SEGURANÇA DA INFORMAÇÃO

Normas Técnicas – Melhores Práticas

1
OBJETIVOS D A DISCIPLINA

• Conhecer as normas técnicas de Segurança da

Informação

• Conhecer as melhores práticas nacionais e

internacionais de Segurança da Informação

• Aprofundar conhecimento sobre ISO 27001

• Análise do Mercado e a importância da Auditoria de TI

(incluindo segurança da informação).

2
AGENDA

• Visão Geral das Normas Técnicas de SI

• Visão Geral de Frameworks de SI

• Norma ABNT NBR ISO/IEC 27001/27002

• Estudos de Caso (prática em sala)

3
REFLEXÃO INICIAL

• O conjunto de melhores práticas de Segurança da Informação

é cada vez maior e mais abrangente.
• A pressão regulatória aumenta, se torna mais sofisticada e
exigente.
• O controle das empresas sobre a conformidade diminui
devido à necessidade de integração e colaboração dos
diferentes departamentos e ao grande número de publicações.

4
CENÁRIO ATUAL – FALTA DE PADRONIZAÇÃO

5
 OBJETIVO
• Aumentar o controle na adoção de melhores práticas,
reduzindo o risco regulatório e transformando o atendimento a
leis, regulamentações e práticas em oportunidades de melhoria.

6
ADERÊNCIA D O CONJUNTO DE NORMAS

7
CONFORMIDADE C O M QUE?

8
Normas Técnicas sobre Segurança da Informação
• Com o aumento do número de melhores práticas, um grande
desafio surge no cenário de conformidade: “A integração e
consodlidação de controles contidos nas normas técnicas”.

9
Normas Técnicas sobre Segurança da Informação

Em torno de 30% das

empresas não possuem
executivo de segurança,
em 2019.

DIFÍCIL MANTER NORMAS E FAZER AUDITORA SEM UMA

ESTRUTURA DEDICADA!

https://www.slideshare.net/idgenterprise/2019-idg-security-priorities-study 10
Normas Técnicas sobre Segurança da Informação

A necessidade de implementar normas e vêm

se mantendo constantemente na lista de
preocupações na área de segurança da
IInformação.

https://www.slideshare.net/idgenterprise/2019-idg-security-priorities-study 11
Normas Técnicas sobre Segurança da Informação

Quanto de segurança é o suficiente?

Normas e auditoria estão aí para nos ajudar!
14
Normas Técnicas sobre Segurança da Informação

Vamos iniciar com uma ilustração:

“Era para ser um dia normal, mas o dia começou cinza e todos estão tensos. O chefe
chegou extremamente preocupado e logo de manhã reúne a equipe e diz: “Leiam os
procedimentos e registrem o que está faltando, pois amanhã temos a auditoria
externa. Se perdermos o selo da ISO cabeças vão rolar!””

Alguma semelhança com algo que você já presenciou, viu ou ouviu?

Auditoria de TI é bom, ruim ou um mal necessário?

As certificações demonstram para o mercado que as empresas estão aptas a lhe

prestarem serviços e ou produtos de qualidade. Infelizmente muita empresas usam
apenas para marketing, e NÃO DEVEMOS DEIXAR QUE ISSO ACONTEÇA, como
no caso acima.

https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 13
Normas Técnicas sobre Segurança da Informação
Quanto certificamos as empresas e promovemos auditorias buscamos:

• transparência da área de TI perante todas as partes interessadas da organização,

• mitigar ou reduzir os riscos envolvendo a TI, que é um ativo estratégico da

organização (está envolvido em praticamente todos os processos de negócio),

• reportar para a área de governança corporativa informações claras e

transparentes, garantindo a prevenção, conscientização e responsabilização,

Auditoria de TI (inclui segurança da informação) agrega

maior valor a organização, e não pode ser
compreendida como algo que serve apenas para
revelar as falhas das pessoas e puni-las.

https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 14
Normas Técnicas sobre Segurança da Informação

Por melhor que seja a equipe de TI, como ter certeza

que de fato que a TI está alinhada com os negócios
da empresa e que os riscos estejam mitigados
(incluindo os de segurança da informação)?

