projeto em seguranca da informação
Post on 07-Jun-2015
9.354 Views
Preview:
DESCRIPTION
TRANSCRIPT
Projeto em Segurança da
Informação
Adaptado de um case de diagnóstico em gestão de S.I. por Fernando Palma e Marcelo Gaspar
www.portalgsti.com.br
Objetivos
� Abordar os benefícios e objetivos da gestão da Segurança da Informação na prática
� Apresentar o planejamento do projeto de Segurança da Informação
www.portalgsti.com.br
Agenda
� Equipe do projeto
� Segurança da Informação (S.I.) – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação na Prática
� O projeto da <<confidencial>>
� Introdução
� Escopo e Andamento
Agenda
� Equipe do projeto
� Segurança da Informação (S.I.) – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação da Prática
� O projeto da <<confidencial>>
� Introdução
� Escopo e Andamento
Agenda
� Equipe do projeto
� Segurança da Informação – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação na Prática
� O projeto da <<confidencial>>
� Introdução
� Escopo e Andamento
No mundo
Ataques
Incidentes em Segurança da Informação – no mundo
Vazamento de informações
www.estado.com.br
Vazamento de informações
Deixou vazar a informação..
www.computerworld.com.br
Perda / indisponibilidade da informação
No Brasil
Ataques
Incidentes em Segurança da Informação – no Brasil
Globo.com – Junho 2011
Ataques
Ataques
Malwares (software malicioso)
Incidentes em Segurança da Informação – no Brasil
Globo.com
Vazamento de Informações
www.estado.com.br
Vazamento de Informações
www.globo.com
Vazamento de Informações
Perda / indisponibilidade da informação
Perda / indisponibilidade da informação
Vazamento de Informações
Incidentes em Segurança da Informação – Saúde
Indisponibilidade da informação
Ataques
Ataques
www.idgnow.com.br
Agenda
� Equipe do projeto
� Segurança da Informação (S.I.) – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação na Prática
� O projeto da <<confidencial>>
� Introdução
� Escopo e Andamento
Segurança da Informação na prática
Segurança da Informação
É a proteção da informação contra diversos tipos de ameaças
Obtida a partir de um conjunto de controles
O que é?
Como?
Qual o objetivo?
Garantir a Continuidade
ao Negócio
Minimizar o risco ao negócio
Maximizar
Retorno sobre
investimentos
Oportunidades de
negócio
Pilares da Segurança da Informação
Segurança da Informação – Pilares da S.I.
Confidencialidade
Integridade
Disponibilidade
Somente pessoas autorizadas terão acesso às
informações.
As informações manipuladas devem manter
todas as características originais estabelecidas
pelo proprietário da informação.
A informação deve estar disponível, sempre
que necessário, quando requisitada por
pessoas autorizadas.
Ainda: Autenticidade e Não Repúdio
Segurança da Informação – Pilares da S.I.
Confidencialidade
Integridade
Disponibilidade
a) Informações de prontuários do paciente devem ser
visualizadas apenas pelo médico responsável.
b) Informações sobre as Reuniões Estratégicas são
limitadas aos participantes.
Exemplos
Nível de integridade das informações de: a)Relatórios
de glosa b) Informações do paciente
c) Indicação de OPME padronizada não padronizada
c) Medicamentos prescritos para pacientes UTI
Nível de disponibilidade de: a) Relatório financeiro no
fim do mês b) Prontuário do paciente c) Documentos
dos profissionais no RH (carteira de trabalho,
diploma) d) informações pessoais sobre visitantes. e)
informações do controle de estoque
Impacto de incidentes de segurança: exemplos
Segurança da Informação – casos reais incidentes de S.I.
Confidencialidade
Integridade
Disponibilidade
Impacto na falta de...
Da informação
“A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço das informações foi constatado na madrugada de quinta-feira, quando seria feito um back-up dos dados dos servidores.”
“A decisão regional acrescentou que a enfermeira fez uso das cópias dos prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja, violou segredo profissional em duas oportunidades, e que o fato de não ter recebido punições disciplinares anteriores não impediria a aplicação da justa causa.” http://www.tst.jus.br/
Confidencialidade
Integridade
Segurança da Informação –impactos gerais de incidentes de S.I.
Confidencialidade
Integridade
Disponibilidade
Impacto na...
