políticas, práticas e procedimentos em segurança da informação

prof. Roberto Dias Duarte

Melhor prevenir, que remediar!

Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada.


Photographer: Reuters

Políticas, práticas e

procedimentos em Segurança da Informação


Com licença, sou o Roberto

“Conheço apenas minha ignorância”

1a Parte: Sensibilização

Trabalhos• 07.12 - Diagnóstico de segurança da empresa:

contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos)

• 14.12 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro-cronograma. (30 pontos)

• 15.12 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)


Visão executiva

1o TrabalhoDiagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança.

Prazo: 7.12.2011

Pode ser em grupo

Escolha uma empresa para o estudo de caso real

TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,

rentabilidade, retenção de clientes, etc.• 2. Toda organização está inserida em um ecossistema onde há diversos

marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc.

• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais).

• 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas.

• 5. Derivem os processos de segurança e as atividades a partir das políticas.

• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.

1. Contexto empresarial1.2.Visão

É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro.

•1.1. Missão

–É a razão de existência de uma organização.

•1.3. Estratégia

•“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).

2. Públicos

Consumidores Clientes

Parceiros

Investidores

3. Indicadores

4. Normas reguladoras1. Em quais ecossistemas a empresa está inserida?

2. Quais os agentes reguladores e normas?

ANATELANACANEELCMVBACEN

SOXBasiléia

IFRSSPEDNF-eRFBSEFAZ

SindicatosConsumidorClientesFranqueadoresParceirosContratos

5. Lacunas de segurança da informação

1.Liste 7 lacunas de segurança da empresa

2. Relacione as lacunas com os indicadores ou normas

3. Estabeleça as 3 de maior relevância, explicando os motivos

2a Parte: Conceitos Básicos


Situação das empresas


Quer tentar?


Fraude?


O que é fraude?

É um esquema ilícito ou de má fé criado para obter ganhos pessoais.


Fatores primários1 - Existência de golpistas motivados.

• Ineficiência das leis;

• incerteza da pena;

• incerteza jurídica;

• existência de oportunidades;

• pouca fiscalização.


Mas principalmente porque...

o desrespeito às leis é considerado comportamento “normal”.


Quem é a vítima?


• Pouca informação e divulgação preventivas;

• ignorância e ingenuidade;

• ganância;

• o desrespeito às leis é considerado comportamento “normal”.

Fatores primários2 - Existência de vítimas vulneráveis


• percepção do problema como não prioritário;

• despreparo das autoridades;

• escassa coordenação de ações contra fraudadores;

• falta de leis específicas e pouca clareza em algumas das existentes.

Fatores primários3 - Falta de controle ou fiscalização


Quem fiscaliza?


Vítima ou golpista?


Segurança da Informação?


Causa potencial de um incidente, que caso se concretize pode resultar em dano

Ameaça?


Falha (ou conjunto) que pode ser explorada por ameaças

Vulnerabilidade?


Evento que comprometa a operação do negócio ou cause dano aos ativos da organização

Incidente?


Resultados de incidentes

Impacto?


Análise de risco

Impacto

Transfere

Probabilidades

Aceita Reduz

Mitiga


Análise de risco


Ativo digital?


Ativo? Intangível?

“Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”

Fonte: http://www.cpc.org.br


É um método de autenticação de informação digital

Assinatura Digital

Não é Assinatura Digitalizada!

Não é Assinatura Eletrônica!


Como funciona?HASH é gerado a partir da chave pública

HASH é armazenado na mensagem

Autor assina a com sua chave privada

Novo HASH é gerado

O HASH é descriptografado partir da chave pública

Novo HASH é comparado com o original


MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela

I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”

(Artigo 10o § 1o)

Documentos Digitais


MP 2.200-2 de Agosto/2001

“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”

(Artigo 10o § 2o)

Documentos Digitais


IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade

Caso real


Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos

Sincronizado a “Hora Legal Brasileira”

Carimbo do tempo


Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento

Integridade


Autenticidade

O receptor pode confirmar se a assinatura foi feita pelo emissor


O emissor não pode negar a autenticidade da mensagem

Não repúdio


Confidencialidade

Passo 1: Alice envia sua chave pública para Bob

Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada


Disponibilidade

A informação deve estar disponível apenas para seu uso legítimo


Auditabilidade

Deve haver informação relativa às ações de alteração ou consulta de dados Quem?

