www.CompanyWeb.com.br
A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento
em Governança e Gestão de TI (Governança de Tecnologia da Informação, Gestão por
Processos, e Engenharia de Software). Nossos principais clientes são: Petrobras, Banco
do Brasil, Ambev, Correios, JBS Friboi, Aços Villares, Serasa, Honda, Gerdau, Medley,
Yamaha, Bertin, Banco Bradesco, Tribunal Regional Eleitoral de São Paulo, Bradesco
Seguros, Coca-cola, Sabesp, Nova Schin, Novartis, Comgás, Cervejaria Petrópolis e
outros.
2
www.CompanyWeb.com.br
Uires Tapajós | Consultor e Professor
[email protected] | http://www.LinkedIn.com/In/Uires/
• Especialista em GRC - Governança, Risco e Conformidade;
• Possui a CGEIT (Certified in the Governance of Enterprise
Information Technology) emitida pelo ISACA e outras certificações.
Facilitador
3
www.CompanyWeb.com.br
Governança e Gestão da Tecnologia da Informação
Gestão de Serviços de TI (ITIL/ISO 20000)
Melhoria de Processos
Implantação de Escritório de Projetos com as melhores práticas do PMI®
Gestão de Risco
Segurança da Informação | ISO 27001
Projetos para adoção das melhores práticas: COBIT, ITIL, SCRUM, eSCM, PMBOK, BSC, COSO, CBOK, BABOK, FDD, TDD, SOX, DRP (PCN)
Governança & Gestão da TI:
GRC (Governança, Risco e Compliance):. Gestão de Risco com COSO. Gestão de Risco de TI. Segurança da Informação com ISO 27001
Governança e Gestão de Serviços de TI:. Certificação ITIL / Certificação Cobit.. ITIL/Cobit Implementation.. Formação de Analista em Governança de TI.
BPM (Processos) . Gestão por Processos de Negócios. Formação Analista de Processo de Negócio
Negócios & Gestão de Pessoas:. Estratégia e BSC. Formação Analista de Negócio. Liderança com foco em Resultados. Práticas de Gestão de Projetos
Métodos Ágeis e Engenharia de Software:. Métodos Ágeis (SCRUM e FDD). Qualidade e Maturidade em Desenvolvimento de Software. Formação em Engenharia de Software
Consultoria Treinamento Solução
Consultoria Treinamento
Portfólio
4
www.CompanyWeb.com.br
Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation/
Objetivo
A norma ISO/IEC 27002 é um padrão internacional para Gestão de Segurança da Informação.
O objetivo deste treinamento é preparar os participantes para o Exame de Certificação Information Security Foundation based on ISO/IEC 27002 (Fundamentos da Segurança da Informação baseada na ISO/IEC 27002).
É abordado todo o conteúdo do exame de certificação, com exercícios e um simulado.
Curso: ISO/IEC 27002 Foundation
Conteúdo Programático (100% aderente ao Exame de Certificação: ISO/IEC 27002 Foundation)
1 Informação e Segurança (10%)
1.1 O conceito de informação (2,5%)
1.2 Valor da informação (2,5%)
1.3 Aspectos de confiabilidade (5%)
2. Ameaças e riscos (30%)
2.1 Ameaça e risco (15%)
2.2 Relacionamento entre ameaças, riscos e confiabilidade das informações. (15%)
3. Abordagem e Organização (10%)
3.1 Política de Segurança e organização de segurança (2,5%)
3.2 Componentes da organização da segurança (2,5%)
3.3 Gerenciamento de Incidentes (5%)
4. Medidas (40%)
4.1 Importância das medidas de segurança (10%)
4.2 Medidas de segurança física (10%)
4.3 Medidas de ordem técnica (10%)
4.4 Medidas organizacionais (10%)
5. Legislação e regulamentação (10%)
5.1 Legislação e regulamentos (10%)
6- Exercícios
7- Simulado
5
www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
www.CompanyWeb.com.br
Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
9
www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
www.CompanyWeb.com.br
Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
11
www.CompanyWeb.com.br
A Informação é um bem que, à semelhança de outros
bens do negócio, tem valor para uma organização e
necessita ser convenientemente protegido.
www.CompanyWeb.com.br
O Bem é algo que tem valor para a organização.