NORMAS E AUDITORIA!
Normas definem o que deve ser feito e a auditoria faz uma exame de
conformidade, comprovando que a TI está no caminho certo, ou, se houver
problemas, aponta o que precisa ser corrigido.

https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 15
Normas Técnicas sobre Segurança da Informação

COBIT é o sistema de governança

de TI, gerindo as demais normas
associadas à área da TI apenas.

Normalmente as empresas se utilizam do COBIT como ferramenta de auditorias de TI. Qual a razão?
• Avaliação padronizada e fundamentada sobre a TI da organização (baseada em fatos) e
• Permite a melhoria dos controles internos da organização, mediante recomendações e sugestões.

https://docplayer.com.br/837578-Mba-em-gestao-de-tecnologia-da-informacao.html 16
Cobit 4.1

https://www.isaca.org/credentialing/cobit/cobit-5-certifcates 19
Cobit 4.1 (Controles Exclusivos de SI)
Cobit 4.1 (Controles Exclusivos de SI)
• PO2.4 Integrity Management
• PO2.4 Integrity Management
• PO4.8 Responsibility for Risk, Security and Compliance
• PO4.8 Responsibility for Risk, Security and Compliance
• PO6.2 Enterprise IT Risk and Control Framework
• PO6.2 Enterprise IT Risk and Control Framework
• PO9 Assess and Manage IT Risks (9.1 a9.6)
• PO9 Assess and Manage IT Risks (9.1 a9.6)
• AI6.1 Change Standards and Procedures
• AI6.1 Change Standards and Procedures
• DS4 Ensure Continuous Service
• DS4 Ensure Continuous Service
• DS5 Ensure Systems Security
• DS5 Ensure Systems Security
• DS12 Manage the Physical Environment
• DS12 Manage the Physical Environment
20
Cobit 5

Na última versão do COBIT atenção especial

é dada para a segurança da informação!

21
Cobit 5
O uso do COBIT 5 para segurança da informação fornece orientações específicas
relacionadas a todos os ativadores:

1. Políticas, princípios e estruturas de segurança dainformação

2. Processos, incluindo detalhes e atividades específicos da segurança da
informação
3. Estruturas organizacionais específicas da segurança dainformação
4. Em termos de cultura, ética e comportamento, fatores que determinam o
sucesso da governança e gerenciamento da segurança da informação
5. Tipos de informações específicas da segurança dainformação
6. Recursos de serviço necessários para fornecer funções de segurança da
informação a uma empresa
7. Pessoas, habilidades e competências específicas para segurança da
informação

https://www.isaca.org/credentialing/cobit/cobit-5-certifcates 22
Cobit 5
Dentre os vários processos novos e modificados, em relação ao COBIT 4.1, o
COBIT 5 possui um focado em Segurança da Informação:

APO03 Gerenciar a ArquiteturaCorporativa

APO04 Gerenciar aInovação
APO05 Gerenciar o Portfólio
APO06 Gerenciar Orçamento eCustos
APO08 Gerenciar as Relações
APO13 Gerenciar a Segurança (Define, opera e monitora um sistema para a
gestão de segurança da informação)
BAI05 Gerenciar a Implementação de Mudança Organizacional
BAI08 Gerenciar o Conhecimento
BAI09 Gerenciar osAtivos
DSS05 Gerenciar Serviços de Segurança ¾ DSS06 Gerenciar os Controles de
Processos de Negócio

http://www.gestaoporprocessos.com.br/wp-content/uploads/2014/06/2APOSTILA-COBIT-5-v1.1.pdf 21
Cobit 5

No COBIT 5 mantiveram-se os controles de segurança da informação:

http://www.gestaoporprocessos.com.br/wp-content/uploads/2014/06/2APOSTILA-COBIT-5-v1.1.pdf 22
ITIL 2011 Edition (V3) - Foudantion
• Service Strategy
• Service Design
• ServiceTransition
• Service Operation
• Continual Service Improvement

https://www.axelos.com/certifications/itil-certifications 23
ITIL 2011 Edition (V4) - Foudation

