Escolar Documentos
Profissional Documentos
Cultura Documentos
1
OBJETIVOS D A DISCIPLINA
2
AGENDA
3
REFLEXÃO INICIAL
4
CENÁRIO ATUAL – FALTA DE PADRONIZAÇÃO
5
OBJETIVO
• Aumentar o controle na adoção de melhores práticas,
reduzindo o risco regulatório e transformando o atendimento a
leis, regulamentações e práticas em oportunidades de melhoria.
6
ADERÊNCIA D O CONJUNTO DE NORMAS
7
CONFORMIDADE C O M QUE?
8
Normas Técnicas sobre Segurança da Informação
• Com o aumento do número de melhores práticas, um grande
desafio surge no cenário de conformidade: “A integração e
consodlidação de controles contidos nas normas técnicas”.
9
Normas Técnicas sobre Segurança da Informação
https://www.slideshare.net/idgenterprise/2019-idg-security-priorities-study 10
Normas Técnicas sobre Segurança da Informação
https://www.slideshare.net/idgenterprise/2019-idg-security-priorities-study 11
Normas Técnicas sobre Segurança da Informação
“Era para ser um dia normal, mas o dia começou cinza e todos estão tensos. O chefe
chegou extremamente preocupado e logo de manhã reúne a equipe e diz: “Leiam os
procedimentos e registrem o que está faltando, pois amanhã temos a auditoria
externa. Se perdermos o selo da ISO cabeças vão rolar!””
https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 13
Normas Técnicas sobre Segurança da Informação
Quanto certificamos as empresas e promovemos auditorias buscamos:
https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 14
Normas Técnicas sobre Segurança da Informação
NORMAS E AUDITORIA!
Normas definem o que deve ser feito e a auditoria faz uma exame de
conformidade, comprovando que a TI está no caminho certo, ou, se houver
problemas, aponta o que precisa ser corrigido.
https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 15
Normas Técnicas sobre Segurança da Informação
Normalmente as empresas se utilizam do COBIT como ferramenta de auditorias de TI. Qual a razão?
• Avaliação padronizada e fundamentada sobre a TI da organização (baseada em fatos) e
• Permite a melhoria dos controles internos da organização, mediante recomendações e sugestões.
https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 16
Cobit 4.1
https://www.isaca.org/credentialing/cobit/cobit-5-certifcates 19
Cobit 4.1 (Controles Exclusivos de SI)
Cobit 4.1 (Controles Exclusivos de SI)
• PO2.4 Integrity Management
• PO2.4 Integrity Management
• PO4.8 Responsibility for Risk, Security and Compliance
• PO4.8 Responsibility for Risk, Security and Compliance
• PO6.2 Enterprise IT Risk and Control Framework
• PO6.2 Enterprise IT Risk and Control Framework
• PO9 Assess and Manage IT Risks (9.1 a9.6)
• PO9 Assess and Manage IT Risks (9.1 a9.6)
• AI6.1 Change Standards and Procedures
• AI6.1 Change Standards and Procedures
• DS4 Ensure Continuous Service
• DS4 Ensure Continuous Service
• DS5 Ensure Systems Security
• DS5 Ensure Systems Security
• DS12 Manage the Physical Environment
• DS12 Manage the Physical Environment
20
Cobit 5
21
Cobit 5
O uso do COBIT 5 para segurança da informação fornece orientações específicas
relacionadas a todos os ativadores:
https://www.isaca.org/credentialing/cobit/cobit-5-certifcates 22
Cobit 5
Dentre os vários processos novos e modificados, em relação ao COBIT 4.1, o
COBIT 5 possui um focado em Segurança da Informação:
http://www.gestaoporprocessos.com.br/wp-content/uploads/2014/06/2APOSTILA-COBIT-5-v1.1.pdf 21
Cobit 5
http://www.gestaoporprocessos.com.br/wp-content/uploads/2014/06/2APOSTILA-COBIT-5-v1.1.pdf 22
ITIL 2011 Edition (V3) - Foudantion
• Service Strategy
• Service Design
• ServiceTransition
• Service Operation
• Continual Service Improvement
https://www.axelos.com/certifications/itil-certifications 23
ITIL 2011 Edition (V4) - Foudation
https://www.axelos.com/certifications/itil-certifications 24
C O SO
• Gerenciamento de Riscos
Corporativos - Estrutura Integrada
https://www.coso.org/Pages/default.aspx 25
N IST
• Framework for Improving Critical Infrastructure Cybersecurity
• Federal Information Processing Standards (FIPS)
• Framework and Roadmap for Smart Grid Interoperability
Standards
• An Enterprise Continuous Monitoring TechnicalReference
Model