Exemplos
Pessoas
Máquinas
Produtos
Edifícios
15
www.CompanyWeb.com.br
Impressa, escritaem papel
Transmitida pormeios eletrônicos
Armazenadaeletronicamente
Mostrada em vídeos
Verbal
A forma da informação vai impor restrições às medidas necessárias para sua proteção.
16
www.CompanyWeb.com.br
Internas
• Não pode ‘vazar’ para o mercado/público
Clientes e Fornecedores
• Não pode ‘vazar’ para o mercado/público
Parceiros
• Informações a serem compartilhadas com outros parceiros, etc.
17
www.CompanyWeb.com.br
Informação
A Informação existe em várias formas.
Qualquer que seja a forma que a Informação adote, ou o meio pela qual é partilhada ou armazenada, deve ser sempre devidamente protegida.
www.CompanyWeb.com.br
Armazenada:
• são considerados dados armazenados os que residem em notebooks, desktops e servidores;
Em movimento
• são considerados dados em movimento os que residem em pen drives, smartphones, CDs e e-mails;
Em uso
• são considerados dados em uso os que se encontram em estado de processamento (sistemas de e-commerce, bancos de dados, ERPs etc.).
Outras
• Criada, Transmitida, Processada, Perdida, Destruída, Corrompida e etc.
19
www.CompanyWeb.com.br
Transferir e processar informações ocorre por meio de um sistema de informação, o que não é necessariamente um sistema de TI.
20
www.CompanyWeb.com.br
Classificação
Define os diferentes níveisde sensibilidade nos quaisas diversass informaçõespodem ser estruturadas.
Grau (grading): é o ato de definir umaclassficação. Níveis de sensibilidade
colocados na marca ou etiqueta de um
documento: Secreto, Confidencial ou Público
As etiquetas de classificação podem
ser colocadas fisicamente e de
forma visível
Designação
É uma forma especial de categorizar uma informação. De acordo com determinadoassunto ou organização ou
grupo de pessoas autorizadas.
Proprietário
(dono)
O dono da informação/documento é responsável pela sua
classificação.
É a pessoa que tem a responsabiliade sobre
determinadainformação.
Determina quem tem acesso a
determinados ativos do negócio.
26
O termo 'proprietário' identifica
uma pessoa ou organismo que
tenha uma responsabilidade
autorizada para controlar a
produção, o desenvolvimento, a
manutenção, o uso e a segurança
dos ativos.
O termo 'proprietário' não significa
que a pessoa realmente tenha
qualquer direito de propriedade ao
ativo.
www.CompanyWeb.com.br 31Vídeo: http://www.youtube.com/watch?v=_3zgNMr_8zcFoto: Empire State Building
Quais são os Tipos de Ameaças?
www.CompanyWeb.com.br
SGSI - Sistema de Gestão da Segurança Informação
É uma parte do sistema global de gestão, baseado numa abordagem de
risco que permite definir implementar abordagem de risco, que permite
definir, implementar, operacionalizar, monitorizar, manter e melhorar a
segurança da Informação segundo a norma.
35
www.CompanyWeb.com.br
Controle
forma de gerenciar o risco, incluindo políticas,
procedimentos, diretrizes, práticas ou estruturas
organizacionais, que podem ser de natureza administrativa,
técnica, de gestão ou contramedida.
Política
intenções e diretrizes globais formalmente expressas pela
direção.
Cada categoria principal da Segurança da informação
contém:
36
www.CompanyWeb.com.br
ISO 27001 | Controle
- definição do controle.
ISO 27002 | Diretrizes para a implementação
- informações mais detalhadas.
37
www.CompanyWeb.com.br
Deve-se:
Definir um plano de
tratamentos de risco que
identifique as atividades de gestão
apropriadas, recursos,
responsabilidades e prioridades para
gerir os riscos à segurança da
Informação.