• Create, Deliver and Support,

• Direct, Plan and Improve,
• Drive StakeholderValue,
• High VelocityIT.

https://www.axelos.com/certifications/itil-certifications 24
C O SO

• Gerenciamento de Riscos
Corporativos - Estrutura Integrada

https://www.coso.org/Pages/default.aspx 25
N IST
• Framework for Improving Critical Infrastructure Cybersecurity
• Federal Information Processing Standards (FIPS)
• Framework and Roadmap for Smart Grid Interoperability
Standards
• An Enterprise Continuous Monitoring TechnicalReference
Model
• National Strategy for Trusted Identities in Cyberspace
• FISMA - Federal Information Security ManagementAct
• SP 800-82 - Guide to Industrial Control Systems Security

https://www.nist.gov/topics/cybersecurity 28
NFPA

• NFPA 601: Standard for Security Services in Fire Loss

Prevention

• NFPA 730: Guide for Premises Security

• NFPA 731: Standard for the Installation of Electronic

Premises Security Systems

• NFPA 1600: Standard on Disaster/Emergency Management

and Business Continuity Programs
https://www.nfpa.org/Codes-and-Standards/All-Codes-and-Standards/List-of-Codes-and-Standards

29
PCI DSS

• A missão do PCISecurity
Standards Council é
aprimorar a segurançade
dados de contas de
pagamento,promovendo
a educação e a
conscientização sobre os
Padrões de Segurança

https://pt.pcisecuritystandards.org/index.php 30
 NERC – Proteção de InfraestruturaCrítica
• CIP-002-5.1: Cyber System Categorization
• CIP-003-5: Security Management Controls
• CIP-004-5.1: Personnel &Training
• CIP-005-5: Electronic Security Perimeter
• CIP-006-5: Physical Security of Cyber Systems
• CIP-007-5: System Security Management
• CIP-008-5: Incident Reporting and Response Planning
• CIP-009-5: Recovery Plans for Cyber Systems
• CIP-010-1: Configuration Change Management andVulnerability
Assessments
• CIP-011-1: Information Protection
https://www.nerc.com/Pages/default.aspx 31
ANSI ISA – Segurança em Automação

• ANSI/ISA-TR99.00.01(2007) Security Technologies for

Industrial Automation and Control Systems
• ANSI/ISA–62443-2-1(2009) Security for Industrial
Automation and Control Systems: Establishing an Industrial
Automation and Control Systems Security Program
• ANSI/ISA-62443-3-3 (2013) Security for industrial
automation and control systems Part 3-3: System security
requirements and security levels
• ANSI/ISA–62443-1-1 (2007) Security for Industrial
Automation and Control Systems Part 1:Terminology,
Concepts, and Models
32
 ISO/ABNT - Gestão de Continuidade
de Negócio
• ISO 22300:2012 - Societal Security (Terminology)

• ISO 22301:2012 - Business Continuity Management Systems

(Requirements)

• ISO 22313:2012 - Business Continuity Management Systems

(Guidance)

• ISO 22301:2013 – Segurança da Sociedade – Sistema de

gestão da continuidade de negócios – Requisitos

33
http://www.abnt.org.br/imprensa/releases/6778-abnt-possui-norma-sobre-gestao-da-continuidade-dos-negocios
 ISO/ABNT – Segurança daInformação
• Família ISO/IEC 27000 (exemplo de normas)
• ISO 27000 - Overview and vocabulary
• ISO 27001 – Requirements (*)
(*) ABNT
• ISO 27002 - Code of practice (*)
• ISO 27003 - Implementation guidance (*)
• ISO 27004 - Measurement (*)
• ISO 27005 - Information security risk management (*)
• ISO 27006 - Requirements for bodies providing audit and certification
• ISO 27007 - Guidelines for auditing (*)
• ISO 27011 - Guidelines for telecommunications organizations (*)
• ISO 27014 - Governance of information security
• ISO 27033 - IT network security, a multi-part standard
• ISO 27799 - Information security management in health 34
https://www.portalgsti.com.br/2013/12/as-normas-da-familia-iso-27000.html
ISO/ABNT – Segurança daInformação
• Demais Normas ISO de Segurança da Informação
• ISO 18045 - Methodology for IT security evaluation
• ISO 18028-4 - IT network security - Securing remote access
• ISO 15408-1 - Evaluation criteria for IT security - Introduction
and general model
• ISO 19791 - Security assessment of operational systems

