Upload
roberto-dias-duarte
View
2.521
Download
3
Embed Size (px)
DESCRIPTION
Disciplina Política e Procedimentos na Segurança da Informação do curso Pós-Graduação em Gestão da Segurança de Tecnologia da Informação da UNIBH
Citation preview
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Elaborado por prof. Roberto Dias Duarte
Políticas, práticas e procedimentos em
Segurança da Informação
1sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Elaborado por prof. Roberto Dias Duarte
Era do Conhecimento & Segurança da
Informação: Tudo a ver
2sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
1ª Parte: Preciso de segurança?
3sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Informação: tudo a ver
Fonte: Microsoft4sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Qual é a novidade?
Já ouviu falar da Nota Fiscal Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital,
e m i t i d o e a r m a z e n a d o eletronicamente, com o intuito de documentar, para fins fiscais, uma o p e r a ç ã o d e c i r c u l a ç ã o d e mercadorias ou uma prestação de serviços, ocorrida entre as partes. Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador. “
5sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Qual é a novidade?
Já ouviu falar da Nota Fiscal Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital,
e m i t i d o e a r m a z e n a d o eletronicamente, com o intuito de documentar, para fins fiscais, uma o p e r a ç ã o d e c i r c u l a ç ã o d e mercadorias ou uma prestação de serviços, ocorrida entre as partes. Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador. “
5sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Componente intangível
NF-e é um repositório de inteligência digital:
FiscalContábilGerencialTecnológica
6sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
SPED é consequência de uma grande transformação social:
o fim da Era Industrial
Causa x consequência?
7sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O ERP nas empresas....
8sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Ah! Empresas...
VENDEU?
RECEBEU?
PAGOU?
DÁ PARA VENDER?
SOBROU QUANTO?
9sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Uma empresa com ERP...
Vendeu bem?
Comprou bem?
Quem é bom cliente?
Quem é bom fornecedor? Quanto investir?
O que gera resultado?
A riqueza aumentou?
Em sua empresa, qual é a situação?
10sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Ah! O SPED e a SI...
CT-e
NF-e
NF-e
NF-e
SPED CONTÁBIL
SPED FISCAL
11sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Documento Eletrônico
MP 2.200-2, de agosto de 2001:
“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários”
12sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Capital Intelectual
Capital Humano• A9tude• Inovação• Experiência• Aprendizado• Equipes
Capital Estrutural• Técnicas• Metodologias• Processos• SoFwares
Capital de Clientes• Sa9sfação• Lealdade• Valor do Cliente• Conhecimento sobre o Cliente
Adaptado de : Thomas Stewart
13sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Capital Humano
14sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
2ª Parte: Vamos praticar?
15sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Quem vai praticar?
16sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
“Os regulamentos de segurança da informação têm como obje7vo fazer com que o uso da informação na organização aconteça de forma estruturada” (Edison Fontes)
Preciso de normas?
“A Liberdade só Existe com Lei e Poder” (Kant)
17sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
“Conte-‐me e eu esqueço. Mostre-‐me e eu apenas me lembro. Envolva-‐me e eu compreendo.” (Confúcio)
Vamos cumprir as normas?
18sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Segurança da informação na empresa
19sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que é?
• Compontes:– Orientações– Normas– Procedimentos– Políticas– Ações
• Objetivo:– Proteger ativo intangível
20sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• Disponibilidade: o que é realmente uma informação acessível?
21sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• Integridade: a informação é a correta?
22sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• Confidencialidade: quem deve acessar o quê?
23sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• Legalidade: respeito a leis, contratos e ética. O que não pode?
24sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• Auditabilidade: quem fez o quê? Quando?
25sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• Não repúdio
26sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O que devo garantir?
• MP 2.200-2 - Agosto 2001Art. 10o Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.
§ 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, noa forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil.
§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.
27sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Básico do básico....
Termo de Compromisso
Autenticação de usuário
Evitando o Carona
O Gestor
Backup
e muito mais...
28sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Termo de Compromisso
• Formaliza responsabilidades:– Sigilo de informações;– Cumprimento de normas
de segurança;– Conduta ética.
• Quem deve assinar?
29sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Autenticação
• Identifica as pessoas:– Senha;– Cartão ou token;– Biometria;– Certificado Digital.
30sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
O “Carona”
• Prevenção contra “sessões abertas” em sua ausência:– Conduta: Suspensão
ou encerramento da sessão;
– Mecanismo: Suspensão ou encerramento da sessão.
31sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• De quem é o ativo?• Define:
– quem tem acesso;– tipos de acessos;– períodos temporais;– locais de acesso.
• Formalizado pela alta gestão;
• Rastreabilidade de concessões.
Gestor da informação: o “dono da bola”
32sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Qual a política definida?• Qual a cópia mais
antiga?• Os arquivos das
estações têm cópias?• Os servidores têm
cópias?• Onde são
armazenadas?• Em que tipo de mídia?
Cópias de segurança
33sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Completo (Full backup):Todo o conteúdo é copiado do início ao fim, sem levar em consideração backups anteriores.
■ Diferencial (Differential backup):Apenas os arquivos modificados entre o estado atual e o último backup completo são copiados. O processo de recuperação é um pouco mais lento.
■ Incremental (Incremental backup):Apenas o conteúdo modificado no sistema desde o último backup, é copiado, independente do tipo do último backup. O resultado é a diferença entre o estado atual e a última cópia realizada. A recuperação neste caso é mais complexa.
Um ciclo de backup tem início com um backup completo e prossegue com backups incrementais ou diferenciais subsequentes. Quando um novo backup completo é realizado, um novo ciclo é iniciado.
Cópias de segurança
34sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
MÉTODOS DE ROTAÇÃO DE DISPOSITIVOS
■ Rotação cíclica semanal:São mantidos três volumes, havendo sempre um localmente e outros dois guardados em um lugar seguro, fisicamente distante do sistema. No início de cada semana é realizado um backup completo e diariamente um backup incremental.
■ Rotação “Filho”:Este é o primeiro conceito do esquema “Avô, pai, filho”. Um backup completo é feito diariamente. Existem sete volumes para serem utilizados durante a semana, na qual um ciclo termina e outro começa a cada dia. Esta é forma mais simples e custosa em termos de espaço e duração do procedimento de backup.
■ Rotação “Pai, filho”:Este esquema é uma mistura de backups completos e incrementais. Desta vez é considerado um mínimo de oito volumes, sendo dois para backups completos e seis para incrementais. Uma vez por semana é realizado um backup completo, e nos outros dias são feitos incrementais. Os volumes incrementais são reciclados cada semana, exatamente no mesmo dia que ele foi usado na semana anterior, havendo um volume para segunda-feira, outro para terça-feira, e assim por diante. Já os volumes usados em backups completos são revezados e utilizados semana sim, semana não.
■ Rotação “Avô, pai, filho”:Neste esquema têm-se backups completos, incrementais e diferenciais. A cada mês é feito um backup completo, a cada semana é feito um diferencial e diariamente é feito um incremental. Devido a sua eficiência e boa relação custo/benefício, este é o método mais utilizado atualmente.
Cópias de segurança
35sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cópias de segurança
Fonte: CENADEM, Centro Nacional da Gestão da Informação
Durabilidade das mídias
36sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Ações preventivas:– Conhecimento– Análise– Planejamento– Investimento– Educação.
• Física• Software• Humana
Ações para problemas
37sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Ações detectivas:– Quanto antes,
melhor– Monitoramento de
eventos– O que monitorar?
• Conhecimento• Análise• Planejamento• Investimento
Ações para problemas
38sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Ações corretivas:– Minimizar o
problema– Quanto mais
rápido, melhor
Ações para problemas
39sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Plano de continuidade:– Conhecimento– Análise– Planejamento– Investimento– Educação– Simulação
• Mapeamento de riscos• Contexto empresarial
Continuidade do negócio
40sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Produtos homologados
• Itens de verificação:– manutenção– treinamento– conhecimento
coletivo– suporte– condições comerciais– capacidade do
fabricante– tendências
41sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Antivírus
• Prevenção além do software:– Anexos– Executável? No
way!– Download? Só de
sites confiáveis– Backup, sempre– Educação
42sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• O que é uso profissional?
• É possível separar o pessoal do profissional?
• Quais as regras para uso pessoal?
Uso da Internet
43sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Cuidados com mensagens:– Obscenas– Racistas– Discriminatórias– Políticas– Comerciais
• Imagem da empresa• Legislação• Pessoal x profissional• Confidencialidade
Correio eletrônico
44sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Circulação desnecessária de e-mails e arquivos
• Confidencialidade da informação
• Quem originou a comunicação?
Correio eletrônico:anexos e encadeamentos
45sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Qual o problema com uma falsa informação?
• Phishing• Imagem
empresarial
Correio eletrônico:Notícias
46sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Qual a diferença do mundo tangível para o intangível?
