Escolar Documentos
Profissional Documentos
Cultura Documentos
1
Programa de Segurança
2
Documentos da Segurança
Os documentos são:
a Política de Segurança;
as Normas de Segurança; e
os Procedimentos.
4
Política de Segurança
acesso remoto;
ligação à rede;
8
Componentes do Plano Global de Segurança
a estratégia;
o plano de acção;
10
É importante que os objectivos elevem o nível de segurança,
preferencialmente de forma assente em métricas baseadas em
padrões.
11
Análise de risco
12
Estratégia
13
Plano de Acção
É composto por:
orçamento;
14
Como Vender Segurança à Administração
15
Papéis da Administração e do Responsável pela Segurança
16
Independentemente do posicionamento do responsável pela segurança, o
contacto com a Administração será necessário para obter orçamento e para
garantir o apoio ao mais alto nível em medidas de carácter transversal, que se
estendam fora do âmbito técnico dos sistemas de informação, entrando pelos
domínios do Negócio, tais como a definição de políticas de segurança.
Nos contactos é necessário utilizar uma linguagem não técnica, por forma a
facilitar a transmissão da mensagem que se pretende fazer passar.
17
Linguagem e Enquadramento
18
A segurança dos sistemas de informação e o Negócio são áreas de
conhecimento distintas e existe a tendência para os especialistas
destes domínios não terem conhecimentos significativos do outro.
19
Os gestores, não aceitam com facilidade dados cujo contexto não
seja o seu e poderão não se dar ao trabalho de separar uns números
“maus” dos restantes indicadores, descartando o pacote na sua
totalidade, pelo que é preciso ter cuidado com as estatísticas.
21
Obrigações Legais
22
Cenários Alternativos
23
Ex: Quatro cenários simples para resolução do problema de infecções
virais nos computadores da Empresa.
24
Equipa de segurança
25
Dimensão
em dedicação exclusiva;
em dedicação parcial;
27
No dimensionamento da equipa de segurança deverá ter-se em conta
o modelo de confiança existente e aquele que é pretendido, e
considerar os recursos necessários à gestão dessa mudança.
28
Responsabilidades
30
b) no interior de uma área técnica (tipicamente nos sistemas de
informação);
31
Perfil
32
Consoante a dimensão da empresa e da sua infra-estrutura, podem ou
não ser transferidos estes processos para peritos que irão fazer a
operação diária dos mesmos, libertando o especialista em segurança.
34
Acordos de Nível de Serviço
35
Classificação da Informação
36
A tabela seguinte mostra um exemplo de graus de classificação dos
requisitos de confidencialidade.
39
Serviços de Segurança
Exemplo:
- Controlo de Acessos
acesso remoto
• através da Intranet
• através de outra Extranet
• através da Internet
• através de rede privada virtual (VPN)
• por modem
acesso aplicacional 41
Critérios de Disponibilização
Ex: o cliente não deverá poder optar por um backup semanal para uma
informação classificada com um requisito “elevado” de integridade,
nem prescindir de antivírus num sistema de suporte a informação
classificada “secreto” em termos de confidencialidade.
42
Ex: Considerando a tabela a cima, se o cliente tiver classificado o requisito de
confidencialidade da informação com grau 4, então não poderá contratar o
serviço de nível “médio”.