disciplina política e procedimentos na segurança da informação

Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Elaborado por prof. Roberto Dias Duarte

Políticas, práticas e procedimentos em

Segurança da Informação

1sexta-feira, 30 de julho de 2010

Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Elaborado por prof. Roberto Dias Duarte

Era do Conhecimento & Segurança da

Informação: Tudo a ver


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

1ª Parte: Preciso de segurança?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Informação: tudo a ver

Fonte: Microsoft4sexta-feira, 30 de julho de 2010

Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Qual é a novidade?

Já ouviu falar da Nota Fiscal Eletrônica?

“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital,

e m i t i d o e a r m a z e n a d o eletronicamente, com o intuito de documentar, para fins fiscais, uma o p e r a ç ã o d e c i r c u l a ç ã o d e mercadorias ou uma prestação de serviços, ocorrida entre as partes. Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador. “


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Componente intangível

NF-e é um repositório de inteligência digital:

FiscalContábilGerencialTecnológica


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

SPED é consequência de uma grande transformação social:

o fim da Era Industrial

Causa x consequência?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

O ERP nas empresas....


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Ah! Empresas...

VENDEU?

RECEBEU?

PAGOU?

DÁ PARA VENDER?

SOBROU QUANTO?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Uma empresa com ERP...

Vendeu bem?

Comprou bem?

Quem é bom cliente?

Quem é bom fornecedor? Quanto investir?

O que gera resultado?

A riqueza aumentou?

Em sua empresa, qual é a situação?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Ah! O SPED e a SI...

CT-e

NF-e

NF-e

NF-e

SPED CONTÁBIL

SPED FISCAL


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Documento Eletrônico

MP 2.200-2, de agosto de 2001:

“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários”


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Capital Intelectual

Capital Humano• A9tude• Inovação• Experiência• Aprendizado• Equipes

Capital Estrutural• Técnicas• Metodologias• Processos• SoFwares

Capital de Clientes• Sa9sfação• Lealdade• Valor do Cliente• Conhecimento sobre o Cliente

Adaptado de : Thomas Stewart


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Capital Humano


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

2ª Parte: Vamos praticar?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Quem vai praticar?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

“Os regulamentos de segurança da informação têm como obje7vo fazer com que o uso da informação na organização aconteça de forma estruturada” (Edison Fontes)

Preciso de normas?

“A Liberdade só Existe com Lei e Poder” (Kant)


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

“Conte-‐me e eu esqueço. Mostre-‐me e eu apenas me lembro. Envolva-‐me e eu compreendo.” (Confúcio)

Vamos cumprir as normas?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Segurança da informação na empresa


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

O que é?

• Compontes:– Orientações– Normas– Procedimentos– Políticas– Ações

• Objetivo:– Proteger ativo intangível


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

O que devo garantir?

• Disponibilidade: o que é realmente uma informação acessível?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


• Integridade: a informação é a correta?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


• Confidencialidade: quem deve acessar o quê?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


• Legalidade: respeito a leis, contratos e ética. O que não pode?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


• Auditabilidade: quem fez o quê? Quando?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


• Não repúdio


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


• MP 2.200-2 - Agosto 2001Art. 10o Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória.

§ 1o As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, noa forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 - Código Civil.

§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Básico do básico....

Termo de Compromisso

Autenticação de usuário

Evitando o Carona

O Gestor

Backup

e muito mais...


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Termo de Compromisso

• Formaliza responsabilidades:– Sigilo de informações;– Cumprimento de normas

de segurança;– Conduta ética.

• Quem deve assinar?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Autenticação

• Identifica as pessoas:– Senha;– Cartão ou token;– Biometria;– Certificado Digital.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

O “Carona”

• Prevenção contra “sessões abertas” em sua ausência:– Conduta: Suspensão

ou encerramento da sessão;

– Mecanismo: Suspensão ou encerramento da sessão.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• De quem é o ativo?• Define:

– quem tem acesso;– tipos de acessos;– períodos temporais;– locais de acesso.

• Formalizado pela alta gestão;

• Rastreabilidade de concessões.

Gestor da informação: o “dono da bola”


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Qual a política definida?• Qual a cópia mais

antiga?• Os arquivos das

estações têm cópias?• Os servidores têm

cópias?• Onde são

armazenadas?• Em que tipo de mídia?