http://www.abnt.org.br/noticias/5777-iso-iec-27000-norma-internacional-de-seguranca-da-informacao-e-revisada 35
ISO/ABNT – Segurança daInformação
• Normas da família ISO 27000 em preparação
• ISO 27008 - Guidance for auditors on ISMS controls
• ISO 27013 - Guideline on the integrated implementation of ISO
20000 and ISO 27001
• ISO 27015 - Guidelines for the finance and insurance sectors
• ISO 27032 - Guideline for cybersecurity
• ISO 27034 - Guideline for application security
• ISO 27035 - Security incident management
• ISO 27036 - Guidelines for security of outsourcing

http://www.abnt.org.br/noticias/5777-iso-iec-27000-norma-internacional-de-seguranca-da-informacao-e-revisada 36
O QUE A NORMA ISO 27001 ABRANGE
A5 – Política de Segurança da
Informação (2)
A6 – Organizando a Segurança da
Informação (7)
A7 – Segurança em Recursos
Humanos (6)
A8 – Gestão de Ativos(10) A9
– Controle de Acesso (14) A10
– Criptografia (2)
A11 – Segurança Física e do
Ambiente (15)
A 12 – Segurança nas
Operações (14)
A 13 – Segurança nas Comunicações
(7)
A14 – Aquisição, Desenvolvimento e
Manutenção de Sistemas(13)
A 15 – Relacionamento na cadeia de
suprimento (5)
A16 – Gestão de incidentes de
segurança da informação (7)
A17 – Aspectos da segurança da
informação na gestão dacontinuidade
do negócio (4)
A18 – Conformidade (8)
https://www.27001.pt/iso27001_3.html

(“N”) – Quantidade de controles em cada domínio acima

A exclusão de qualquer controle precisa ser devidamente justificada
37
(bem, mas muito bem justificada!).
 O QUE A NORMA ISO 27001 ABRANGE
Certificação ISO 27001 geralmente envolve um processo de auditoria em dois
estágios:

• Estágio 1 - é uma análise preliminar, informal do SGSI (Sistema de Gestão da

Segurança da Informação), na verificação da existência e
documentação chave como a política de segurança da
organização, Declaração de Aplicabilidade (do inglês Statement of Applicability -
SoA) e Plano de Tratamento de Risco (PTR).

• Estágio 2 - é um detalhamento, com auditoria em profundidade envolvendo a

existência e efetividade do controle SGSI declarado no SoA e PTR, bem como a
documentação de suporte. A renovação do certificado envolve revisões periódicas
e re-declaração confirmando que o SGSI continua operando como desejado.

NÃO HÁ UM TEMPO PRÉ-DETERMINADO PARA SE OBTERA CERTIFICAÇÃO, ASSIM COMO NÃO UM

VALOR DE GASTO. DEPENDE MUITO DE EMPRESA PARA EMPRESA (MATURIDADE, SETOR, ETC.)

https://online.assertivasolucoes.com.br/certificacoes-iso
38
https://pt.wikipedia.org/wiki/ISO_27001
O QUE A NORMA ISO 27001 ABRANGE

Vantagens de se ter um SGSI certificado:

• Passa confiança para os clientes de que a empresa está aderente às melhores

práticas de segurança da informação,

• Há uma garantia de melhoria contínua dos processos e práticas de segurança da

informação,

• Elimina interferência interna, já que o sistema e avaliado por uma empresa

externa e a ISSO é aceita em vários países,

• Auxilia a empresa a alinhar o tema segurança da informação com outros sistemas

de controle corporativo,

• Economia de recursos, já que haverá foco e clara orientação de investimentos,

https://docplayer.com.br/2452386-Gestao-de-seguranca-da-informacao-iso-27001.html 37
O QUE A NORMA ISO 27001 ABRANGE

