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Básicos e
Terminologia
Princípios Básicos e Terminologia
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
Segurança da Informação
e Gestão de Risco
Segurança da Informação
Princípios Básicos e
Terminologia
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Qual o impacto
O que é
da Segurança da
Segurança da
Informação no
Informação?
negócio?
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Fundamentais
Princípios Básicos e Pilares da Segurança da Informação
Terminologia
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Disponibilidade
Confidencialidade
Integridade
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Fundamentais
Princípios Básicos e Pilares da Segurança da Informação
Terminologia
Garantia de que os
Controles de Segurança recursos estarão
acessíveis de forma
Frameworks, modelos,
padrões e melhores confiável e sempre que
práticas necessário para quem Garantia de que os
possui os devidos recursos não serão
privilégios divulgados ou
disponibilizados a
Disponibilidade quem não tem os
devidos privilégios
Garantia de que os
Confidencialidade
recursos estarão
corretos e completos
Integridade
Governança da
Segurança da Informação
e Gestão de Risco
Segurança Balanceada
Princípios Básicos e Ativo de
Terminologia Confidencialidade
Informação
Controles de Segurança
Negócio Integridade
Frameworks, modelos,
padrões e melhores
práticas
Uso Disponibilidade
Governança da
Segurança da Informação
e Gestão de Risco
Definições Básicas e Terminologia
Princípios Básicos e
Terminologia
Vulnerabilidade
Controles de Segurança
Frameworks, modelos,
padrões e melhores Ameaça
práticas
Risco
Controle
Exposição
Governança da
Segurança da Informação
e Gestão de Risco
Definições Básicas e Terminologia
Probabilidade de que
Princípios Básicos e alguém explore uma
Terminologia
fraqueza e seu impacto
Vulnerabilidade no negócio
Controles de Segurança
Controle
Perigo potencial
associado à exploração
de fraquezas
Exposição
Contramedida
implementada para mitigar
Agente da Ameaça a probabilidade de
Entidade que pode tirar exploração de uma
vantagem de uma vulnerabilidade ou seu
vulnerabilidade impacto
Governança da
Segurança da Informação
e Gestão de Risco Vulnerabilidade x Ameaça x Risco
Princípios Básicos e
Terminologia
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
Segurança da Informação
e Gestão de Risco
Analisando os conceitos
Exercício:
Princípios Básicos e
Terminologia Vulnerabilidade x Ameaça x Risco
Agente da Ameaça??
Controles de Segurança
Vulnerabilidade:
A tela do computador é
Frameworks, modelos,
padrões e melhores visível de qualquer ângulo
práticas
Ameaça:
Que alguém veja o
conteúdo na tela ou o que
é digitado (visual hacking)
Risco:
Roubo de informações
sensíveis à empresa e
perda de credibilidade
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Básicos e
Terminologia
Controles de Segurança
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
Segurança da Informação
e Gestão de Risco
Princípios Básicos e Terminologia
Relações básicas entre os conceitos:
Princípios Básicos e
Terminologia
Agente da Dá origem a
Controles de Segurança Ameaça
Risco
Afeta diretamente
Ativo
Pode afetar
Controles Exposição
E causar uma
Salvaguarda
Pode ser protegida
por um
Governança da
Segurança da Informação
e Gestão de Risco
Controles de Segurança
Princípios Básicos e
Terminologia
“Medida tomada para modificar risco. Controles podem
incluir qualquer processo, política, dispositivo, prática, ou
Controles de Segurança qualquer outra ação que modifique o risco.”
Frameworks, modelos,
ISO 27000
padrões e melhores
práticas
“Controles de segurança são salvaguardas ou
contramedidas gerenciais, operacionais ou técnicas,
prescritas para sistemas de informação visando proteger
a confidencialidade, integridade e disponibilidade do
sistema e suas informações”
NIST 800-53
Governança da
Segurança da Informação
e Gestão de Risco
Controles de Segurança
Princípios Básicos e
Terminologia Tipos de Controle
• Administrativo ou Gerencial
Controles de Segurança
• Físico
Frameworks, modelos,
• Técnico
padrões e melhores
práticas
• Desencorajamento (deterrent)
Controles de Segurança
Tem o objetivo de desencorajar potenciais atacantes. Por vezes
utiliza-se de ameaças ou avisos sobre violações
Frameworks, modelos,
padrões e melhores
• Prevenção
práticas
Possui a finalidade de impedir que um incidente ocorra
• Correção
Medidas definidas para reagir à detecção de um incidente, visando
reduzir o eliminar a possibilidade de recorrência
• Recuperação
Uma vez que um incidente já tenha comprometido as propriedades
de segurança de um ativo, sua implementação é necessária para
retomar as operações
• Detecção
Visa identificar e reagir a incidentes
• Compensação
Controles que oferecem soluções alternativas como medidas de
segurança
Governança da
Segurança da Informação
e Gestão de Risco
Tipos de Controles de Segurança
Princípios Básicos e
Terminologia Separação
Cerca Firewall Iluminação
de Funções
Controles de Segurança
Política de
Site Remoto CFTV IDS
Frameworks, modelos, Segurança
padrões e melhores
práticas
Log de Backup de Extintor de Cão de
Auditoria Dados Incêndios Guarda
Security Monitoração
Cadeado Testes
Awareness e Supervisão
Encriptação Férias
de dados Crachá Plano de DR
Obrigatórias
Security Monitoração
Cadeado Q&A
Awareness e Supervisão
Encriptação Férias
de dados Crachá Plano de DR
Obrigatórias
Avisos de Somente de
Política de Padrões de
Diretiva Profissionais
Segurança Configurações
Autorizados
Iluminação, Placa de
Desencorajador Norma de Uso Banner de alerta
Cuidado com Cão
Separação de
Firewall, Encriptação Cerca, Cadeado, Cão
Prevenção Funções, Security
de Dados de Guarda, Crachá
Awareness, Q&A
Férias Obrigatórias,
Detecção Monitoração e IDS, Log de Auditoria CFTV
Supervisão
Desconectar redes,
Desligamento de
Correção isolar e encerrar Extintor de Incêncios
Funcionários
conexões
Defesas Físicas
Monitorar e Melhorar
Redes
TLS, Firewalls, NAT, Prevenção a DoS, Criptografia,
IPS/IDS,...
