02 - SegInfo - Normas Nacionais e Internacionais de Segurança Da Informação

Inovação Tecnológica, Sistemas e Segurança da Informação
Em instantes começaremos
nossa aula de hoje !!!
Prof. Antonio Andrade

a.a.s@uni9.pro.br
Em instantes começaremos
ANTONIO ANDRADE
LATTES: http://lattes.cnpq.br/9400427944771244
L I N K E D I N : linkedin.com/in/antonio-andrade-santos
F A C E B O O K : https://www.facebook.com/face.aas
E-MAIL: lgpd@outlook.com.br
M E I O AC A D Ê M I C O & C O R P O R AT I VO
Graduado em Tecnologia da Informação; Sócio das empresas Viaclient e SMIT com
foco em ERP e Inovações Tecnológicas;
Mestre em Engenharia Biomédica;
Coordenador de desenvolvimento de
#LGPDparaTODOS Atua como professor em Instituição de sistemas em empresa da área da Saúde;
Ensino Superior (IES) desde 2009.
Membro do Comitê de LGPD em empresa
Certificações na área de Privacidade da área da Saúde e organização do terceiro
setor;
DPO
Palestrante em eventos e capacitações
Membro do Comitê de Segurança da
relacionados à GDPR e LGPD.
ANPPD
Normas nacionais e internacionais de segurança da informação
▪ Segurança de computadores – Inicia-se com as primeiras redes;

▪ Os controles de usuários / acessos foram sendo implementados conforme
necessidades foram surgindo, mundialmente.
▪ Após 11/set/2001 pensou-se muito mais em segurança;
▪ Além da necessidade de proteção dos ativos físicos da TI, também a
capacitação dos colaboradores.
▪ Depois de resolvido os problemas com infraestrutura, vieram as
preocupações com os sistemas...
[...] que passam a sofrer com “diversas técnicas

sofisticadas de ataques e utilização de
programas espiões, além de pichação de
páginas de sites, roubo, alteração e
manipulação indevida de dados da
organização”.
▪ Rápido crescimento das redes: necessidade de administrar/organizar as

informações e mantê-las em segurança.
▪ Inicialmente não existiam normas, nem padrões preestabelecido.
Curiosidades sobre uma rede antiga? Entre outras, Novell®! - Visite esse link:
https://www.novell.com/pt-br/documentation/nsbs51/insadenu/data/h4bunsbe.html
Novell®. Disponível em:<https://www.novell.com/pt-br/documentation/nsbs51/insadenu/data/h4bunsbe.html>. Acesso em Fev-2022.

As normas
▪ Um documento que deve ser elaborado, aprovado e estabelecido por

consenso por meio de uma autoridade reconhecida da organização.
▪ Pode ser utilizada para definir regras e padrões que servirão como um
instrumento de controle na realização de alguma atividade de uso comum e
repetitivo em certa situação.
“As normas de segurança da informação foram criadas para fornecer as

melhores práticas, diretrizes e princípios gerais para a implementação da
gestão da segurança informação para qualquer organização”
Instituições padronizadoras reconhecidas
▪ ISO – International Standardization Organization.

▪ IEC – International Electrotechnical Comission.
▪ ABNT – Associação Brasileira de Normas Técnicas.
▪ Primeiras orientações quanto à segurança física em informática foram definidas
pelas Normas Técnicas Brasileiras (NBR):
▪ NBR 1333, de 12/1990 – Controle de acesso físico a CPDs (Centro de Processamento
de Dados).
▪ NBR 1334, de 12/1990 – Critérios de segurança física para armazenamento de dados.
▪ NBR 1335, de 07/1991 – Segurança física de microcomputadores e terminais em
estações de trabalho.
▪ NBR 10842 – Equipamentos para tecnologia da informação e requisitos de segurança.
▪ Por volta do ano de 1967 nasceu nos Estados Unidos o primeiro esforço para
tentar solucionar o problema da segurança em computadores: Departamento de
Defesa (DoD – Department of Defense).
▪ “The Orange Book” (O Livro Laranja) foi o nome dado ao conjunto de regras
escritas em um documento chamado: “Security Control for Computer System“,
pelo DoD.
▪ Níveis de segurança utilizados nesse livro:
▪ Classificar o grau de proteção que seria utilizado nos hardware.
▪ Classificar o grau de proteção que seria utilizado nos software,
▪ Informações armazenadas nos sistemas de computadores.
▪ Mais tarde o livro laranja trouxe aspectos relacionados a segurança
de redes de computadores.
▪ O assunto for se tornando complexo. O Reino Unido em 1995 criou dois