Definir como medir a eficácia dos
controles
Implementar programas de formação
e sensibilização
Implementar procedimentos e outros
controles capazes de detectarem e
responderem a potenciais incidentes
na segurança
43
www.CompanyWeb.com.br
declaração de aplicabilidade
declaração documentada que descreve os objetivos
de controle e controles que são pertinentes e
aplicáveis ao SGSI da organização.
45
www.CompanyWeb.com.br
1. Estabelecer o SGSI
Estabelecer política de segurança, objetivos, metas, processos e procedimentos relevantes para a gestão de risco e segurança da informação para melhorar os resultados de acordo com as políticas globais de uma organização e seus objetivos.
2. Implementar e operar o SGSI
Implementar e operar a política de segurança, controles, processos e procedimentos.
3. Acompanhar e analisar o SGSI
Avaliar e, quando aplicável, medir o desempenho do processo contra a política de segurança, objetivos e experiências práticas e relatar os resultados da gestão para a revisão.
4. Manter e melhorar o SGSITomar ações corretivas e preventivas, com base nos resultados da análise da gestão, para alcançar a melhoria contínua do SGSI.
47
www.CompanyWeb.com.br
PLAN - Planejar• Definição dos objetivos, metas, processos,
procedimentos
• Estabelecer política de segurança
DO - Implementar e operar o SGSI• Implementar política de segurança
• Operar a política de segurança
• Operar, controles, processos e procedimentos.
CHECK - Acompanhar e analisar o SGSI
• Avaliar
• Medir o desempenho do processo
• Relatar os resultados da gestão para a revisão
ACT - Manter e melhorar o SGSI• Tomar ações corretivas
• Tomar ações preventivas
48
www.CompanyWeb.com.br
A política de segurança é um conjunto de normas e diretrizes destinadas a proteção dos ativos da Organização;
Prover à administração uma direção para Segurança da Informação;
Convém que a Política seja clara, flexível e aprovada pela administração, publicada e comunicada, de forma oficial, para todos os funcionários e partes externa Relevantes;
Definições das responsabilidades na gestão de segurança.
50
www.CompanyWeb.com.br
Levantamento de Informações
Fase IDesenvolvimento do Conteúdo da Política e Normas de Segurança
Fase IIElaboração dos procedimentos de Segurança da Informação
Fase IIIRevisão, aprovação e implementação das Políticas, Normas e procedimentos de Segurança da Informação
Fase IV
1. http://www.teamproject.com.br/tp2/projects/iso/wiki/Etapas_para_o_Desenvolvimento_de_uma_Pol%C3%ADtica
2. Faça seu cadastro (link ‘cadastra-se’ no lado direito superior da tela)
3. Acesse projeto: ISO 27001
4. Acesse o link wiki, conforme abaixo:
52
www.CompanyWeb.com.br
Política, organização, avaliação de
riscos, declaração de aplicabilidade
Descrevi o processo -quem, o quê, quando
e onde
Descreve as tarefas e atividades especificas
Fornece evidência objetivas de conformidade para os requisitos SGSI
54
www.CompanyWeb.com.br
1995
• BS 7799 Parte 1
1998
• BS 7799 Parte 2
1999
• Nova edição da BS 7799 Parte 1 e 2
2000
• ISO 17799:2000
2001
• NBR ISO/IEC 17799
2002
• Nova edição BS 7799-2
2005
• Nova edição NBR ISO/IEC 17799 (Agosto)
• Publicada ISO 27001
2006
• PublicadaNBR ISO/IEC 27001
2007
• Alteradoapenas o nome da normaNBR ISO/IEC 17799 para NBR ISO/IEC 27002
55
www.CompanyWeb.com.br
O que é a segurança da Informação?
É a preservação da
Confidencialidade,
Integridade e Disponibilidade
da informação.
59
www.CompanyWeb.com.br
Proteção das informações sensíveis a divulgação;
É o grau no qual o acesso a informação é RESTRITO a um grupo definido de pessoas
autorizadas a terem este acesso;
Inclui medidas de proteção a privacidade.