• National Strategy for Trusted Identities in Cyberspace
• FISMA - Federal Information Security ManagementAct
• SP 800-82 - Guide to Industrial Control Systems Security
https://www.nist.gov/topics/cybersecurity 28
NFPA
29
PCI DSS
• A missão do PCISecurity
Standards Council é
aprimorar a segurançade
dados de contas de
pagamento,promovendo
a educação e a
conscientização sobre os
Padrões de Segurança
https://pt.pcisecuritystandards.org/index.php 30
NERC – Proteção de InfraestruturaCrítica
• CIP-002-5.1: Cyber System Categorization
• CIP-003-5: Security Management Controls
• CIP-004-5.1: Personnel &Training
• CIP-005-5: Electronic Security Perimeter
• CIP-006-5: Physical Security of Cyber Systems
• CIP-007-5: System Security Management
• CIP-008-5: Incident Reporting and Response Planning
• CIP-009-5: Recovery Plans for Cyber Systems
• CIP-010-1: Configuration Change Management andVulnerability
Assessments
• CIP-011-1: Information Protection
https://www.nerc.com/Pages/default.aspx 31
ANSI ISA – Segurança em Automação
33
http://www.abnt.org.br/imprensa/releases/6778-abnt-possui-norma-sobre-gestao-da-continuidade-dos-negocios
ISO/ABNT – Segurança daInformação
• Família ISO/IEC 27000 (exemplo de normas)
• ISO 27000 - Overview and vocabulary
• ISO 27001 – Requirements (*)
(*) ABNT
• ISO 27002 - Code of practice (*)
• ISO 27003 - Implementation guidance (*)
• ISO 27004 - Measurement (*)
• ISO 27005 - Information security risk management (*)
• ISO 27006 - Requirements for bodies providing audit and certification
• ISO 27007 - Guidelines for auditing (*)
• ISO 27011 - Guidelines for telecommunications organizations (*)
• ISO 27014 - Governance of information security
• ISO 27033 - IT network security, a multi-part standard
• ISO 27799 - Information security management in health 34
https://www.portalgsti.com.br/2013/12/as-normas-da-familia-iso-27000.html
ISO/ABNT – Segurança daInformação
• Demais Normas ISO de Segurança da Informação
• ISO 18045 - Methodology for IT security evaluation
• ISO 18028-4 - IT network security - Securing remote access
• ISO 15408-1 - Evaluation criteria for IT security - Introduction
and general model
• ISO 19791 - Security assessment of operational systems
http://www.abnt.org.br/noticias/5777-iso-iec-27000-norma-internacional-de-seguranca-da-informacao-e-revisada 35
ISO/ABNT – Segurança daInformação
• Normas da família ISO 27000 em preparação
• ISO 27008 - Guidance for auditors on ISMS controls
• ISO 27013 - Guideline on the integrated implementation of ISO
20000 and ISO 27001
• ISO 27015 - Guidelines for the finance and insurance sectors
• ISO 27032 - Guideline for cybersecurity
• ISO 27034 - Guideline for application security
• ISO 27035 - Security incident management
• ISO 27036 - Guidelines for security of outsourcing
http://www.abnt.org.br/noticias/5777-iso-iec-27000-norma-internacional-de-seguranca-da-informacao-e-revisada 36
O QUE A NORMA ISO 27001 ABRANGE
A5 – Política de Segurança da A 13 – Segurança nas Comunicações
Informação (2) (7)
A6 – Organizando a Segurança da A14 – Aquisição, Desenvolvimento e
Informação (7) Manutenção de Sistemas(13)
A7 – Segurança em Recursos A 15 – Relacionamento na cadeia de
Humanos (6) suprimento (5)
A8 – Gestão de Ativos(10) A9 A16 – Gestão de incidentes de
– Controle de Acesso (14) A10 segurança da informação (7)
– Criptografia (2) A17 – Aspectos da segurança da
A11 – Segurança Física e do informação na gestão dacontinuidade
Ambiente (15) do negócio (4)
A 12 – Segurança nas A18 – Conformidade (8)
Operações (14) https://www.27001.pt/iso27001_3.html
https://online.assertivasolucoes.com.br/certificacoes-iso
38
https://pt.wikipedia.org/wiki/ISO_27001
O QUE A NORMA ISO 27001 ABRANGE
https://docplayer.com.br/2452386-Gestao-de-seguranca-da-informacao-iso-27001.html 37
O QUE A NORMA ISO 27001 ABRANGE
https://docplayer.com.br/2452386-Gestao-de-seguranca-da-informacao-iso-27001.html 38
A-5 Política de segurança
• A 5.1 Orientação da direção para segurança da informação
Objetivo: Prover a orientação e apoio da direção para a segurança da informação
da acordo com os requisitos de negócio e com as leis e regulamentos relevantes.