documentos:
• A BS7799-1 – Documento de referência para implementar "boas práticas" para a
segurança da informação.
• A BS7799-2 – Proporcionar uma base para a criação de um Sistema de Gestão da
Segurança da Informação (SGSI) dentro das empresas.
▪ Estes documentos começaram a serem utilizados ao redor do mundo e
necessitaram de adaptações. No Brasil:
• A ISO/IEC 17799:2000 - versão internacional da BS7799, homologada pela ISO.
• A NBR ISO/IEC 17799:2001 - versão brasileira resultante da "tradução" da norma ISO,
homologada pela ABNT em setembro de 2001.
• Em 2005, a NBR ISO/IEC 17799:2001 sofreu uma série de revisões e tornou-se NBR
ISO/IEC 17799:2005, publicada pela ABNT em agosto de 2005.
Disponível em: <https://slideplayer.es/slide/1675112/7/images/23/Normas+ISO+17799.jpg>. Acesso em: Fev-2022.

Disponível em: <https://images.slideplayer.com/27/9059012/slides/slide_5.jpg>. Acesso em: Fev-2022.

Outras normas
▪ A globalização foi mais um marco na história da necessidade de mudança

nas normas de segurança. Ou na criação de novas Leis e normas.
▪ Em relação a grandes fraudes financeiras:
▪ LEI SARBANNES-OXLEY (SOX – SARBOX) – Criada após os problemas
apresentados nas contabilidades das empresas Enron e WorldCom, entre outras,
e que afetava as empresas de comércio público dos Estados Unidos.
▪ Objetivo: dar transparência na divulgação das informações.
▪ BASEL II ACCORD (BASILEIA II) - Fornece uma diretriz para o cálculo de riscos
(de crédito, do mercado e operacionais).
▪ O PCI (PAYMENT CARD INDUSTRY) - Define um padrão para o manuseio de
dados de pagamentos para todos os comerciantes e fornecedores de serviços
que lidam com armazenamento, transmissão ou processamento de dados de
cartões de crédito.
Mas, o que é a globalização?
DESCOMPLICA. O que é globalização? | quer que desenhe? Descomplica. Disponível em: <https://www.youtube.com/watch?v=h5WjNMGztvE>. Acesso em: Fev-2022.
Globalização e Tecnologia
A importância
de entender os
conceitos para
se pensar mais
facilmente na
problemática da
Segurança da
Informação.
DESCOMPLICA. O que é globalização? | quer que desenhe? Descomplica. Disponível em: <https://www.youtube.com/watch?v=h5WjNMGztvE>. Acesso em: Fev-2022.
Outras normas ...
▪ ISO 15408 – Criada e direcionada para a segurança lógica

das aplicações, bem como possui o foco principal no
desenvolvimento de aplicações seguras.
▪ ISO 27000 – Visando reunir as diversas normas existentes de
segurança da informação, a ISO criou a série 27000, com
normas específicas.
▪ A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com
melhorias e adaptações, contemplando o ciclo de melhorias
continua.
▪ As mudanças mais relevantes ocorreram na estrutura do sistema de
gestão de segurança da informação (SGSI).
▪ Destaque dos aspectos de auditoria interna e indicadores de
desempenho do sistema de gestão de segurança
Outras normas ...
▪ Subdivisão das normas de segurança da informação:

▪ ISO 27000 – Reunião das diversas normas existentes de segurança da
informação:
▪ ISO/IEC 27001 - Sistemas de gestão da segurança da informação - Requisitos
▪ ISO 27002 – Trata-se do padrão que irá substituir a ISO 17799:2005.
▪ ISO 27003 – Trata-se do novo padrão que abordará a gestão de risco.
▪ ISO 27004 – Trata-se do padrão que abordará os mecanismos de mediação e
relatórios para um sistema de gestão de segurança da informação (SGSI).
▪ ISO 27005 – Aborda itens e conceitos relacionados à implantação, monitorização
e melhoria contínua do sistema de controles.
▪ ISO 27006 – Está relacionada a itens que tratarão da recuperação e
continuidade de negócio das organizações.
Outras normas não tão citadas que ajudam