Da informação
Processos Judiciais Perdas financeiras
Exposição Não conformidade
Perda de vida humana
Perdas financeirasTomada de decisão
errada
Impacto na saúde do paciente
Impacto na imagem da empresa
Perda de vida humana
Perdas financeirasTomada de decisão
errada
Não conformidadeBaixa performance ou até indisponibilidade
dos processos de negócio: atendimento, internação, ambulatorial.
Do que devemos proteger?
Segurança da Informação - ameaças
Ameaças físicas
Incêndio EnchentesAcesso indevido de pessoasProblemas elétricos
Ameaças Tecnológicas
VírusBugs de SoftwareIndisponibilidade de rede
Ameaças Humanas
SabotagemFraude Negligência
“Um grande erro nas organizações é pressupor que pessoas sensatasfazem coisas sensatas.” (Mintzberg, 2010)
Ameaças são mais comuns do que imaginamos...
Conclusão: adoção de controles como forma de gerenciar os riscos
Segurança da Informação na prática
Segurança da Informação
É a proteção da informação contra diversos tipos de ameaças
Obtida a partir de um conjunto de controles
O que é?
Como?
Qual o objetivo?
Garantir a Continuidade
ao Negócio
Minimizar o risco ao negócio
Maximizar
Retorno sobre
investimentos
Oportunidades de
negócio
Segurança da Informação – controles
Controles
O que são?
Como?
Políticas
Pro
cedim
ento
s/N
orm
as
Pro
cessos
Estrutu
ras o
rganizacio
nais
Práticas
Devem ser
ImplementadosEstabelecidos
Monitorados
Avaliados criticamente
Melhorados
Segurança da Informação - controles
Controles
Pro
cedim
ento
s/N
orm
as
Pro
cessos
Estrutu
ras o
rganizacio
nais
Práticas
Políticas
Exemplos: � Política de mesa limpa� Política de acesso ao centro cirúrgico� Política de Licenciamento de Software
Uma política define um resultado esperado. São intenções e diretrizes
formalmente expressas pela direção
Segurança da Informação - controles
Controles
Pro
cedim
ento
s/N
orm
as
Pro
cessos
Estrutu
ras o
rganizacio
nais
Práticas
Políticas
Normas estabelecem obrigações e procedimentos definidos de acordo com as
diretrizes da Política. O procedimento instrumentaliza o disposto nas normas.
� Norma de controle de acesso a instituição: catraca, identificação de visitantes
� Procedimento de identificação de visitantes: cadastro de nome, RG, departamento a visitar, etc.
� Procedimentos para contabilidade e balanço
Segurança da Informação - controles
Controles
Pro
cedim
ento
s/N
orm
as
Pro
cessos
Estrutu
ras o
rganizacio
nais
Práticas
Políticas
� Processo de Gestão da Continuidade de Negócio. � Adaptações em processos. Ex: internação de pacientes� Processo de análise contínua de riscos de SI
Segurança da Informação - controles
Controles
Pro
cedim
ento
s/N
orm
as
Pro
cessos
Estrutu
ras o
rganizacio
nais
Práticas
Políticas
� Escritório de Segurança da Informação� Comitê de Segurança da Informação� Departamento de segurança coorporativa
Funções e papeis
Segurança da Informação - controles
Controles
Pro
cedim
ento
s/N
orm
as
Pro
cessos
Estrutu
ras o
rganizacio
nais
Práticas
Políticas
� Conscientização e capacitação em S.I. para todos profissionais � Documentação da política da Segurança da Informação (faz
parte do escopo deste projeto).
Ações cotidianas ou ocasionais
Agenda
� Equipe do projeto
� Segurança da Informação (S.I.) – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação na Prática
� O projeto da <<confidencial>>
� Introdução
� Escopo e Andamento
Escopo da norma ISO 27002
Introdução ao projeto - metodologia
Seção Alguns controles
1) Política de segurança da
informação
(...) “documento da política de segurança da informação”(...) “Convém que a política de segurança da informação seja analisada criticamente”
2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança da informação” (...) “Convém que sejam mantidos acordos de confidencialidade” (...)
3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos e documente a importância destes ativos.” (...)
4) Segurança em recursos
humanos
(...) ”Convém que exista um processo disciplinar para os funcionários que tenham cometido uma violações.”
5) Segurança Física e do Ambiente (...)6) Gerenciamento de operações (...)7) Controle de Acesso (...)8) Aquisição, desenvolvimento e
manutenção de sistemas
(...)
9) Gestão de Incidentes de SI (...)10) Gestão de Continuidade (...)