• A 5.1.1 Documento da política de segurança da informação
• A 5.1.2 Análise crítica da Política de Segurança da Informação
39
A-6 Organizando a Segurança da Informação
• A 6.1 Organização interna
Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a
implementação e operação de segurança da informação dentro da organização.
• A 6.1.1 Responsabilidades e papéis
• A 6.1.2 Segregação de funções
• A 6.1.3 Contato com autoridades
• A 6.1.4 Contato com grupos especiais
• A 6.1.5 Segurança da informação no gerenciamento de projetos
40
A-6 Organizando a Segurança daInformação
• A 6.2 Dispositivos Móveis e TrabalhoRemoto
Objetivo: Garantir a segurança das informações no trabalho remoto e no uso
de dispositivos móveis
• A 6.2.1 Política para uso de dispositivo móvel
• A 6.2.2 Trabalho remoto
41
A-7 Segurança nos Recursos Humanos
A 7.1 Antes da Contratação
Objetivo: Assegurar que os funcionários e partes externas entendem suas
responsabilidades, e estão em conformidade com os papéis para os quais eles
foram selecionados
• A 7.1.1 Seleção
• A 7.1.2 Termos e condições de trabalho
42
A-7 Segurança nos Recursos Humanos
45
A-9 Controle de acesso
A 9.1 Requisitos do negócio para controle de acesso
• Objetivo: Limitar o acesso à informação e aos recursos de processamento da
informação.
• A 9.1.1 Política de controle de acesso
• A 9.1.2 Acesso à redes e aos serviços de rede
46
A-9 Controle de acesso
A 9.2 Gerenciamento de acessos do usuário
• Objetivo: Assegurar o acesso de usuário autorizado e prevenir acessos não
autorizados aos sistemas e serviços.
• A 9.2.1 Registro e cancelamento de usuário
• A 9.2.2 Provisionamento para acesso de usuário
• A 9.2.3 Gerenciamento de direitos de acesso provilegiado
• A 9.2.4 Gerenciamento da informação de autenticação secreta de usuários
• A 9.2.5 Análise crítica dos direitos de acesso do usuário
• A 9.2.6 Retirada ou ajuste dos direitos de acesso
47
A-9 Controle de acesso
A 9.3 Responsabilidades do usuário
• Objetivo:Tornar os usuários responsáveis pela proteção das suas informações
de autenticação.
• A 9.3.1 Uso da informação de autenticação secreta
48
A-9 Controle de acesso
• A 9.4 Controle de acesso ao sistema e à aplicação
• Objetivo: Prevenir o acesso não autorizado aos sistemas e aplicações.
• A 9.4.1 Restrição de acesso à informação
• A 9.4.2 Procedimentos seguros de entrada no sistema (log-on)
• A 9.4.3 Sistema de gerenciamento de senha
• A 9.4.4 Uso de programas utilitários privilegiados
• A 9.4.5 Controle de acesso ao código-fonte de programas
49
A-10 Criptografia
A 10.1 Controles criptográficos
• Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade dainformação.
• A 10.1.1 Política para uso de controles criptográficos
• A 10.1.2 Gerenciamento de chaves
50
A-11 Segurança física e do ambiente
A 11.1 Áreas seguras
Objetivo: Prevenir acesso físico não autorizado, danos e interferências nos
recursos das informações e nas instalações da organização.
• A 11.1.1 Perímetro da segurança física;
• A 11.1.2 Controles de entrada física;
• A 11.1.3 Segurança em escritórios, salas e instalações;
• A 11.1.4 Proteção contra ameaças externas e do meio-ambiente;
• A 11.1.5 Trabalhando em áreas seguras;
• A 11.1.6 Áreas de entrega e carregamento.