• Qual a principal arma contra fraude?
Fraudes
47sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• SPED: NF-e, CT-e, ECD, EFD, etc
• Trabalhista• Consumidor• Civil• Criminal• Ambiental• Setor econômico
Legislação
48sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Segurança x privacidade
• Funcionários• Clientes• Fornecedores• Sigilo bancário,
fiscal, etc
Privacidade
49sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Segurança da Informação de:– Funcinários– Clientes– Parceiros
• Quem pode acessar?
• Parceiros?• Uso comercial?
Informações pessoais
50sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Procedimentos para obtenção de informações através de contatos falsos
• “Conversa de malandro”• Lixão• Habilidades do farsante:
– fala com conhecimento– adquire confiança– presta “favor”
Engenharia Social
51sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Outras iscas...
52sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Ahhh, reuniões rápidas:– no elevador– na festa– no avião
• Quadros, flip chart, relatórios, etc
• Lixão, de novo?• Quem entra, quem
sai?
Ambiente Físico
53sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Acesso individual• Informações para
trabalhar• Saber o que é
rastreado• Conhecer as políticas
e normas• Ser avisado sobre
tentativas de invasão
Diretos do usuário
54sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Treinamento sobre segurança
• Comunicar ocorrências de segurança
• Garantia de privacidade
• Ser mais importante que a tecnologia
Diretos do usuário
55sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Praticando....
1) Relatar quais práticas fundamentais são mais importantes para sua empresa
2) Quais estão implementadas?
3) O que deve ser implementado?
Em sua empresa, qual é a situação?
56sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Praticando....Elaborar o checklist
para sua empresa
57sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
3a Parte: Visão da Gestão
58sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Conceitos• Ativo
– “Representa os bens e direitos que a empresa tem num determinado momento, resultante de suas transações ou eventos passados da qual futuros benefícios econômicos podem ser obtidos.” (Fonte: Wikipedia)
– “Os ativos têm a característica de ser bens postos em atividade, apoiando a entidade nas suas operações e no seu funcionamento e ajudando a atrair a riqueza para si.” (Fonte: Wikipedia)
– “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” (Fonte: http://www.cpc.org.br)
59sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Conceitos• Ativo Intangível
– “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” (Fonte: http://www.cpc.org.br)
60sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Conceitos
• Ameaças:– causa potencial de um
incidente, que caso se concretize pode resultar em dano.
– Hackers– Crackers– Naturais– Vândalos– Internas
61sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Conceitos
• Vulnerabilidades: – Falha (ou conjunto)
que pode ser explorada por ameaças
• Contas sem senhas• Falhas em software
62sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Conceitos
• Incidente– é qualquer evento
em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause dano aos ativos da organização.
63sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Conceitos
• Impacto– Resultados de
incidentes
64sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Análise dos Riscos
Impacto
Transfere
Probabilidades
Aceita Reduz
Mitiga
Em sua empresa, qual é a situação?
65sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Análise dos Riscos
66sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Governança
• “é o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)
67sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Governança
• Visão– É o sonho da organização, é
o futuro do negocio e onde a organização espera estar nesse futuro.
• Missão– É a razão de existência
de uma organização.
68sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Governança
• Missão– É a razão de existência de uma organização.
69sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Governança
• Transparência– Mais do que "a
obrigação de informar", a administração deve cultivar o "desejo de informar"
70sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Governança
• Equidade– Tratamento justo
e igualitário de todos os grupos minoritários (stakeholdres).
71sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Stakeholders & Shareholders
• Equilíbrio:– Regulamentações– Forças corporativas
Qual a relação entre equilíbrio e segurança?
72sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Balanceando Pressões
73sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Balanceando Pressões
74sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Balanceando Pressões• Compliance: “conjunto
de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)
75sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Balanceando Pressões• Risco x
Conformidade:– 100% de
conformidade garante 100% de segurança?
76sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Desafios da Governança
• Gerenciar riscos x investimentos adequados
• Manter organização segura• Seguir padrões • Atender às exigências
regulatórias
Quais são os principais desafios de
sua organização?
77sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Sucesso na GSI
• Comunicação: direção, gerências e operação
• Planejamento alinhado à estratégia• Políticas aderentes aos requisitos legais• Nível de maturidade coerente com
contexto de riscos• Estruturar controles de segurança
(frameworks)• Monitorar a eficácia e eficiência
78sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Melhores Práticas
• Personalizar as práticas ao negócio
– “O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”
79sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Melhores Práticas
• Cuidado com:– Orçamento– Pessoas
80sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit
81sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: alinhamentoMetas de Negócio
Metas da TI
Metas de Processo
Metas de atividades
Manter a liderança e a
reputação da instituição
Garantir que os serviços de
TI estão protegidos de ataques
Detectar e resolver acessos
não autorizados
Compreender os requisitos
de segurança
82sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: metas e medidas
• Cada meta estabelecida é acompanhada por suas respectivas medidas.
• Estas medidas indicam o desempenho do item, que potencializa o item do nível acima
TI Processos Atividades
Metas
Métricas
define define
medido medido medido direciona direciona
83sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: frameworkPrincipais áreas de atenção do framework:
! Disponibilizar a informação necessária para suporte aos requisitos e objetivos de negócio
! Tratamento das informações como resultado da combinação dos recursos da TI, gerenciados através dos processos de TI
Processos Atividades
Domínios
Processos de TI
Efetividade Eficiência Confidenciabilidade Integridade Disponibilidade Conformidade Confiabilidade
Recursos de TI
Aplicações
Informação
Infra-estrutura
Pessoas
Processos de TI
Requisitos de negócio
Abordagem de controle
Considerações • …………………………… • …………………………… • ……………………..……..
Critério de informação
84sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit
85sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
ITIL: Fundamentos
86sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: Vídeo parte 1
87sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: Vídeo parte 1
87sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: Vídeo parte 2
88sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: Vídeo parte 3
89sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Cobit: Vídeo parte 4
90sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
ISO/IEC 17799
• “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)
91sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
ISO/IEC 27000• ISO 27000 - Vocabulário de Gestão da Segurança da
Informação;• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);
• ISO 27003 - Aborda a gestão de risco;• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do sistema de controles;
• ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.
92sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
ISO/IEC 27001
93sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
ISO/IEC 17799/27002
• Framework – Políticas de segurança– Segurança organizacional– Segurança das pessoas– Segurança física e do ambiente– Gerenciamento das operações– Controle de acesso– Desenvolvimento e manutenção de sistemas– Gestão da continuidade do negócio– Conformidade
94sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Metodologia Octave
• Origem: Software Engineering Institute (SEI) da Carnigie Mellon University
• Antes de avaliar o risco: entender o negócio, cenário e contexto
• Octave Method (grandes organizações) e Octave-S (pequenas)
95sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Use Octave-S, se:
• Hierarquia simples• Menos de 300 funcionários• Metodologia estruturada com pouca
customização• Há muita terceirização na TI• Infraestrutura simples
96sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave Method
• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos– Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
– Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–
97sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave Method
• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos– Processo 3: Conhecimento de cada
departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
– Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos
98sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave Method
• 2a Fase: Identificar vulnerabilidades da infraestrutura– Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos recursos
– Processo 6: Avaliar componentes-chave dos recursos
99sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave Method
• 3a Fase: Desenvolver estratégias e planos de segurança– Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)– Processo 8: Desenvolver estratégias de
proteção para melhorar as práticas de segurança
100sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave-S
• 1a Fase: Identifica ativos com base nos perfis de ameaça– Processo S1: Identificar ativos, definir critérios
de avaliação dos impactos e situação atual das práticas de segurança
– Processo S2: Criar perfis de ameaças e definir exigências de segurança
101sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave-S
• 2a Fase: Identificar vulnerabilidades da infraestrutura– Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem
102sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave-S
• 3a Fase: Desenvolver estratégias e planos de segurança– Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico– Processo S5: Desenvolver estratégias de
proteção para melhorar as práticas de segurança
103sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Octave-S
• 3a Fase: Desenvolver estratégias e planos de segurança– Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico– Processo S5: Desenvolver estratégias de
proteção para melhorar as práticas de segurança
104sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Octave: Atividades
para Gestão de Riscos• Identificação dos riscos• Análise e classificação quanto à criticidade• Criação de plano estratégico para proteção• Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação• Monitoramento da execução dos planos• Controle das variações
105sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Visão ampla
DESEMPENHO: Metas de Negócio
CONFORMIDADE Basel II, Sarbanes-
Oxley Act, etc.
Governança Corporativa
Governança de TI
ISO 9001:2000
ISO 17799
ISO 20000
Melhores práticas
Procedimentos de QA
Processos e procedimentos
Direcionadores
COBIT
COSO
Princípios de Segurança ITIL
BSC
Where Does COBIT Fit?
106sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Então?
• ITIL• Cobit• ISO• Octave• BSC
O que devo adotar em minha
empresa?
107sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Paradigmas
• “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as
partes interessadas e garantir o sucesso do
projeto, sempre focada no negócio”
108sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Partes interessadas
Quais são os principais stakeholders
de sua organização?
109sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Governando Riscos
• Desafio: conhecer os riscos
• Riscos determinam os processos de segurança da metodologia/framework
Por que adotar o gerenciamento de
riscos de segurança da informação em sua organização?
110sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Tipos de Riscos
• Estratégico e empresarial (negócios)• Humano• Tecnológico• Imagem• Legal
Quais são os principais riscos de sua organização?
111sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Visão executiva
112sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Visão executiva
• Comunicação• Foco no negócio• Alinhamento estratégico• Custo x diferencial competitivo• Recursos de TI como portfólio de
investimentos
Na sua empresa, TI é custo ou
diferencial?
113sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Contexto da
organização• Organograma: formal x real• Sensibilização e conscientização• Linguagem• Benchmark
Você fala “javanês” com os
execu9vos?
114sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Governando Processos
• Conceito de processo:– sequências semi-repetitivas de eventos
que, geralmente, estão distribuídas de forma ampla pelo tempo e espaço
115sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Governando Processos
116sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Governando Processos
• Mapeando processos:– Enumerar atividades– Ordernar em forma sequencial– Identificar entradas e saídas
• recursos• infraestrutura• insumos• matéria-prima• fornecedores
– Estabelecer características de produtos/serviços
117sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Governando Processos
• Mapeando processos:– Definir documentação para operação e
controle– Estabelecer indicadores de eficácia– Definir plano de controle
118sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Governando Processos
• Nível de maturidade:– Obter conhecimento sobre os procedimentos– Otimizar processos (melhores práticas)– Comparar (benchmark)– Adotar políticas – Utilizar a TI como facilitador– Definir processos de riscos– Integrar riscos– Monitorar falhas e melhorias– Realinhar processos
119sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Cobit: níveis de maturidade
• Nível 0: inexistente
120sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Nível 1: Inicial– Consciência mínima da necessidade de
Governança– Estruturas desorganizadas, sem padrões– Suporte e TI não integrados– Ferramentas e serviços não integrados– Serviços reativos a incidentes
Cobit: níveis de maturidade
121sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Nível 2: Repetitivo– Consciência relativa da necessidade de
Governança– Atividades de governança e medidores em
desenvolvimento– Estruturas pouco organizadas, sem padrões– Serviços realizados sem metodologia– Repetição de incidentes– Sem controle de mudanças
Cobit: níveis de maturidade
122sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Nível 3: Definido– Alta consciência sobre Governança – Processos padronizados, implementados e
documentodos– Controle de mudanças– Métricas e indicadores consistentes– Inexistência de SLA
Cobit: níveis de maturidade
123sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Nível 4: Gerenciado– Consciência da importância de Governança – SLA’s e catálogos de serviços– Inexistência de gestão financeira– TI ainda não é vista como benefício para o
negócio– Início do processo de melhoria contínua
Cobit: níveis de maturidade
124sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
• Nível 5: Otimizado– Consciência total– Gestão financeira de TI – Melhores práticas adotadas e gerenciadas– Melhoria contínua de processos– Otimização contínua de TI
Cobit: níveis de maturidade
125sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Linha do tempo
!"#$%&'"'()
*)")+)",-.)/(01-)
2'34-56)789):";-))<$",'-)1%(5&.-=))3)>("?@-)
A(B&5&'"'()A".()7CD-).(&))'(),"'"=)
A".()>("?@-6)E01B(0(,#";D-)A%"F0(,#"'")
A".()'"))G-,.-B&'";D-)
A".()'"))HI5(BJ,5&")K1(%"5&-,"B)
25(B(%"%)1%-L(#-.)M"%")%("F&%)".).-B&5&#";N(.)