61
Ações são tomadas paragarantir que a informaçãonão é encontrada poraqueles que dela nãonecessitam;
Gestão de Acesso lógicogarante que pessoas nãoautorizadas não tenhamacesso aos sistemasautomatizados/banco de dados;
Segregação de ambientes(desenvolvimento/teste/aceitação/produção);
Processos onde dados sãoutilizados, medidas sãotomadas para garantir a privacidade das pessoas e terceiros.
www.CompanyWeb.com.br
Integridade
É o grau no qual a informação está atualizada e sem erros.Exatidão (informação correta) e Completude (informação está inteira).
63
Controle de mudança dos
dados (somente com
autorização);
„Log‟ dos registros/trilha de
auditoria (determina quem
alterou);
Integridade referencial no
banco de dados (recursos de
TI);
Institucionalizar o processo
Gestão de Mudança;
Criptografia (evitar a acesso a
informação/garantir a
proteção)
www.CompanyWeb.com.br
Disponibilidade
É o grau no qual a informação está disponível para o usuário e para o sistema
de informação que está em operação no momento que a organização precisa
dele.
64
Pontualidade (quando necessário);
Continuidade (após falha);
Robustez (capacidade suficiente).
Ações:
Gestão e Armazenamento de Dados;
Procedimento bkp/restore;
Procedimento de emergência
www.CompanyWeb.com.br
RiscosGrau de proteção
A implementação de segurança tem que ser um compromisso entre o risco, o
grau de proteção desejado e o custo do mecanismo de controle.
68
www.CompanyWeb.com.br
Desmotivadas
Descontentes
‘Terroristas’
Aumento de Demanda
Sem politica de Segurança
Inexistência de Planos de
Recuperação a desastres
Não atualizada
Muitasvulnerabilidades
Desastresnaturais
‘Tudo é incerto’
69
www.CompanyWeb.com.br
Disponibilidade
Confidencialidade
Integridade
Segurança
Segurança
Se
gu
ran
çaS
egu
ran
ça
Fatores/situações que podem levar a um dano ou perda de informação.
Risco: É a chance de que uma ameaça irá de fato ocorrer e suas consequências.
um possível evento que possa comprometer a confiabilidade da informação
73
Risco: Essa palavra vem do
Francês RISQUE, do
Italiano RISCO ou
RISCHIO, “o perigo ligado a
um atividade”, do
Latim RISICUM, às vezes
tida como “escolho que
pode quebrar o casco de
uma embarcação”.
www.CompanyWeb.com.br
Natural•incêndio
•Inudação
Pessoas•Fraude
•Funcionário divulgarinformação sigilosa
TecnologiaHacker acessarinformações da instituição
(se for grande falha: Desastre)
74
www.CompanyWeb.com.br 76
Falta de monitoramento da
infra-estrutura
Falta de backup
Energiaelétricainstável
Falta de segurança
física e lógica
exemplos
www.CompanyWeb.com.br
É o potencial que uma dada ameaça irá explorarvulnerabilidades para causar perda ou dano a um Ativoou grupo de Ativos.
Interrupção da continuidade do negócio; perda da integridade dos dados; falha nosprocedimentos de backup/restore
Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos
81
www.CompanyWeb.com.br83
Análise de Riscos
• 1) Identificar Ativos e seus valores
• 2) Determinar Ameaças e Vulnerabilidades
• 3) Determinar os Riscos e as Ameaças quepodem realmente causar danos
• 4) Determinar o equilíbrio entre Custos de um Incidente e Custos das Medidas de Segurança
www.CompanyWeb.com.br
Impacto: Resultado ou efeito decorrente da
materialização do Risco.
Limitações: Julgamento Humano, Conluio, Futuro é incerto.
85
www.CompanyWeb.com.br
Responsáveis
Information Security Officer (ISO)
Chief Information Security Officer (CISO)
É o processo contínuo
que identifica,
examina e reduz os
riscos a um nível
aceitável.