Cópias de segurança


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Completo (Full backup):Todo o conteúdo é copiado do início ao fim, sem levar em consideração backups anteriores.

■ Diferencial (Differential backup):Apenas os arquivos modificados entre o estado atual e o último backup completo são copiados. O processo de recuperação é um pouco mais lento.

■ Incremental (Incremental backup):Apenas o conteúdo modificado no sistema desde o último backup, é copiado, independente do tipo do último backup. O resultado é a diferença entre o estado atual e a última cópia realizada. A recuperação neste caso é mais complexa.

Um ciclo de backup tem início com um backup completo e prossegue com backups incrementais ou diferenciais subsequentes. Quando um novo backup completo é realizado, um novo ciclo é iniciado.



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

MÉTODOS DE ROTAÇÃO DE DISPOSITIVOS

■ Rotação cíclica semanal:São mantidos três volumes, havendo sempre um localmente e outros dois guardados em um lugar seguro, fisicamente distante do sistema. No início de cada semana é realizado um backup completo e diariamente um backup incremental.

■ Rotação “Filho”:Este é o primeiro conceito do esquema “Avô, pai, filho”. Um backup completo é feito diariamente. Existem sete volumes para serem utilizados durante a semana, na qual um ciclo termina e outro começa a cada dia. Esta é forma mais simples e custosa em termos de espaço e duração do procedimento de backup.

■ Rotação “Pai, filho”:Este esquema é uma mistura de backups completos e incrementais. Desta vez é considerado um mínimo de oito volumes, sendo dois para backups completos e seis para incrementais. Uma vez por semana é realizado um backup completo, e nos outros dias são feitos incrementais. Os volumes incrementais são reciclados cada semana, exatamente no mesmo dia que ele foi usado na semana anterior, havendo um volume para segunda-feira, outro para terça-feira, e assim por diante. Já os volumes usados em backups completos são revezados e utilizados semana sim, semana não.

■ Rotação “Avô, pai, filho”:Neste esquema têm-se backups completos, incrementais e diferenciais. A cada mês é feito um backup completo, a cada semana é feito um diferencial e diariamente é feito um incremental. Devido a sua eficiência e boa relação custo/benefício, este é o método mais utilizado atualmente.



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)


Fonte: CENADEM, Centro Nacional da Gestão da Informação

Durabilidade das mídias


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Ações preventivas:– Conhecimento– Análise– Planejamento– Investimento– Educação.

• Física• Software• Humana

Ações para problemas


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Ações detectivas:– Quanto antes,

melhor– Monitoramento de

eventos– O que monitorar?

• Conhecimento• Análise• Planejamento• Investimento



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Ações corretivas:– Minimizar o

problema– Quanto mais

rápido, melhor



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Plano de continuidade:– Conhecimento– Análise– Planejamento– Investimento– Educação– Simulação

• Mapeamento de riscos• Contexto empresarial

Continuidade do negócio


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Produtos homologados

• Itens de verificação:– manutenção– treinamento– conhecimento

coletivo– suporte– condições comerciais– capacidade do

fabricante– tendências


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Antivírus

• Prevenção além do software:– Anexos– Executável? No

way!– Download? Só de

sites confiáveis– Backup, sempre– Educação


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• O que é uso profissional?

• É possível separar o pessoal do profissional?

• Quais as regras para uso pessoal?

Uso da Internet


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Cuidados com mensagens:– Obscenas– Racistas– Discriminatórias– Políticas– Comerciais

• Imagem da empresa• Legislação• Pessoal x profissional• Confidencialidade

Correio eletrônico


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Circulação desnecessária de e-mails e arquivos

• Confidencialidade da informação

• Quem originou a comunicação?

Correio eletrônico:anexos e encadeamentos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Qual o problema com uma falsa informação?

• Phishing• Imagem

empresarial

Correio eletrônico:Notícias


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Qual a diferença do mundo tangível para o intangível?

• Qual a principal arma contra fraude?

Fraudes


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• SPED: NF-e, CT-e, ECD, EFD, etc

• Trabalhista• Consumidor• Civil• Criminal• Ambiental• Setor econômico

Legislação


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Segurança x privacidade

• Funcionários• Clientes• Fornecedores• Sigilo bancário,

fiscal, etc

Privacidade


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Segurança da Informação de:– Funcinários– Clientes– Parceiros

• Quem pode acessar?

• Parceiros?• Uso comercial?