Vantagens de se ter um SGSI certificado:

• Passa confiança para os clientes de que a empresa está aderente às melhores

práticas de segurança da informação,

• Há uma garantia de melhoria contínua dos processos e práticas de segurança da

informação,

• Elimina interferência interna, já que o sistema e avaliado por uma empresa

externa e a ISSO é aceita em vários países,

• Auxilia a empresa a alinhar o tema segurança da informação com outros sistemas

de controle corporativo,

• Economia de recursos, já que haverá foco e clara orientação de investimentos,

https://docplayer.com.br/2452386-Gestao-de-seguranca-da-informacao-iso-27001.html 38
A-5 Política de segurança
• A 5.1 Orientação da direção para segurança da informação
Objetivo: Prover a orientação e apoio da direção para a segurança da informação
da acordo com os requisitos de negócio e com as leis e regulamentos relevantes.
• A 5.1.1 Documento da política de segurança da informação
• A 5.1.2 Análise crítica da Política de Segurança da Informação

39
 A-6 Organizando a Segurança da Informação
• A 6.1 Organização interna
Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a
implementação e operação de segurança da informação dentro da organização.
• A 6.1.1 Responsabilidades e papéis
• A 6.1.2 Segregação de funções
• A 6.1.3 Contato com autoridades
• A 6.1.4 Contato com grupos especiais
• A 6.1.5 Segurança da informação no gerenciamento de projetos

40
A-6 Organizando a Segurança daInformação
• A 6.2 Dispositivos Móveis e TrabalhoRemoto
Objetivo: Garantir a segurança das informações no trabalho remoto e no uso
de dispositivos móveis
• A 6.2.1 Política para uso de dispositivo móvel
• A 6.2.2 Trabalho remoto

41
A-7 Segurança nos Recursos Humanos
A 7.1 Antes da Contratação
Objetivo: Assegurar que os funcionários e partes externas entendem suas
responsabilidades, e estão em conformidade com os papéis para os quais eles
foram selecionados
• A 7.1.1 Seleção
• A 7.1.2 Termos e condições de trabalho

42
A-7 Segurança nos Recursos Humanos

A 7.2 Durante a Contratação

Objetivo: Assegurar que os funcionários e partes externas estão conscientes e
cumprem as suas responsabilidades pela segurança da informação.
• A 7.2.1 Responsabilidades da Direção;
• A 7.2.2 Conscientização, Educação e treinamento em segurança da informação;
• A 7.2.3 Processo disciplinar.

A 7.3 Encerramento ou mudança da Contratação

Objetivo: Proteger os interesses da organização como parte do processo de mudança
ou encerramento da contratação.
• A 7.3.1 Responsabilidades pelo encerramento ou mudança da contratação
43
A-8 Gestão de Ativos
• A 8.1 Responsabilidade pelos Ativos
Objetivo: Identificar os ativos da organização e definir as devidas
responsabilidades pela proteção dos ativos.
• A 8.1.1 Inventário dos ativos
• A 8.1.2 Proprietário dos ativos
• A 8.1.3 Uso Aceitável dos ativos
• A 8.1.4 Devolução dos ativos

• A 8.2 Classificação da informação

Objetivo: Assegurar que a informação receba um nível adequado de proteção, de
acordo com a sua importância para a organização.
• A 8.2.1 Classificação da informação
• A 8.2.2 Rótulos e tratamento da informação
• A 8.2.3 Tratamento dosativos 31
A-8 Gestão de Ativos
• A 8.3 Tratamento dasmídias
Objetivo: Prevenir a divulgação não autorizada, modifcação, remoção ou
destruição da informação armazenada nas mídias.
• A 8.3.1 Gerenciamento de mídias removíveis
• A 8.3.2 Descarte de mídias
• A 8.3.3 Transferência física demídias