86
www.CompanyWeb.com.br
• Reduz a ameaça antes de ela se manifestar
Redutiva
• Torna a ameaça impossível antes de ela se manifestar
Preventiva
• Garante que cada incidente possa ser detectado o mais rápido possível e que todo mundo seja informado do está acontecendo
Detectiva
• Para minimizar as consequências de um incidente após ele ocorrer
Repressiva
• Recuperar algo após um incidente ter ocorrido
Recuperação/Corretiva
88
www.CompanyWeb.com.br
Ameaça
Prevenção
Garantia Aceitação
Incidente
Fonte: The Basics of Information Security - A Practical Handbook. ISBN/EAN:
978-90-813341-1-2
Para eventos que não tem prevenção total e para os quais as
consequêncais não são aceitáveis, deve-se procurar métodos que
reduzam as consequências. Ex.: Seguro contra fogo e contra as
consequêncais do fogo.
Quando as medidas necessários são
conhecidas, mas decide-se aceitar o risco
porque o custo para implantação da medida
não é aceitável ou porque não há medidas
possíveis.
89
www.CompanyWeb.com.br
infra-estrutura (TI e não TI), natural (desastre
natural)
com ou sem engenharia social
hacker, ex-funcionário, funcionário
90
www.CompanyWeb.com.br
Dano Direto
Dano Indireto
Expectativa de Perda Anual
Expectativa de Perda Única
91
Roubo, furto
ex.: causados por uso
inadequado de
extintores de
incêndio.
Por evento.
91
www.CompanyWeb.com.br
Aceitar (Risk Bearing)
• A organização vai optar por medidas de segurança repressivas.
Neutralizar/Reduzir (Risk neutral)
• Combinação de medidas preventivas, detectivas e repressivas.
Evitar (Risk Avoiding)
• ex.: não usar uma nova tecnologia; Não fazer um upgrade.
92
www.CompanyWeb.com.br
A retenção do risco talvez seja o método mais comum de se lidar com riscos.
Organizações, assim como indivíduos, encaram diariamente um número quase ilimitado de riscos e, por muitas vezes nada é feito sobre eles. Quando nenhuma ação positiva é tomada no sentido de evitar, reduzir, ou transferir o risco, este é retido ou assumido pela pessoa ou organização que se encontra nessa situação.
A retenção de risco pode ser consciente ou inconsciente. Uma pessoa retém riscos conscientemente quando sabe de sua existência, deliberadamente, não toma nenhuma atitude sobre ele. Quando não é reconhecido, o risco é assumido inconscientemente.
A retenção de riscos é um método legítimo de se lidar com riscos; em muitos casos, é a melhor maneira. Toda organização deve decidir quais riscos deve assumir e quais deve evitar. Como regra geral, os riscos a serem retidos, devem ser aqueles que apresentam alguma possibilidade de ganho ou, ao menos, pequenas probabilidades de perda.
www.CompanyWeb.com.br
Você está preparado para o próximo Incidentede Segurança?
98
Documento
confidencial sem
proteção
Informações sobre
cliente e funcionário
foi 'liberado' na
internet sem controle
Violação no data
center
Invasões de hacker
Arquivos ‘perdidos’
www.CompanyWeb.com.br
Os funcionários devem reportar os
incidentes o mais rápido possível.
Normalmente via helpdesk/service desk.
Processo para resolver incidentes o mais
rápido possível.
100
1. Data/hora2. Nome da pessoa que
está abrindo o incidente3. Local4. Descrição5. Consequências6. Tipo de sistema
(servidor, desktop, email e etc)
7. Número/nome do sistema
www.CompanyWeb.com.br
Funcional: Transfere um incidente ou um problema para uma equipe técnica com nível mais especializado. Exemplo: Segundo nível, Terceiro nível, etc.
Hierárquica: Informa ou envolve níveis mais qualificados e com maior autoridade no gerenciamento para assessorar em uma Escalação
101
www.CompanyWeb.com.br
Reduz o impacto ou probabilidade de uma ameaça antes dela gerar um incidente
Redutivas
Aplicadas antes da ameaça levar a um incidente Preventivas
Detectar a ocorrência de um incidenteDetectivas
Para responder a um incidente a fim de conter o estragoda ameaça (usar o extintor de incêndio, por exemplo)
Repressiva
Reparar o que foi danificado (restaurar o backup, por exemplo)
Corretiva
104
www.CompanyWeb.com.br
1 – Ameaça 2 - Incidente 3 - Dano 4 - Recuperação
Medidas:
Prevenir (medidas preventivas), reduzir as ameaças (medidas redutivas), responder aos incidentes, parar ameaças
(medidas repressivas) e corrigir dos danos (medidas corretivas).