Informações pessoais


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Procedimentos para obtenção de informações através de contatos falsos

• “Conversa de malandro”• Lixão• Habilidades do farsante:

– fala com conhecimento– adquire confiança– presta “favor”

Engenharia Social


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Outras iscas...


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Ahhh, reuniões rápidas:– no elevador– na festa– no avião

• Quadros, flip chart, relatórios, etc

• Lixão, de novo?• Quem entra, quem

sai?

Ambiente Físico


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Acesso individual• Informações para

trabalhar• Saber o que é

rastreado• Conhecer as políticas

e normas• Ser avisado sobre

tentativas de invasão

Diretos do usuário


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Treinamento sobre segurança

• Comunicar ocorrências de segurança

• Garantia de privacidade

• Ser mais importante que a tecnologia

Diretos do usuário


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Praticando....

1) Relatar quais práticas fundamentais são mais importantes para sua empresa

2) Quais estão implementadas?

3) O que deve ser implementado?



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Praticando....Elaborar o checklist

para sua empresa


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

3a Parte: Visão da Gestão


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Conceitos• Ativo

– “Representa os bens e direitos que a empresa tem num determinado momento, resultante de suas transações ou eventos passados da qual futuros benefícios econômicos podem ser obtidos.” (Fonte: Wikipedia)

– “Os ativos têm a característica de ser bens postos em atividade, apoiando a entidade nas suas operações e no seu funcionamento e ajudando a atrair a riqueza para si.” (Fonte: Wikipedia)

– “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” (Fonte: http://www.cpc.org.br)


http://pt.wikipedia.org/wiki/Bens

http://pt.wikipedia.org/wiki/Bens

Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Conceitos• Ativo Intangível

– “Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)” (Fonte: http://www.cpc.org.br)


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Conceitos

• Ameaças:– causa potencial de um

incidente, que caso se concretize pode resultar em dano.

– Hackers– Crackers– Naturais– Vândalos– Internas


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Conceitos

• Vulnerabilidades: – Falha (ou conjunto)

que pode ser explorada por ameaças

• Contas sem senhas• Falhas em software


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Conceitos

• Incidente– é qualquer evento

em curso ou ocorrido que contrarie a política de segurança, comprometa a operação do negócio ou cause dano aos ativos da organização.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Conceitos

• Impacto– Resultados de

incidentes


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Análise dos Riscos

Impacto

Transfere

Probabilidades

Aceita Reduz

Mitiga



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Análise dos Riscos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Governança

• “é o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Governança

• Visão– É o sonho da organização, é

o futuro do negocio e onde a organização espera estar nesse futuro.

• Missão– É a razão de existência

de uma organização.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Governança

• Missão– É a razão de existência de uma organização.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Governança

• Transparência– Mais do que "a

obrigação de informar", a administração deve cultivar o "desejo de informar"


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Governança

• Equidade– Tratamento justo

e igualitário de todos os grupos minoritários (stakeholdres).


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Stakeholders & Shareholders

• Equilíbrio:– Regulamentações– Forças corporativas

Qual a relação entre equilíbrio e segurança?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Balanceando Pressões


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Balanceando Pressões• Compliance: “conjunto

de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)


http://pt.wikipedia.org/wiki/Norma

http://pt.wikipedia.org/wiki/Norma

http://pt.wikipedia.org/wiki/Institui%C3%A7%C3%A3o

http://pt.wikipedia.org/wiki/Institui%C3%A7%C3%A3o

http://pt.wikipedia.org/wiki/Empresa

http://pt.wikipedia.org/wiki/Empresa

Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Balanceando Pressões• Risco x

Conformidade:– 100% de

conformidade garante 100% de segurança?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Desafios da Governança

• Gerenciar riscos x investimentos adequados

• Manter organização segura• Seguir padrões • Atender às exigências

regulatórias

Quais são os principais desafios de

sua organização?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Sucesso na GSI

• Comunicação: direção, gerências e operação

• Planejamento alinhado à estratégia• Políticas aderentes aos requisitos legais• Nível de maturidade coerente com

contexto de riscos• Estruturar controles de segurança

(frameworks)• Monitorar a eficácia e eficiência


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Melhores Práticas

• Personalizar as práticas ao negócio

– “O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Melhores Práticas

• Cuidado com:– Orçamento– Pessoas


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Cobit


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Cobit: alinhamentoMetas de Negócio

Metas da TI

Metas de Processo

Metas de atividades

Manter a liderança e a

reputação da instituição

Garantir que os serviços de

TI estão protegidos de ataques

Detectar e resolver acessos

não autorizados

Compreender os requisitos

de segurança


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Cobit: metas e medidas

•  Cada meta estabelecida é acompanhada por suas respectivas medidas.