45
A-9 Controle de acesso
A 9.1 Requisitos do negócio para controle de acesso
• Objetivo: Limitar o acesso à informação e aos recursos de processamento da
informação.
• A 9.1.1 Política de controle de acesso
• A 9.1.2 Acesso à redes e aos serviços de rede

46
A-9 Controle de acesso
A 9.2 Gerenciamento de acessos do usuário
• Objetivo: Assegurar o acesso de usuário autorizado e prevenir acessos não
autorizados aos sistemas e serviços.
• A 9.2.1 Registro e cancelamento de usuário
• A 9.2.2 Provisionamento para acesso de usuário
• A 9.2.3 Gerenciamento de direitos de acesso provilegiado
• A 9.2.4 Gerenciamento da informação de autenticação secreta de usuários
• A 9.2.5 Análise crítica dos direitos de acesso do usuário
• A 9.2.6 Retirada ou ajuste dos direitos de acesso

47
A-9 Controle de acesso
A 9.3 Responsabilidades do usuário
• Objetivo:Tornar os usuários responsáveis pela proteção das suas informações
de autenticação.
• A 9.3.1 Uso da informação de autenticação secreta

48
A-9 Controle de acesso
• A 9.4 Controle de acesso ao sistema e à aplicação
• Objetivo: Prevenir o acesso não autorizado aos sistemas e aplicações.
• A 9.4.1 Restrição de acesso à informação
• A 9.4.2 Procedimentos seguros de entrada no sistema (log-on)
• A 9.4.3 Sistema de gerenciamento de senha
• A 9.4.4 Uso de programas utilitários privilegiados
• A 9.4.5 Controle de acesso ao código-fonte de programas

49
A-10 Criptografia
A 10.1 Controles criptográficos
• Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade dainformação.
• A 10.1.1 Política para uso de controles criptográficos
• A 10.1.2 Gerenciamento de chaves

50
A-11 Segurança física e do ambiente
A 11.1 Áreas seguras
Objetivo: Prevenir acesso físico não autorizado, danos e interferências nos
recursos das informações e nas instalações da organização.
• A 11.1.1 Perímetro da segurança física;
• A 11.1.2 Controles de entrada física;
• A 11.1.3 Segurança em escritórios, salas e instalações;
• A 11.1.4 Proteção contra ameaças externas e do meio-ambiente;
• A 11.1.5 Trabalhando em áreas seguras;
• A 11.1.6 Áreas de entrega e carregamento.

51
A-11 Segurança física e do ambiente
• A 11.2 Equipamentos
• Objetivo: Impedir perdas, danos ou comprometimento dos ativos e interrupção das
operações da organização.
• A 11.2.1 Escolha de local e proteção do equipamento
• A 11.2.2 Utilidades
• A 11.2.3 Segurança do cabeamento
• A 11.2.4 Manutenção de equipamentos
• A 11.2.5 Remoção de ativos
• A 11.2.6 Segurança de equipamentos e ativos fora das dependências da organização
• A 11.2.7 Reutilização e alienação seguras de equipamentos
• A 11.2.8 Equipamento de usuário sem monitoração
• A 11.2.9 Política de mesa limpa e tela limpa
52
A-12 Segurança nas Operações

A 12.1 Responsabilidades e procedimentos operacionais

Objetivo: Garantir a operação segura e correta dos recursos de processamento da
informação.
• A 12.1.1 Documentação dos procedimentos de operação;
• A 12.1.2 Gestão de mudanças;
• A 12.1.3 Gestão de capacidade;
• A 12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção.

53
A-12 Segurança nas Operações
A 12.2 Proteção contra malware
Objetivo: Assegurar que as informações e os recursos de processamento da
informação estão protegidos contra malware.
• A 12.2.1 Controles contra malware.

A 12.3 Cópias de Segurança

Objetivo: Proteger contra perda de dados.
• A 12.3.1 Cópias de segurança.

