título de la presentaciónboas práticas em segurança da ... · falhas nas comunicações. falhas...

Título de la presentaciónBoas práticas em Segurança da Informação© 2007 Ozona Consulting – Beatriz Martínez Cándano@2013 atualização adersoneto@Yahoo.com.br

Hoje em dia está suportada na sua maioria por sistemas

computacionais

A informação é um ativo muito caro de obter e terrivelmente fácil de perder

O Fator Humanoé decisivo

Existem regulações que ajudam uns e prejudicam

outros

Ovalordainformação

Conceitos Básicos SGSI

Índice de conteúdos

Boas práticas

Conceitos Básicos

“Característica concreta de qualquer sistemainformático que nos indica que este está livre deperigo, dano ou risco…“

segurançadaInformática

segurançadainformação

Conjunto de medidas técnicas, organizativas e legais

Aplicadas à informação em qualquer tipo de suporte ou tratamento

Mantidas durante todo o ciclo de vida da informação na empresa

Revistas, medidas e melhorias

7

Segurança da informática ou segurança da informação?

A segurança da informática ocupa-se unicamenteda segurança dos sistemas e infraestruturasinformáticas, portanto, fica circunscrita ao âmbito dainformação automatizada.

Encarrega-se da proteção das infraestruturas TI.

SEGURANÇA: TÉCNICA

SEGURANÇA: GESTÃO.

8

A segurança da informação, ocupa-se dainformação em todas as suas formas e emqualquer momento do seu ciclo de vida, paraproteger de qualquer ameaça que possa suporperda ou diminuição do valor da mesma.

É uma questão que afeta a toda a empresa, requeruma gestão coordenada e transversal, o queimplica planejamento e gestão, e deve serconsiderado como um processo mais da empresaque interage com o resto dos processos do negócio.

Segurança da informática ou segurança da informação?

SEGURANÇA: TÉCNICA

SEGURANÇA: GESTÃO.

segurançadainformação

Consiste na realização das tarefasnecessárias para garantir os níveisde segurança exigíveis numaorganização.

gestãodasegurança

11

InformaçãoA INFORMAÇÃO é um ativo, tangível ou intangível, que temvalor para a Organização e requer uma proteção adequada.

INFORMAÇÃO

A informação pode ser:Escrita em papel. Armazenada em PC / servidorArmazenada em suporte externo (USB, DVD…)Gravada em formato vídeo/áudioTransmitida por correio, fax, meios eletrônicos…Falada.

CICLO DE VIDA DA INFORMAÇÃO

(Contratos, bases de dados, documentos, e-mails,documentação do sistema, manuais dos utilizadores,material de formação, aplicações, software do sistema,equipas informáticas, equipa de comunicações, serviçosinformáticos e de comunicações, página web….).

elementosdesegurança

SEGURANÇA

confidencialidade

integridade

disponiblidade

elementosdesegurança

14

Dimensões da Segurança

I

D

C

CONFIDENCIALIDADE.Propriedade da informação, pela que segarante que a informação é unicamenteacessível para o pessoal autorizado.

A Confidencialidade inclui todos os processos que definem desde quais e em quegrau são confidenciais determinados dados, até como deve ser tratada a informação:com que mecanismos, que critérios, que pessoas, que procedimentos, etc,

EXEMPLOS

Acesso por parte da concorrência de informação sensível.Transações de cartão de crédito por internet.Computadores com sessões abertas sem responsáveis ao seu cargo.Perda de dispositivos com informação sensível.

15

Dimensões da Segurança

I

D

C

INTEGRIDADEPropriedade que procura manter os dados livres demodificações não autorizadas.A informação e os seus métodos de processamentodevem ser exatos e completos e não podem ser

manipulados sem autorização.

Quando a informação sofre modificações por falhas dossistemas, por erros humanos ou acidentes deliberados oufortuitos, e afeta a preservação das condições que tornamlegítima e útil essa informação.

EXEMPLO

DISPONIBILIDADE

Característica, qualidade ou condição dainformação que se encontra ao dispor dequem devem aceder a ela, sejam pessoas,processos ou aplicações.

Dimensões da Segurança

17

Dimensões da Segurança

A correta classificação da informação,facilitará a determinação das premisasbásicas de proteção conforme o grau declassificação atribuido.

CONFIDENCIALIDADE

INTEGRIDADE

DISPONIBILIDADE

18

Outras Dimensões da Segurança da Informação

PRIVACIDADESó as pessoas autorizadas têm acesso àinformação de dados de caráter pessoal.

PRIVACIDADE VS CONFIDENCIALIDADE

A privacidade refere-se exclusivamente a dados de caráter pessoalque podem ou não ser públicos.

A confidencialidade refere-se a informação, pessoal ou não, que aorganização quer proteger de que seja difundida abertamente.

19

Falha de Segurança da Informação

Uma falha de Segurança da informação é qualquer incidente que comprometa a segurança, isto é que ponhaem perigo a confidencialidade, integridade ou a disponibilidade da informação.