•  Estas medidas indicam o desempenho do item, que potencializa o item do nível acima

TI Processos Atividades

Metas

Métricas

define define

medido medido medido direciona direciona


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Cobit: frameworkPrincipais áreas de atenção do framework:

! Disponibilizar a informação necessária para suporte aos requisitos e objetivos de negócio

! Tratamento das informações como resultado da combinação dos recursos da TI, gerenciados através dos processos de TI

Processos Atividades

Domínios

Processos de TI

Efetividade Eficiência Confidenciabilidade Integridade Disponibilidade Conformidade Confiabilidade

Recursos de TI

Aplicações

Informação

Infra-estrutura

Pessoas

Processos de TI

Requisitos de negócio

Abordagem de controle

Considerações •  …………………………… •  …………………………… •  ……………………..……..

Critério de informação


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Cobit


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

ITIL: Fundamentos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Cobit: Vídeo parte 1


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

ISO/IEC 17799

• “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)


http://pt.wikipedia.org/wiki/Organiza%C3%A7%C3%A3o_Internacional_para_Padroniza%C3%A7%C3%A3o

http://pt.wikipedia.org/wiki/Organiza%C3%A7%C3%A3o_Internacional_para_Padroniza%C3%A7%C3%A3o

http://pt.wikipedia.org/wiki/Comiss%C3%A3o_Eletrot%C3%A9cnica_Internacional

http://pt.wikipedia.org/wiki/Comiss%C3%A3o_Eletrot%C3%A9cnica_Internacional

Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

ISO/IEC 27000• ISO 27000 - Vocabulário de Gestão da Segurança da

Informação;• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e

substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;

• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);

• ISO 27003 - Aborda a gestão de risco;• ISO 27004 - Mecanismos de mediação e de relatório de um

sistema de gestão de segurança da informação;• ISO 27005 - Esta norma será constituída por indicações para

implementação, monitoramento e melhoria contínua do sistema de controles;

• ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

ISO/IEC 27001


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

ISO/IEC 17799/27002

• Framework – Políticas de segurança– Segurança organizacional– Segurança das pessoas– Segurança física e do ambiente– Gerenciamento das operações– Controle de acesso– Desenvolvimento e manutenção de sistemas– Gestão da continuidade do negócio– Conformidade


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Metodologia Octave

• Origem: Software Engineering Institute (SEI) da Carnigie Mellon University

• Antes de avaliar o risco: entender o negócio, cenário e contexto

• Octave Method (grandes organizações) e Octave-S (pequenas)


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Use Octave-S, se:

• Hierarquia simples• Menos de 300 funcionários• Metodologia estruturada com pouca

customização• Há muita terceirização na TI• Infraestrutura simples


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave Method

• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos– Processo 1: Conhecimento da alta gerência:

Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades

– Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades

–


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave Method

• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos– Processo 3: Conhecimento de cada

departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades

– Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave Method

• 2a Fase: Identificar vulnerabilidades da infraestrutura– Processo 5: Identificar e definir padrão de

avaliação dos componentes-chave dos recursos

– Processo 6: Avaliar componentes-chave dos recursos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave Method

• 3a Fase: Desenvolver estratégias e planos de segurança– Processo 7: Definir critérios de avaliação de

impactos (alto, médio, baixo)– Processo 8: Desenvolver estratégias de

proteção para melhorar as práticas de segurança


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave-S

• 1a Fase: Identifica ativos com base nos perfis de ameaça– Processo S1: Identificar ativos, definir critérios

de avaliação dos impactos e situação atual das práticas de segurança

– Processo S2: Criar perfis de ameaças e definir exigências de segurança


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave-S

• 2a Fase: Identificar vulnerabilidades da infraestrutura– Processo S3: Analisar o fluxo de acesso aos

sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Octave-S

• 3a Fase: Desenvolver estratégias e planos de segurança– Processo S4: Identificar e analisar os riscos,

impactos e probabilidades de cada ativo crítico– Processo S5: Desenvolver estratégias de



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Octave: Atividades

para Gestão de Riscos• Identificação dos riscos• Análise e classificação quanto à criticidade• Criação de plano estratégico para proteção• Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação• Monitoramento da execução dos planos• Controle das variações


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Visão ampla

DESEMPENHO: Metas de Negócio

CONFORMIDADE Basel II, Sarbanes-

Oxley Act, etc.