G%&"%)E,@(,#O%&-.))M"%")&,&5&"?@".)'()
P-@(%,",;")E,&5&")$0)"Q-%'"F(0)
R,&S5"'-)'())P-@(%,",;")
!(BT-%&")5-,?,$"))'-)1%-5(..-)
126sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Por que evoluir
processos?• Evita desperdícios de esforços e recursos• Visão de processos e responsabilidades• Investimentos claros e alinhados ao
negócio• Planejamento de longo prazo
127sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Métricas para GSI
• Processos de TI– Modelo de maturidade– Fatores críticos de sucesso– Indicadores de metas– Indicadores de desempenho
128sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Métricas para GSI
• Fatores críticos de sucesso (CFS)– importância estratégica– expressos em termos de processos– mensuráveis
129sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Métricas para GSI
• Indicadores de metas (KGI)– verificam se os processos alcançaram as
metas– “O que atingir?”– indicadores imediatos de sucesso– mensuráveis
130sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Métricas para GSI
• Indicadores de desempenho (KPI)– orientados a processos– definem o desempenho dos procesoss– mensuráveis
131sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Integrando Medidores
• Security Scorecard– CFS definidos para um processo– São monitorados por KPI’s– Devem atingir os KGI’s
132sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Integrando Medidores
• Implantando– 1a etapa: Definir indicadores– 2a etapa: Sensibilizar pessoas e planejar
mensuração– 3a etapa: Treinar pessoas, coletar e validar
dados– 4a etapa: Corrigir e previnir
133sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Governança de SI
• Visão e missão estratégicas:– Governança Corporativa:
• Governança de TI• Governança de SI
134sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) 4a parte: Implantando
políticas de SI
135sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Políticas de SI
• Informações são ativos• Envolvimento da alta gestão• Responsabilidade formal dos
colaboradores• Estabelecimento de padrões
136sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Políticas de SI:
Características• Simples• Compreensíveis• Homologadas e assinadas pela alta gestão• Estruturada para implantação em fases• Alinhadas com o negócio• Orientadas aos riscos• Flexíveis• Protetoras de ativos (Pareto)• Positivas (não apenas proibitivas)
137sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Visão geral da metodologia
138sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Etapas para o
desenvolvimento• Fase I - Levantamento de informações
– Obtenção dos padrões e normas atuais– Entendimento do uso da TI nos processos– Obtenção de informações sobre o negócio– Obtenção de informações sobre ambiente de
TI
139sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Etapas para o
desenvolvimento• Fase II - Desenvolvimento do Conteúdo e
Normas– Gerenciamento da politica de segurança– Atribuição de regras e responsabilidades– Critérios para classificação de informações– Procedimentos de SI
140sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Fase II: Desenvolvimento
de políticas e normas:• Gerenciamento da politica de segurança
– Definição da SI– Objetivos– CFS– Gerenciamento da versão– Referências a outras políticas
141sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Fase II: Desenvolvimento
de políticas e normas:• Atribuição de regras e responsabilidades:
– Comitê de SI– Proprietário das informações– Área de SI– Usuários de informações– RH– Auditoria
142sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Fase II: Desenvolvimento
de políticas e normas:• Critérios de classificação das informações:
– Introdução– Classificação– Níveis de classificação– Reclassificação– Armazenamento e descarte– Armazenamento e saídas
143sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Fase II: Desenvolvimento
de políticas e normas:• Procedimentos de SI:
– Classificação e tratamento da informação– Notificação e gerenciamento de incidentes– Processo disciplinar– Aquisição e uso de hardware e software– Proteção contra software malicioso– Segurança e tratamento de mídias– Uso de internet– Uso de e-mail– Uso de recursos de TI
144sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Fase II: Desenvolvimento
de políticas e normas:• Procedimentos de SI:
– Backup– Manutenção e teste de equipamentos– Coleta e registro de falhas– Gerenciamento e controle de rede– Monitoramento do uso e acesso aos sistemas– Uso de controles de criptografia– Controle de mudanças– Inventário de ativos de informação– Controle de acesso físico
145sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Fase II: Desenvolvimento
de políticas e normas:• Procedimentos de SI:
– Segurança física– Supervisão de visitantes e prestadores de
serviços
146sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Etapas para o
desenvolvimento• Fase III - Elaboração de Procedimentos de
SI– Pesquisa sobre melhores práticas– Desenvolvimento de procedimentos e
padrões– Formalização dos procedimentos
147sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI) Etapas para o
desenvolvimento• Fase IV - Revisão, aprovação e
implantação – Revisão e aprovação– Implantação
• Preparação de material de divulgação• Divulgação das responsabilidades• Palestras executivas• Palestras e treinamentos operacionais
148sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Etapas para o desenvolvimento
149sexta-feira, 30 de julho de 2010
Pós-
Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI)
Trabalho final
• Elaborar um plano de implantação de política de segurança
• Elaborar o manual se segurança da informação
150sexta-feira, 30 de julho de 2010