Falhas nas Comunicações.Falhas no Fornecimento elétrico.Falhas humanas de utilizadores internos, externos, administradores, programadores,…Falhas nos sistemas de informação: redes, aplicações, equipamentos…Vírus informáticos, vírus, troyanos, …Acessos não autorizados dos sistemas de informação.Incumprimento de uma lei ou regulamento

SEGURANÇA FÍSICA

SEGURANÇA LÓGICA

MEDIDAS

ORGANIZACIONAIS

EXEMPLOS

tipologiade riscos.

tipologiade riscos.

tipologiade riscos.

23

Medidas de Segurança.

• ACESSOS FÍSICOS CONTROLADOS: Registo, dispositivos biométrico.

• SAIsFÍSICAS

• AUTENTICAÇÃO

• ASSINATURA ELECTRÓNICA

• ANTI-VIRUS E SPYWARE

• CORTA-FOGOS

• COPIAS DE SEGURANÇA

LÓGICAS

• REGISTO DE FICHEIROS

• ENCARGOS DE TRATAMENTO, ACORDOS TERCEIROS, ACORDOS

CONFIDENCIALIDADE.

• DOCUMENTO DE SEGURANÇA

ORGANIZACIONAIS

24

Segurança

25

Segurança

SGSI

É um sistema de gestão que compreende a política, aestrutura organizativa, os procedimentos, os processos e osrecursos necessários para implementar a gestão dasegurança da informação

queéumsgsi?

28

Gestão da Segurança da Informação

Os Sistemas de Gestão da Segurança da Informação (SGSI)proporcionam os mecanismos para a salvaguarda dos ativos e dossistemas de informação que processam, de acordo com as políticas desegurança e os planos estratégicos da organização, e com fim a garantiros níveis de segurança exigíveis e minimizar os riscos de segurança queameacem a continuidade do serviço.

SEGURANÇA DA INFORMAÇÃO

INFORMAÇÃO

SISTEMAS DE GESTÃO DA SEGURANÇA. UNE-ISO/IEC 27001

ENGLOBA:

A políticaA estrutura organizativaOs procedimentos.Os processosOs recursos

CONHECER

GERIR

MINIMIZAR

SGSI

O objetivo de um SGSI é manter uma adequada seleção de controlos de segurança destinados a proteger os ativos e a informação da organização.

Mediante o desenho, implementação e manutenção de um conjunto coerente de processos e sistemas destinados a gerir de forma eficiente o acesso à informação, assegurando, desta forma, a Confidencialidade, Integridade e Disponibilidade dos ativos de informação ao mesmo tempo que se minimizam os riscos.

objetivosdeumsgsi

30

PLAN

DO

CHECK

ACT CICLO PDCA

• Definição do âmbito.• Definição de Política de Segurança.• Estabelecer responsabilidades.• Realização da análise de riscos.• Seleção de controlos.• Estabelecer o Plano de Segurança

• Implantar o PTR• Implantar o SGSI• Implantar os controlos.

• Rever a implantação do SGSI.• Realizar as auditorias internas.

• Adotar as Ações Corretivas.• Adotar as Ações Preventivas.• Definir as ações de melhoria.

Sistemas de Gestão da Segurança da Informação

31

Definir a política de Segurança da informação

Deve:

Estabelecer os objetivos, as diretrizes e princípios de atuação relativas à segurança da informação.Ter em conta requisitos da atividade empresarial, legais ou regulamentares e obrigações contractuais.Estar alinhada com a estratégia de gestão de riscos da organização.Estabelecer critérios de estimativa do risco.Ser conhecida por toda a organização.Ser subscrita pela direção

A Política de Segurança da Informação estabelece os princípios e linhas deatuação globais em questões de segurança da informação, alinhados com osobjetivos de negócio. Deve ser conforme com o âmbito estabelecido.

32

Definir a Organização da Segurança da Informação

Devem-se definir as responsabilidades e funções de forma clara e objectiva.

A cada organização tem de definir o seu sistema organizativo interno, incluindo todasas responsabilidades e funções em matéria de segurança.

FIGURAS SGSI

RESPONSÁVEL por SGSI.

AUDITOR INTERNO SEGURANÇA

COMITÉ DE GESTÃO SEGURANÇA

33

Definir a Organização da Segurança da Informação

FICHA DE POSTO

RESPONSÁVEL por SGSI.

AUDITOR INTERNO SEGURANÇA

COMITÉ DE GESTÃO SEGURANÇA

Formação Académica

Formação ComplementarExperiência requerida.Funções e Responsabilidades

testar e controlar a aplicação dos procedimentos, instruções…. Presentes no SGSI.Adotar as medidas de segurança oportunas no caso de que se produza um incidente.Realizar os relatórios de incidentes.Analisar os relatórios de auditoria.Comtester a boa gestão do sistema de gestão

34

Definir a Organização da Segurança da Informação

FICHA DE POSTO

AUDITOR INTERNO SEGURANÇA

COMITÉ DE GESTÃO SEGURANÇA

Formação AcadémicaFormação ComplementarExperiência requerida.Funções e Responsabilidades

Rever o Manual de segurança, procedimentos,….Rever o registo gerados.Realizar testes de cumprimento de controlos.