105
www.CompanyWeb.com.br
•Desenvolve a estratégia geral de segurança para a empresa inteira
•Superintendente de Segurança da Informação
Chief Information Security Officer (CISO)
•Desenvolve uma política para uma unidade de negócio com base na política da empresa
•Diretor de Segurança da Informação
Information Security Officer (ISO)
•Desenvolve uma política de segurança da informação para a área de TI
•Gerente de Segurança da Informação
Information Security Manager (ISM)
•Responsável pela Proteção dos DadosData Protection Officer
106
www.CompanyWeb.com.br
• Inclui cuidados para não haver interferências
Medidas para cabeamento
• Anel externo | Proteção em torno do prédioda empresa
• Edíficio/prédio | salas especiais (sala de servidores)
• Espaço de trabalho (algumas áreas da empresapodem não estar acessíveis a todos, como RH)
• Objeto | Refere-se a parte mais sensível queprecisa ser protegida (armários/cofre)
Medidas para anéis de proteção
• Uso de sensores
Alarmes
Medidas para Mídias de armazenamento
109
www.CompanyWeb.com.br
Ativo
Área de trabalho
Prédios
Anel externo
As medidas de segurança não devem ser iniciadas nas estações ou locais de trabalho, mas fora da empresa. O acesso aos ativos da empresa deve ser difícil ou impossível, deve-se pensar em termos de uma série de perímetros:
110
www.CompanyWeb.com.br
Inclui cuidados com manuseio de pen-drives,
smartphones, cartões de memória, laptops, que
armazenam informações sensíveis
111
www.CompanyWeb.com.br
1) Gerenciamento de acesso lógico;2) Requisitos de segurança para os sistemas;3) Criptografia.
112
www.CompanyWeb.com.br
• A política de controle de acesso é determinada pelo proprietário (owner) do recurso.
Controle de acesso discricionário (DAC)
• A política de acesso é determinada pelo sistema e não pelo proprietário do recurso.
Controle de acesso mandatório (MAC)
• Na concessão de acesso fazemos distinção entre as palavras identificação, autenticação e autorização.
• Identificação | Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou senha)
• Autenticação | Sistema determina se o token é autêntico e quais recursos o usuário pode acessar
• Autorização | Aloca o direito de acesso
Passos para conceder o acesso
113
www.CompanyWeb.com.br
A informação é codificada para não ser lida por pessoas não autorizadas
• Existe um algoritmo e uma chave secreta que o remetente e destinário compartilham. É mais vulnerável.
Simétrica
• Diferentes chaves são usadas para criptograr e descriptografar. Assinaturas digitais são criadas usando este tipo.
Assimétrica
• Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou sistemas pertencem a uma chave pública. É frequentemente gerenciada por uma autoridade independente.
Infraestrutura de Chave Pública (PKI – Public Key Infrastructure)
• A mensagem é convertida em um valor numérico e não pode ser descriptografada. Usando um algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é verificado se dois valores hash combinam.
Criptografia de mão única
115
www.CompanyWeb.com.br
Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação.
Sistema de Gestão da Segurança da Informação (SGSI)
Política de Segurança da Informação
Pessoal
Gerenciamento da Continuidade do Negócio
Gerenciamento de Comunicações e Processos Operacionais
116
www.CompanyWeb.com.br
Sistema de Gestão da Segurança da Informação (SGSI)•A ISO 27001 ajuda a definir uma estrutura para SGSI
•Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
•Baseado no ciclo PDCA
•Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos
•Existe para preservar a confidencialidade, integridade e disponibilidade
Política de Segurança da Informação• Documento importante do SGSI
• Serve para a gerência fornecer direção e suporte à organização
• Deve ser divulgada para todos na organização
• Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada
• Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos
Pessoal• Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
• Pessoal precisa seguir o código de conduta
• Novos funcionários precisam pessar por uma checagem de ficha limpa
• Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade
• Visitantes precisam passar por um controle de acesso
117
www.CompanyWeb.com.br
http://www.youtube.com/watch?v=vkMIMdeuOFQ&feature=related
Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc).