11) Conformidade (...)
Introdução ao projeto - metodologia
Exemplos de controles aplicáveis
�Controle de acessos:• Implantação de catracas / identificação de colaboradores e
visitantes.• Identificar autores de possíveis incidentes, assim como
mitigá-los� Segurança em Recursos Humanos:
• Na contratação: Solicitar antecedentes criminais para áreas que necessitem. Solicitar comprovação por diploma para cargos de nível superior
• Possíveis impactos: incidentes intencionais ou por imprudência.
Agenda
� Equipe do projeto
� Segurança da Informação (S.I.) – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação na Prática
� O projeto da <<confidencial>>
� Introdução
� Escopo e Andamento
Escopo do Projeto
Diagnóstico e Plano de ação em Segurança da Informação
Planejamento do Projeto
Avaliação da Situação atual
Elaboração do Plano de Ação
Elaboração da Política de
Segurança da Informação
Já executado
A executar
Escopo do Projeto
Diagnóstico e Plano de ação em Segurança da Informação
Planejamento do Projeto
Avaliação da Situação atual
Elaboração do Plano de Ação
Elaboração da Política de
Segurança da Informação
Escopo do Projeto
Planejamento
Conduzir reuniões de planejamento
Estudo inicial da organização
Levantamento de histórico
Elaboração do plano global do projetoVisitas preliminares
Conduzir palestras iniciais
� Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do projeto
� Datas previstas: 29/07 a 09/08
Entrega prevista
Plano Global do Projeto
� Escopo do trabalho� Cronograma� Riscos previstos� Detalhes sobre as entregas� Plano que está sendo apresentado
neste instante
Escopo do Projeto
Diagnóstico e Plano de ação em Segurança da Informação
Planejamento do Projeto
Avaliação da Situação atual
Elaboração do Plano de Ação
Elaboração da Política de
Segurança da Informação
Processo de Análise da Situação atual
1) Análise
preliminar2) Entrevistas
3) Visitas
técnicas
4) Análise de
dados e
elaboração
de relatórios
Fase de PlanejamentoFase de Diagnóstico
Plano de Ação
Escopo do Projeto
Política de Segurança da Informação
Processo de Análise da Situação atual
Escopo do projeto – análise preliminar e entrevistas
1) Análise
preliminar
Fase de Planejamento
Visita inicial
� Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em segurança com o apoio do líder do comitê gestor (cliente)
� Datas previstas:
Fase de diagnóstico
2) Entrevistas
Entrevistas com
coordenadores
Detecção de riscos de SI
Fase de diagnóstico
3) Visitas
técnicas
Escopo do projeto – Visitas técnicas
Colher de evidencias necessárias para
diagnósticos realizados
Obter informações que contribuam com a análise
de impacto para controles não identificados;
Análise dos riscos de SI
� Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do comitê gestor (cliente)
� Datas previstas:
Fase de diagnóstico
4) Análise de
dados e
elaboração
de relatórios
Escopo do projeto – Relatórios de diagnóstico
Entrega prevista
Relatório de Análise da Situação Atual� Controles avaliados;� Ameaças e consequentes riscos� Avaliação dos processos relacionados
recurso humanos e responsabilidades� Lista, classificação e prioridade dos riscos� Recomendações.
� Data prevista:
Apresentação prevista:
Escopo do Projeto
Diagnóstico e Plano de ação em Segurança da Informação
Planejamento do Projeto
Avaliação da Situação atual
Elaboração do Plano de Ação
Elaboração da Política de
Segurança da Informação
Entrega prevista
Política de Segurança
� Objetivos, aplicações, princípios
� Responsabilidades � Gestão de recursos
Humanos, Segurança Física, gerenciamento de operações, controle de acesso, gestão de incidentes, conformidade, entre outros itens.
Escopo do projeto – Plano de Ação
Entrega prevista
Plano de Ação
� Lista e detalhamento das recomendações
� Categorização das recomendações
� Recomendações a curto, médio e longo prazo
� Responsabilidades, esforços, instrumentos
� Estrutura e ambiente previstos
� Data prevista:
Provisão apresentação:
Elaboração do Plano de
Ação
Elaboração da Política
de S.I.
� Data prevista:
Previsão apresentação:
Agenda
� Equipe do projeto
� Segurança da Informação (S.I.) – overview
� Incidentes comuns em Segurança da Informação
� Segurança da Informação na Prática
� O projeto
� Introdução
� Escopo e Andamento
Fim
top related