Na segurança da informação e Boas Práticas:
▪ ITIL (Information Technology Infrastructure Library) – Modelo de referência
para gerenciamento de processos de TI.
▪ Se tornou a norma BS-15000, sendo esta um anexo da ISO 9000:2000 - abordam
Segurança da Informação / Planos de continuidade de negócios;
▪ COBIT (Control Objectives for Information and Related Technology) – Guia
de boas práticas apresentado como framework e mapas de auditoria
▪ Conjunto de ferramentas de implementação / guia de técnicas de gerenciamento.
▪ BS 25999-2 – Norma britânica com foco em representar uma norma de
gestão de continuidade de negócios.
▪ Define e contém as fases de gestão (planejamento, implementação, análise e
monitoramento), bem como a melhoria contínua.
▪ ISO 31000 (Gestão de Riscos) – Nova norma que foi criada para tratar de
assuntos relacionados à gestão de riscos.
ITIL ou COBIT, Qual o melhor framework?
André Dourado - TI na Prática . ITIL ou COBIT, Qual o melhor framework?

Disponível em: <https://www.youtube.com/watch?v=a7MxLvs3Kc8>. Acesso em: fev-2022.
Review Tecnológico
Conclusão
Tempo para debate / atividades!
Mais sobre...
O QUE É ITIL®?
Leia em: https://www.daryus.com.br/curso/certificacoes-itil
Benefícios do itil® para as organizações

Benefícios do itil® para desenvolvimento profissional
Atividade
Responder:
• Que achou do assunto discutido no vídeo?

• Como foi sua experiência em compartilhar
conhecimento em uma rede social?
• Em que rede publicou: Linkedin, Facebook,
Instagram, Tiktok, Twitter , Outro?
• Link da publicação:
• Texto publicado:
• Quantidade de views
• Qtde de reações:
• Qtde de comentários:
• Compartilhou a publicação em outras redes?
Quais?
https://forms.gle/GPv1q45VS3VCcsdP9
DICAS PARA ESTUDO:

• C
Seja “ URIOSO”:
- Procure revisar o que foi estudado.
- Pesquise as referências bibliográficas.
• A
Seja “ NTENADO”:
- Leia a próxima aula pelo AVA / AAPA.
• C
Seja “ OLABORATIVO”:
- Publique assuntos relevantes nos grupos de colegas de
universidade.
- Procure manter seu LinkedIn atualizado com foco em sua área
de atuação.
Prof. Antonio Andrade

a.a.s@uni9.pro.br

02 - SegInfo - Normas Nacionais e Internacionais de Segurança Da Informação

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

02 - SegInfo - Normas Nacionais e Internacionais de Segurança Da Informação

Enviado por

Direitos autorais:

Formatos disponíveis

Inovação Tecnológica, Sistemas e Segurança da Informação

Prof. Antonio Andrade

▪ Segurança de computadores – Inicia-se com as primeiras redes;

[...] que passam a sofrer com “diversas técnicas

▪ Rápido crescimento das redes: necessidade de administrar/organizar as

Novell®. Disponível em:<https://www.novell.com/pt-br/documentation/nsbs51/insadenu/data/h4bunsbe.html>. Acesso em Fev-2022.

▪ Um documento que deve ser elaborado, aprovado e estabelecido por

“As normas de segurança da informação foram criadas para fornecer as

Instituições padronizadoras reconhecidas

▪ ISO – International Standardization Organization.

Instituições padronizadoras reconhecidas

Instituições padronizadoras reconhecidas

▪ O assunto for se tornando complexo. O Reino Unido em 1995 criou dois

Disponível em: <https://slideplayer.es/slide/1675112/7/images/23/Normas+ISO+17799.jpg>. Acesso em: Fev-2022.

Disponível em: <https://images.slideplayer.com/27/9059012/slides/slide_5.jpg>. Acesso em: Fev-2022.

▪ A globalização foi mais um marco na história da necessidade de mudança

Outras normas ...

▪ ISO 15408 – Criada e direcionada para a segurança lógica

Outras normas ...

▪ Subdivisão das normas de segurança da informação:

Outras normas não tão citadas que ajudam

André Dourado - TI na Prática . ITIL ou COBIT, Qual o melhor framework?

Tempo para debate / atividades!

Benefícios do itil® para as organizações

• Que achou do assunto discutido no vídeo?

DICAS PARA ESTUDO:

Prof. Antonio Andrade

Você também pode gostar