Analisar a evolução do sistema de gestão.Detetar e estudar os problemas relativos à segurança.Realizar o seguimento AC, AP, NCEstabelecer os objetivos, indicadores de segurança.Estabelecer os planos de Segurança.

35

Políticas de Segurança alto Nível

Desenvolvem a política de Segurança da Organização.

POLÍTICA DE GESTÃO DE PALAVRAS chave

POLÍTICAS DE CONTROLO DE ACESSO FÍSICO

POLÍTICAS DE GESTÃO DE ACESSO LÓGICO

POLÍTICAS DE CÓPIAS DE SEGURANÇAINSTRUÇÕES GENÉRICAS DE

TRABALHO (uso de e-mail)POLÍTICA SAÍDA EMPREGADO….

36

Fase 1

Fase

2

Certificação

Auditoria de Certificação: Fases

boaspráticas

Máxima reserva nas saídas de :.DadosDocumentosMetodologiasChaves ou palavras passeProgramas, etc…

É IMPRESCINDÍVEL a autorização prévia do responsável desegurança

boaspráticas

Armazenar (em PC’s e mobiliário) unicamente os materiaisou informação da entidade que sejam precisos para oexercício das suas funções.

boaspráticas

Devolver à entidade, à finalização do seu relacionamentolaboral, qualquer tipo de dados ou informações às que tenhaacesso por qualquer meio ou suporte, por motivo do seutrabalho.

boaspráticas

Utilizar o e-mail conforme as normas da entidade.

boaspráticas

spam vírus

fuga de dados

Nunca responder a um e-mail não desejado por muito realistaque pareça.

Quando se envia um correio a uma lista de endereços

conhecidas, utilizar a cópia oculta.

Não publicitar a sua conta de correio de maneira direta em

Internet.

Utilização de várias contas de e-mail e emprego destas no seumeio adequado (laboral, pessoal, lazer)

Desconfiar dos correios que prometem interessantes

benefícios.

boaspráticas

Cumprir as normas da entidade para o acesso aInternet.

boaspráticas

phishing troyanos

erros

Nunca visitar, ou fazer com extrema precaução, direções

Site recebidas ou incluídas em e-mails.Não fazer uso de forunss, chats ou ferramentas de

transportadora on-line (messenger) no horário de trabalhoNão publicitar a sua conta de correio de maneira direta

em Internet.Manter o seu computador protegido, com os antivírus

atualizados.

boaspráticas

INSTALAÇÃO DE ANTIVÍRUS

boaspráticas

CONFIDENCIALIDADE

INTEGRIDADE

DISPONIBILIDADE

INSTALAÇÃO DE SOFTWARE ANTISPYWARE (anti-espião)

boaspráticas

CONFIDENCIALIDADE

Não divulgar os seus identificadores de utilizador e chavesde acessos, comunicando ao respectivos as possíveisincidências que se produzam e solicitar a mudança de palavrapasse de acesso ao sistema quando seja conhecida, acidental ouusada de forma fraudulenta por colegas, colaboradores ouadministradores.

boaspráticas

Nunca manter as extrações temporárias de dados nos seussistemas durante um período superior a 15 dias.

boaspráticas

Não deixar informação visível no ecrãdo seu PC quando abandona o seuposto, mesmo que seja apenastemporária, se há ou vai ter perto algumapessoa alheia a essa atividade.

boaspráticas

PROTETORES DE ECRÃ COM PALAVRA PASSE

boaspráticas

CONFIDENCIALIDADE

Ao destruir a informação em suporte papel, que a entidade

nos tenha indicado por não ser necessária, devemos fazê-lode maneira que o seu conteúdo resulte ilegível de efectuardelete.

boaspráticas

Comunicar ao responsável por segurança da entidade toda aincidência que afete ou possa afetar aCONFIDENCIALIDADE, INTEGRIDADE ouDISPONIBILIDADE da informação.

boaspráticas

Guardar a documentação em formato papel durante otempo todo em que seja precisa, impedindo o seu acesso,manipulação ou extração por pessoas não autorizadas.

boaspráticas

Armazenar a informação sempre no servidor ou servidores enunca no próprio equipamento ou em unidades externas.

boaspráticas

Usar dispositivos de armazenamento e tratamento externoque permitam criptograr e sempre que o seu uso estejaautorizado pelo responsável de segurança da entidade.

boaspráticas

Boas vibrações

SantiagoSan Marcos 31B– 15890 Santiago – A CoruñaTel: +34 981 53 63 03Fax: +34 981 53 51 34

MadridPº Gral. Martínez Campos, 44 · 28010 · Madrid Tel: +34 91 781 09 57Fax: +34 91 575 87 44

BarcelonaTravessera de Gràcia, 342 D64 – 08025 – BarcelonaTel: +34 93 394 19 90 Fax: +34 93 394 19 94

LisboaRua Campos Júnior, 11 – B 1070 – 306 – LisboaTel: +351 213 527 170Fax: +351 213 527 172

beatriz.martinez@ozonaconsulting.com