Governança Corporativa

Governança de TI

ISO 9001:2000

ISO 17799

ISO 20000

Melhores práticas

Procedimentos de QA

Processos e procedimentos

Direcionadores

COBIT

COSO

Princípios de Segurança ITIL

BSC

Where Does COBIT Fit?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Então?

• ITIL• Cobit• ISO• Octave• BSC

O que devo adotar em minha

empresa?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Paradigmas

• “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as

partes interessadas e garantir o sucesso do

projeto, sempre focada no negócio”


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Partes interessadas

Quais são os principais stakeholders

de sua organização?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Governando Riscos

• Desafio: conhecer os riscos

• Riscos determinam os processos de segurança da metodologia/framework

Por que adotar o gerenciamento de

riscos de segurança da informação em sua organização?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Tipos de Riscos

• Estratégico e empresarial (negócios)• Humano• Tecnológico• Imagem• Legal

Quais são os principais riscos de sua organização?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Visão executiva


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Visão executiva

• Comunicação• Foco no negócio• Alinhamento estratégico• Custo x diferencial competitivo• Recursos de TI como portfólio de

investimentos

Na sua empresa, TI é custo ou

diferencial?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Contexto da

organização• Organograma: formal x real• Sensibilização e conscientização• Linguagem• Benchmark

Você fala “javanês” com os

execu9vos?


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Governando Processos

• Conceito de processo:– sequências semi-repetitivas de eventos

que, geralmente, estão distribuídas de forma ampla pelo tempo e espaço


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


• Mapeando processos:– Enumerar atividades– Ordernar em forma sequencial– Identificar entradas e saídas

• recursos• infraestrutura• insumos• matéria-prima• fornecedores

– Estabelecer características de produtos/serviços


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


• Mapeando processos:– Definir documentação para operação e

controle– Estabelecer indicadores de eficácia– Definir plano de controle


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


• Nível de maturidade:– Obter conhecimento sobre os procedimentos– Otimizar processos (melhores práticas)– Comparar (benchmark)– Adotar políticas – Utilizar a TI como facilitador– Definir processos de riscos– Integrar riscos– Monitorar falhas e melhorias– Realinhar processos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Cobit: níveis de maturidade

• Nível 0: inexistente


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Nível 1: Inicial– Consciência mínima da necessidade de

Governança– Estruturas desorganizadas, sem padrões– Suporte e TI não integrados– Ferramentas e serviços não integrados– Serviços reativos a incidentes

Cobit: níveis de maturidade


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Nível 2: Repetitivo– Consciência relativa da necessidade de

Governança– Atividades de governança e medidores em

desenvolvimento– Estruturas pouco organizadas, sem padrões– Serviços realizados sem metodologia– Repetição de incidentes– Sem controle de mudanças



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Nível 3: Definido– Alta consciência sobre Governança – Processos padronizados, implementados e

documentodos– Controle de mudanças– Métricas e indicadores consistentes– Inexistência de SLA



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Nível 4: Gerenciado– Consciência da importância de Governança – SLA’s e catálogos de serviços– Inexistência de gestão financeira– TI ainda não é vista como benefício para o

negócio– Início do processo de melhoria contínua



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

• Nível 5: Otimizado– Consciência total– Gestão financeira de TI – Melhores práticas adotadas e gerenciadas– Melhoria contínua de processos– Otimização contínua de TI



Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Linha do tempo

!"#$%&'"'()

*)")+)",-.)/(01-)

2'34-56)789):";-))<$",'-)1%(5&.-=))3)>("?@-)

A(B&5&'"'()A".()7CD-).(&))'(),"'"=)

A".()>("?@-6)E01B(0(,#";D-)A%"F0(,#"'")

A".()'"))G-,.-B&'";D-)

A".()'"))HI5(BJ,5&")K1(%"5&-,"B)

25(B(%"%)1%-L(#-.)M"%")%("F&%)".).-B&5&#";N(.)