Servidores
Sistemas Operacionais, Gestão de vulnerabilidades,
Antivírus e Proteção a malware, Gestão de Patch …
Aplicações
SSO, Gestão de identidade, Desenvolvimento Seguro,
Autenticação, Autorização, Auditoria, …
Ativos de
Informação Segurança de Bases de Dados , Backup e retenção,
Conteúdo, …
Controles e Salvaguarda
Defense in Depth
Fonte: https://www.slideshare.net/DilumBandara/network-security-defense-in-depth
Governança da
Segurança da Informação Frameworks, modelos, padrões e
e Gestão de Risco melhores práticas
Princípios Básicos e
Terminologia
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Controles de Segurança
Frameworks:
Frameworks, modelos, Estrutura básica, conceitual, de alguma coisa. Um conjunto de
padrões e melhores
práticas
ideias ou fatos que dão suporte a algo.
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Programa de Segurança da Informação
e Gestão de Risco
• Família ISO 27000
Princípios Básicos e
Terminologia
• Define um padrão internacional, servindo como melhor
prática de mercado, para a gestão de controles de
segurança de forma holística dentro da organização.
Controles de Segurança
• O padrão descreve como um sistema de gerenciamento de
Frameworks, modelos, segurança da informação (também conhecido como
padrões e melhores programa de segurança) deve ser construído e mantido
práticas
BS7799
Princípios Básicos e
Terminologia
• Família ISO 27000
Controles de Segurança
BS7799 -> ISO17799 -> ISO 27000
Frameworks, modelos,
padrões e melhores Considerando a necessidade de um código de prática
práticas
internacional o padrão britânico foi revisado e publicado
pela ISO/IEC:
ISO/IEC
27002:2005 ...
Governança da
Segurança da Informação Programa de Segurança da Informação
e Gestão de Risco
Princípios Básicos e
Terminologia
• Família ISO 27000
Controles de Segurança
ISO/IEC 27031 Guideline for information and
Frameworks, modelos,
padrões e melhores
communications technology
práticas readiness for business continuity
ISO/IEC 27033-1 Guideline for network security
ISO 27799 Guideline for information security
management in health organizations
ISO 27001
PDCAaplicado ao SGSI
https://www.youtube.com/watch?v=4Z3IaA_n-i4
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Arquitetura Empresarial
e Gestão de Risco
Princípios Básicos e
Terminologia NIST Enterprise Architecture Framework
Controles de Segurança
Frameworks, modelos,
• Evita perda financeira devido ao desalinhamento
padrões e melhores entre as áreas de negócios e as de tecnologia
práticas
• Evita que a área de vendas negocie o
”impossível”, o que a área técnica não consegue
prover ou que tenha um custo impeditivo.
• Garantir padronização dos conceitos e
alinhamento de expectativas, para ofertar o que o
cliente necessita e a empresa possa disponibilizar
• https://www.youtube.com/watch?v=FgQ3Mo00Oj0
NIST Enterprise Architecture Framework
Governança da Frameworks associados à segurança
Segurança da Informação
e Gestão de Risco • Programa de Segurança
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Arquitetura de Segurança
e Gestão de Risco
• SABSA
Princípios Básicos e
Terminologia • É uma arquitetura de segurança corporativa, um
subconjunto de uma arquitetura corporativa.
Controles de Segurança • Define a estratégia de segurança da informação por
meio de camadas de soluções, processos e
Frameworks, modelos,
procedimentos, bem como a maneira como eles estão
padrões e melhores
vinculados em uma empresa de maneira estratégica,
práticas
taticamente e operacionalmente.
• É um método abrangente e rigoroso para descrever a
estrutura e comportamento de todos os componentes
que compõem um sistema holístico de gerenciamento de
segurança da informação (SGSI).