118
www.CompanyWeb.com.br
• A teoria darwiniana está sempre presente nas estatísticas.
• São as empresas mais aptas que sobrevivem e não as mais fortes
2 em cada 5 empresas que sofrem interrupção por uma semana fecham as portas em menos de 3 anos. Fonte: Disaster Recovery Institute (DRI)
119
www.CompanyWeb.com.br
Gerenciamento da Continuidade do Negócio
• Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre
Continuidade
• Incidente de grande impacto
Desastre
• Estabelece qual a continuidade dos processos de negócio que será garantida
Plano de Continuidade de Negócios (PCN)
• Como se recuperar do desastre, como: Espaços de trabalho alternativos; Data center redundante; Hot site sob demanda
Plano de Recuperação de Desastre
121
www.CompanyWeb.com.br
Documentar procedimentos de operação dos equipamentos e quem são os responsáveis.
• A segregação de funções ajudaa estabelecer quem faz o quê; Testes e aceites antes de entrar em produção.
As mudanças nos sistemas precisam ser gerenciadas
• Separar as funções e responsabilidades de cada umSegregação de Funções
• Documentar requisitos que precisam ser atendidos; Estabelecer contratos/ acordos SLA.
Terceirização
Proteção contra malware, phishing e spam
• Estabelecer orientações para como manusear mídias a fim de evitar que informações valiosas caiam nas mãos de pessoas erradas; Política mesa limpa deve sempre ser empregada.
Manuseio de mídias
122 122
www.CompanyWeb.com.br
Termo genérico para software malicioso; Pode ser um vírus, worm, trojan ou sypwareMalware
Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo)Phishing
Nome do coletivo de mensagens indesejáveisSpam
Pequeno programa de computador que se replica; Tem natureza destrutiva.Vírus
Pequeno programa de computador que se replica; Não depende da ação do usuário para se espalhar pela redeWorm
É um programa que conduz atividades secundárias não percebidas pelo usuário; Usado frequentemente para coletar informações confidenciais do sistema infectadoTrojan
Histórias falsas recebidas. Mensagem que tenta convencer o leitor da sua veracidade e então persuadí-lo a fazer alguma açãoHoax
Pedaço de código deixado dentro de um sistemaLogic bomb
Programa de computador que coleta informação de um computador e envia para um terceiroSypware
Uma rede de computadores utilizando software de computação distribuída.Botnet
Conjunto de ferramentas de softwares utilizado por um hackerRootkit 123
www.CompanyWeb.com.br
1. ISO 27002:20052. Conformidade3. Propriedade intelectual4. Proteção de dados pessoais5. Prevenção de abuso das facilidades de TI6. Responsabilidade7. Lei Sarbanes-Oxley
124
www.CompanyWeb.com.br
• É um código de boas práticas para a segurança da informação; Há práticas que ajudam a atender a leis e regulamentos
ISO 27002:2005
• Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da empresa;
• A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos
• Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática
Conformidade
• Precisam ser considerados quando a empresa usa software ou material sujeito à tal. Deve haver orientações internas para proteger estes direitos
Propriedade intelectual
• Independente de obrigação regulatória, as empresas precisam se preocupar
Proteção de dados pessoais
• Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados
• Estabelecer código de conduta
Prevenção de abuso das facilidades de TI
• A alta gerência é a responsável final pelo cumprimento de leis e regulamentos
Responsabilidade
• Aplica-se a todas empresas que negociam ações nas bolsas de valores americanas
Lei Sarbanes-Oxley
125
www.CompanyWeb.com.br
www.CompanyWeb.com.br
11 3532-1076
twitter.com/companyweb
slideshare.net/companyweb
facebook.com/companyweb
Vídeos: Gestão & Governança
http://bit.ly/eMR2Vt
126