54
A-12 Segurança nas Operações
A 12.4 Registros e monitoramento
Objetivo: Registrar eventos e gerar evidências.
• A 12.4.1 Registro de eventos.
• A 12.4.2 Proteção das informações dos registros de eventos (logs)
• A 12.4.3 Registro de eventos (logs) de administrador e operador
• A 12.4.4 Sincronização dos relógios

55
A-12 Segurança nas Operações
A 12.5 Controle de software operacional
Objetivo: Assegurar a integridade dos sistemasoperacional.
• A 12.5.1 Instalação de software dos sistemas operacionais.

A 12.6 Gestão de vulnerabilidades técnicas

Objetivo: Prevenir a exploração de vulnerabilidades técnicas.
• A 12.6.1 Gestão de vulnerabilidades técnicas;
• A 12.6.2 Restrição quanto a instalação de software.

A 12.7 Considerações quanto a auditoria de sistemas de informação

Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas
operacionais.
• A 12.7.1 Controles de auditoria de sistemas de informação. 56
A-13 Segurança nas Comunicações
A 13.1 Gerenciamento de segurança em redes
Objetivo: Assegurar a proteção das informações em redes e dos recursos de
processamento da informação que as apoiam.
• A 13.1.1 Controles de rede;
• A 13.1.2 Segurança dos serviços de rede;
• A 13.1.3 Segregação de redes.

A 13.2 Transferência de informação

Objetivo: Manter a segurança da informação transferida dentro da organização e com
quaisquer entidades externas.
• A 13.2.1 Políticas e procedimentos para transferência deinformação;
• A 13.2.2 Acordos para transferência de informação;
• A 13.2.3 Mensagens eletrônicas.
• A 13.2.4 Acordos de confidencialidade e não divulgação 57
A-14 Aquisição, desenvolvimento e manutenção de
sistemas
• A 14.1 Requisitos de segurança de sistemas de informação
• Objetivos: Garantir que a segurança da informação é parte integrante de todo
o ciclo de vida dos sistemas de informação.
• A 14.1.1 Análise e especificação dos requisitos de segurança da informação
• A 14.1.2 Serviços de aplicação seguros em redes públicas
• A 14.1.3 Protegendo as transcações nos aplicativos de serviços

58
A-14 Aquisição, desenvolvimento e manutenção de
sistemas
A 14.2 Segurança nos processos de desenvolvimento e suporte
Objetivo: Garantir que a segurança da infor~mação está projeta e implementada
no ciclo de vida de desenvolvimento dos sistemas de informação.
• A 14.2.1 Política de desenvolvimento seguro
• A 14.2.2 Procedimentos para controle de mudanças de sistemas
• A 14.2.3 Análise crítica técnica das aplicações spós mudanças nas plataformas
operacionais
• A 14.2.4 Restrições sobre mudanças em pacotes de software
• A 14.2.5 Princípios para projetar sistemas seguros
• A 14.2.6 Ambiente seguro para desenvolvimento
• A 14.2.7 Desenvolvimento terceirizado
• A 14.2.8 Teste de segurança do sistema
• A 14.2.9 Teste de aceitação de sistemas

59
A-14 Aquisição, desenvolvimento e manutenção de
sistemas
A 14.3 Dados para testes
Objetivo: Assegurar a proteção dos dados usados para teste.
• A 14.3.1 Proteção dos dados para teste

60
A-15 Relacionamento na cadeia de suprimento
A 15.1 Segurança da informação na cadeia de suprimento
Objetivo: Garantir a proteção dos ativos da organização que são acessados pelos
fornecedores.
• A 15.1.1 Política de segurança da informação no relacionamento com
fornecedores
• A 15.1.2 Identificando segurança da informação nos acordos com fornecedores
• A 15.1.3 Cadeia de suprimento na tecnologia da informação e comunicação