• O principal motivo para desenvolver uma arquitetura de
segurança corporativa é garantir que os esforços de
segurança se alinhem às práticas comerciais de maneira
padronizada e econômica.
• A arquitetura funciona em um nível de abstração e
fornece um quadro de referência. Além da segurança,
esse tipo de arquitetura permite que as organizações
melhorem a interoperabilidade, integração, facilidade de
uso, padronização e governança.
https://www.youtube.com/watch?v=qbFTg85I4eE
Governança da Frameworks associados à segurança
Segurança da Informação
e Gestão de Risco • Programa de Segurança
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Controle de Segurança
e Gestão de Risco
Controles de Segurança
O Framework definido pela ISACA e pelo ITGI
Frameworks, modelos, fornece uma estrutura abrangente para a gestão e
padrões e melhores governança de TI. Sua especificação é derivada
práticas
do framework de Governança definido pelo COSO.
• https://www.youtube.com/watch?v=HCjBwqfPMG8
COBIT
Habilitadores
COBIT
Principais Áreas de Governança
Processos de Gover ança Corpo a va de
Avallar, o· ·gr e onl orar
Governança da
Segurança da Informação Controle de Segurança
e Gestão de Risco
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da
Segurança da Informação Controle de Segurança
e Gestão de Risco
Princípios Básicos e
Terminologia
• COSO
Controles de Segurança
Fundada em 1985 para liderar a comissão chamada
Frameworks, modelos, National Commission on Fraudulent Financial
padrões e melhores
práticas
Reporting. O objetivo da comissão era estudar
atividades financeiras fraudulentas e entender os
fatores que permitiram sua ocorrência.
• https://www.youtube.com/watch?v=8h8EMJel04g
Governança da
Segurança da Informação Controle de Segurança
e Gestão de Risco
Princípios Básicos e
Terminologia
• COSO
Controles de Segurança
Identifica 5 áreas de controles internos necessários
Frameworks, modelos, para atender os objetivos de publicação de relatórios
padrões e melhores financeiros e sua divulgação. Estas áreas incluem:
práticas
1. Ambiente de Controle
2. Análise de Risco
3. Atividades de Controle
4. Informação e Comunicação
5. Monitoração
Governança da
Segurança da Informação
e Gestão de Risco
COSO vs. COBIT
Princípios Básicos e
Terminologia
Controles de Segurança
COSO - Governança Corporativa;
Frameworks, modelos,
padrões e melhores
práticas COBIT - Governança de TI.
• Controle de Segurança
• COBIT
• NIST 800-53
• Governança Corporativa
• COSO
• Gestão de Processos
• ITIL
• Six Sigma
• CMMI
Governança da IT Infrastructure Library
Segurança da Informação
e Gestão de Risco
• ITIL
Princípios Básicos e
Terminologia
O ITIL é um framework tido como padrão de mercado e
Controles de Segurança
aceito como melhor-prática para gestão de serviços de
TI.
Frameworks, modelos,
padrões e melhores
práticas
Dividido em 5 livros oficiais:
1. Service Strategy
2. Service Design
3. Service Transition
4. Service Operation
5. Continual Service Improvement
https://www.youtube.com/watch?v=5zm-ruBIfYg
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
Governança da
Segurança da Informação Six Sigma
e Gestão de Risco
Frameworks, modelos,
padrões e melhores
práticas
Six Sigma é uma metodologia de melhoria de
processos, desenvolvida pela Motorola, cujo objetivo
principal é proporcionar melhoria na qualidade do
processo utilizando métodos estatísticos para avaliar
a eficiência operacional e reduzir variações, defeitos e
perdas.
https://www.youtube.com/watch?v=goj1whrZTww
http://www.isixsigma.com/new-to-six-sigma/getting-
started/what-is-lean-six-sigma-video/
Governança da
Segurança da Informação Por trás do Six Sigma
e Gestão de Risco
https://www.youtube.com/watch?v=fP4-8S1An1s
https://www.youtube.com/watch?v=PgBGOVayqAY
Governança da
Segurança da Informação Six Sigma
e Gestão de Risco
Princípios Básicos e
Terminologia
Controles de Segurança
Frameworks, modelos,
padrões e melhores
práticas
http://www.isixsigma.com/new-to-six-sigma/sigma-
level/how-calculate-process-sigma/
Governança da
Segurança da Informação
Capability Maturity Model Integration
e Gestão de Risco
CMMI foi proposto e desenvolvido pelo Software
Princípios Básicos e
Terminologia Engineering Institute (SEI) da Universidade
Carnegie Mellon (CMU), possibilitando a adoção do
Controles de Segurança conceito de melhoria contínua.
Frameworks, modelos,
padrões e melhores
práticas
Atualmente os produtos e atividades relativos ao
CMMI foram transferidos do SEI para o CMMI
Institute (www.cmmiinstitute.com), empresa
subsidiária da CMU.
https://www.youtube.com/watch?v=quPBfXS-WGw
CMMI
Níveis de Maturidade