G%&"%)E,@(,#O%&-.))M"%")&,&5&"?@".)'()

P-@(%,",;")E,&5&")$0)"Q-%'"F(0)

R,&S5"'-)'())P-@(%,",;")

!(BT-%&")5-,?,$"))'-)1%-5(..-)


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Por que evoluir

processos?• Evita desperdícios de esforços e recursos• Visão de processos e responsabilidades• Investimentos claros e alinhados ao

negócio• Planejamento de longo prazo


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Métricas para GSI

• Processos de TI– Modelo de maturidade– Fatores críticos de sucesso– Indicadores de metas– Indicadores de desempenho


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


• Fatores críticos de sucesso (CFS)– importância estratégica– expressos em termos de processos– mensuráveis


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


• Indicadores de metas (KGI)– verificam se os processos alcançaram as

metas– “O que atingir?”– indicadores imediatos de sucesso– mensuráveis


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


• Indicadores de desempenho (KPI)– orientados a processos– definem o desempenho dos procesoss– mensuráveis


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Integrando Medidores

• Security Scorecard– CFS definidos para um processo– São monitorados por KPI’s– Devem atingir os KGI’s


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Integrando Medidores

• Implantando– 1a etapa: Definir indicadores– 2a etapa: Sensibilizar pessoas e planejar

mensuração– 3a etapa: Treinar pessoas, coletar e validar

dados– 4a etapa: Corrigir e previnir


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Governança de SI

• Visão e missão estratégicas:– Governança Corporativa:

• Governança de TI• Governança de SI


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) 4a parte: Implantando

políticas de SI


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Políticas de SI

• Informações são ativos• Envolvimento da alta gestão• Responsabilidade formal dos

colaboradores• Estabelecimento de padrões


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Políticas de SI:

Características• Simples• Compreensíveis• Homologadas e assinadas pela alta gestão• Estruturada para implantação em fases• Alinhadas com o negócio• Orientadas aos riscos• Flexíveis• Protetoras de ativos (Pareto)• Positivas (não apenas proibitivas)


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Visão geral da metodologia


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Etapas para o

desenvolvimento• Fase I - Levantamento de informações

– Obtenção dos padrões e normas atuais– Entendimento do uso da TI nos processos– Obtenção de informações sobre o negócio– Obtenção de informações sobre ambiente de

TI


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Etapas para o

desenvolvimento• Fase II - Desenvolvimento do Conteúdo e

Normas– Gerenciamento da politica de segurança– Atribuição de regras e responsabilidades– Critérios para classificação de informações– Procedimentos de SI


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Fase II: Desenvolvimento

de políticas e normas:• Gerenciamento da politica de segurança

– Definição da SI– Objetivos– CFS– Gerenciamento da versão– Referências a outras políticas


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


de políticas e normas:• Atribuição de regras e responsabilidades:

– Comitê de SI– Proprietário das informações– Área de SI– Usuários de informações– RH– Auditoria


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


de políticas e normas:• Critérios de classificação das informações:

– Introdução– Classificação– Níveis de classificação– Reclassificação– Armazenamento e descarte– Armazenamento e saídas


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G


de políticas e normas:• Procedimentos de SI:

– Classificação e tratamento da informação– Notificação e gerenciamento de incidentes– Processo disciplinar– Aquisição e uso de hardware e software– Proteção contra software malicioso– Segurança e tratamento de mídias– Uso de internet– Uso de e-mail– Uso de recursos de TI


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G



– Backup– Manutenção e teste de equipamentos– Coleta e registro de falhas– Gerenciamento e controle de rede– Monitoramento do uso e acesso aos sistemas– Uso de controles de criptografia– Controle de mudanças– Inventário de ativos de informação– Controle de acesso físico


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G



– Segurança física– Supervisão de visitantes e prestadores de

serviços


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Etapas para o

desenvolvimento• Fase III - Elaboração de Procedimentos de

SI– Pesquisa sobre melhores práticas– Desenvolvimento de procedimentos e

padrões– Formalização dos procedimentos


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI) Etapas para o

desenvolvimento• Fase IV - Revisão, aprovação e

implantação – Revisão e aprovação– Implantação

• Preparação de material de divulgação• Divulgação das responsabilidades• Palestras executivas• Palestras e treinamentos operacionais


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Etapas para o desenvolvimento


Pós-

Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI)

Trabalho final

• Elaborar um plano de implantação de política de segurança

• Elaborar o manual se segurança da informação


disciplina política e procedimentos na segurança da informação

Documents