A 15.2 Gerenciamento da entrega do serviço do fornecedor

Objetivo: Manter um nível acordado de segurança da informação e de entrega de
serviços em consonância com os acordos com fornecedores.
• A 15.2.1 Monitoramento e análise crítica de serviços com fornecedores
• A 15.2.2 Gerenciamento de mudanças para serviços com fornecedores
61
A-16 Gestão de Incidentes de Segurança da Informação
A 16.1 Gestão de incidentes de segurança da informação e melhorias
Objetivo: Assegurar oenfoque consistente e efetivo para gerenciar os incidentes de
segurança da informação, incluindo a comunicação sobre fragilidades e eventos de
segurança da informação.
• A 16.1.1 Responsabilidades e procedimentos
• A 16.1.2 Notificação de eventos de segurança da informação
• A 16.1.3 Notificando fragilidades de segurança da informação
• A 16.1.4 Avaliação e decisão dos eventos de segurança da informação
• A 16.1.5 Resposta dos incidentes de segurança da informação
• A 16.1.6 Aprendendo com os incidentes de segurança da informação
• A 16.1.7 Coleta de evidências
62
A-17 Gestão da Continuidade do Negócio
A 17.1 Continuidade da Segurança da Informação
• Objetivo: A continuidade da segurança da informação deve ser contemplada
nos sistemas de gestão da continuidade do negócio da organização.
• A 17.1.1 Planejando a continuidade da segurança da informação
• A 17.1.2 Implementando a continuidade da segurança da informação
• A 17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da
informação

A 17.2 Redundâncias
• Objetivo: Assegurar a disponibilidade dos recursos de processamento da
informação.
• A 17.2.1 Disponibilidade dos recursos de processamento da informação

63
A-18 Conformidade
A 18.1 Conformidade com requisitos legais e contratuais
• Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias,
regulamentares ou contratuais relacionadas a segurança da informação e de
quaisquer requisitos de segurança.
• A 18.1.1 Identificação da legislação aplicável e de requisitos contratuais
• A 18.1.2 Direitos de propriedade intelectual
• A 18.1.3 Proteção de registros
• A 18.1.4 Proteção e privacidade de informação de identificação de pessoal
• A 18.1.5 Regulamentação de controles de criptografia

64
A-18 Conformidade
A 18.2 Análise crítica da segurança da informação
• Objetivo: Assegurar que a segurança da informação está implementada e
operada de acordo com a política e procedimentos da organização.
• A 18.2.1 Análise crítica idependente da segurança da informação
• A 18.2.2 Conformidade com as políticas e normas da segurança da informação
• A 18.2.3 Análise crítica da conformidade técnica

65
Estudos de Caso

66
ESTUDO DE CASO 1

O Banco tinha 2 escritórios funcionando no World

Trade Center e já operava os seus sistemas
quase que normalmente no dia seguinte ao
atentado terrorista de 11 de Setembro 2001.

• Quais requisitos da ISO são relevantes neste caso?

• Por que eles são relevantes?

• Os requisitos foram atendidos?

• Qual dos três aspectos (pilares) da segurança foi afetado?

67
ESTUDO DE CASO 2

Em abril de 2019 um notebook do Ministério de

Defesa, contendo segredos de segurança
nacional, foi deixado em um táxi por um oficial do
exército.

• Quais requisitos da ISO são relevantes neste caso?

• Por que eles são relevantes?

• Os requisitos foram atendidos?

• Qual dos três aspectos da segurança foi afetado?

68
ESTUDO DE CASO 3

Em maio de 2019 o vírus “I love you” invadiu o

servidor de correio da empresa provocando
paralisação de 10 horas dos serviços.

• Quais requisitos da ISO são relevantes neste caso ?

• Por que eles são relevantes ?

• Os requisitos foram atendidos ?

• Qual dos três aspectos da segurança foi afetado ?

69
ESTUDO DE CASO 4

Em julho de 2004 foi feito, por três usuários de

uma filial da empresa, um download, a partir da
Internet, do software GATOR.EXE, provocando
uma baixa de performance muito grande na rede
local, após instalação do software.

• Quais requisitos da ISO são relevantes neste caso ?

• Por que eles são relevantes ?

• Os requisitos foram atendidos ?

• Qual dos três aspectos da segurança foi afetado ? 70

FIM

71