51
A-11 Segurança física e do ambiente
• A 11.2 Equipamentos
• Objetivo: Impedir perdas, danos ou comprometimento dos ativos e interrupção das
operações da organização.
• A 11.2.1 Escolha de local e proteção do equipamento
• A 11.2.2 Utilidades
• A 11.2.3 Segurança do cabeamento
• A 11.2.4 Manutenção de equipamentos
• A 11.2.5 Remoção de ativos
• A 11.2.6 Segurança de equipamentos e ativos fora das dependências da organização
• A 11.2.7 Reutilização e alienação seguras de equipamentos
• A 11.2.8 Equipamento de usuário sem monitoração
• A 11.2.9 Política de mesa limpa e tela limpa
52
A-12 Segurança nas Operações
53
A-12 Segurança nas Operações
A 12.2 Proteção contra malware
Objetivo: Assegurar que as informações e os recursos de processamento da
informação estão protegidos contra malware.
• A 12.2.1 Controles contra malware.
54
A-12 Segurança nas Operações
A 12.4 Registros e monitoramento
Objetivo: Registrar eventos e gerar evidências.
• A 12.4.1 Registro de eventos.
• A 12.4.2 Proteção das informações dos registros de eventos (logs)
• A 12.4.3 Registro de eventos (logs) de administrador e operador
• A 12.4.4 Sincronização dos relógios
55
A-12 Segurança nas Operações
A 12.5 Controle de software operacional
Objetivo: Assegurar a integridade dos sistemasoperacional.
• A 12.5.1 Instalação de software dos sistemas operacionais.
58
A-14 Aquisição, desenvolvimento e manutenção de
sistemas
A 14.2 Segurança nos processos de desenvolvimento e suporte
Objetivo: Garantir que a segurança da infor~mação está projeta e implementada
no ciclo de vida de desenvolvimento dos sistemas de informação.
• A 14.2.1 Política de desenvolvimento seguro
• A 14.2.2 Procedimentos para controle de mudanças de sistemas
• A 14.2.3 Análise crítica técnica das aplicações spós mudanças nas plataformas
operacionais
• A 14.2.4 Restrições sobre mudanças em pacotes de software
• A 14.2.5 Princípios para projetar sistemas seguros
• A 14.2.6 Ambiente seguro para desenvolvimento
• A 14.2.7 Desenvolvimento terceirizado
• A 14.2.8 Teste de segurança do sistema
• A 14.2.9 Teste de aceitação de sistemas
59
A-14 Aquisição, desenvolvimento e manutenção de
sistemas
A 14.3 Dados para testes
Objetivo: Assegurar a proteção dos dados usados para teste.
• A 14.3.1 Proteção dos dados para teste
60
A-15 Relacionamento na cadeia de suprimento
A 15.1 Segurança da informação na cadeia de suprimento
Objetivo: Garantir a proteção dos ativos da organização que são acessados pelos
fornecedores.
• A 15.1.1 Política de segurança da informação no relacionamento com
fornecedores
• A 15.1.2 Identificando segurança da informação nos acordos com fornecedores
• A 15.1.3 Cadeia de suprimento na tecnologia da informação e comunicação
A 17.2 Redundâncias
• Objetivo: Assegurar a disponibilidade dos recursos de processamento da
informação.
• A 17.2.1 Disponibilidade dos recursos de processamento da informação
63
A-18 Conformidade
A 18.1 Conformidade com requisitos legais e contratuais
• Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias,
regulamentares ou contratuais relacionadas a segurança da informação e de
quaisquer requisitos de segurança.
• A 18.1.1 Identificação da legislação aplicável e de requisitos contratuais
• A 18.1.2 Direitos de propriedade intelectual
• A 18.1.3 Proteção de registros
• A 18.1.4 Proteção e privacidade de informação de identificação de pessoal
• A 18.1.5 Regulamentação de controles de criptografia
64
A-18 Conformidade
A 18.2 Análise crítica da segurança da informação
• Objetivo: Assegurar que a segurança da informação está implementada e
operada de acordo com a política e procedimentos da organização.
• A 18.2.1 Análise crítica idependente da segurança da informação
• A 18.2.2 Conformidade com as políticas e normas da segurança da informação
• A 18.2.3 Análise crítica da conformidade técnica
65
Estudos de Caso
66
ESTUDO DE CASO 1
67
ESTUDO DE CASO 2
69
ESTUDO DE CASO 4
71