Quando?O que fez?


Por que preciso saber disso?


Ecosistema Fiscal

Vendeu?

Comprou?

Produziu?

Entregou?

Cliente

Fornecedor

Recebeu?

Pagou?

Contador

Fisco

Tem nota?

EFD ICMS/IPIEFD/CIAP

EFD PIS/COFINSEFD/FOLHA

Estoque?

SPED ContábilEFD Contábil

NF-eNFS-eCF-eCC-e

CT-eBrasil-id

Siniav

NF-eNFS-eCF-eCC-e

NF-eNFS-eCF-eCC-e


Vamos entender as principais

vulnerabilidades das empresas no mundo do

pós-SPED?


“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)

Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”

O que é a Nota Eletrônica?


Documento Fiscal Digital


Livro Contábil Digital


Livro Fiscal Digital (ICMS/IPI)


Mas, nada muda na minha empresa, certo?


Vulnerabilidade #1

Tenho que verificar o arquivo XML

Ajuste SINIEF 07/2005

Cláusula décima

§ 1º O destinatário deverá ver ificar a v a l i d a d e e autenticidade da NF-e e a exi s tência de Autorização de Uso da NF-e.


Vulnerabilidade #2

Nota autorizada não me livra do "passivo fiscal"


Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.

Vulnerabilidade #2


Cláusula quarta


Vulnerabilidade #3

Só posso cancelar NF-e se a mercadoria não circulou....


Vulnerabilidade #3ATO COTEPE/ICMS Nº 33 /2008

Efeitos a partir de 01.01.12:

Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.


Vulnerabilidade #4

Tenho que enviar o arquivo XML ao destinatário e ao transportador


Vulnerabilidade #4Cláusula Sétima

§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t ado r co nt r at ado, imediatamente após o recebimento da autorização de uso da NF-e.



Vulnerabilidade #5

Tenho que guardar o arquivo XML


Vulnerabilidade #5


Cláusula décimaO emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...)

§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.

§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.


Vulnerabilidade #6Troca de identidade


Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais

eCPF, eCNPJ, ePJ

A1, A3, HSM


O que causa vulnerabilidade?


Causas das vulnerabilidades

Falta de conhecimento Ganância: preços abaixo do

mercado Desrespeito as leis encarado

como comportamento comum

Tecnologia precária


Consequências


Consequências

Mercadorias sem documento idôneo

Mercadorias de origem ilícita Problemas fiscais: documentos

inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e

outros documentos


Tenho como evitar?


Solução: Paradigma do século XXI

Conhecimento

Comportamento

Tecnologia


Ação preventivas básicas


O dono da bola Quem é o responsável pela gestão da informação?

Definições:

políticas de segurança

políticas de backup

políticas de contingência


Termo de compromisso

Formaliza responsabilidades:

Sigilo de informações;

Cumprimento de normas de segurança;

Conduta ética.


Autenticação individual

Identifica as pessoas:

Senha;

Cartão ou token;

Biometria;

Certificado Digital.


“Empréstimo” de senha


Cópias de segurançaQual a política definida?

Qual a cópia mais antiga?

Os arquivos das estações têm cópias?

Os servidores têm cópias?

Onde são armazenadas?

Em que tipo de mídia?


Software homologadoItens de verificação:

manutenção

treinamento

suporte

condições comerciais

capacidade do fabricante

tendências


Uso de antivírusPrevenção além do software:

Anexos

Executável? No way!

Download? Só de sites confiáveis

Backup, sempre

Educação


O CaronaPrevenção contra

“sessões abertas” em sua ausência:

Conduta: Suspensão ou encerramento da sessão;

Mecanismo: Suspensão ou encerramento da sessão.


Correio eletrônico Pishing

Muitos golpes:

Notícias falsas

Propostas “irresistíveis”

Seu CPF foi...

Atualize sua senha...

blá, blá, blá...


Informações pessoais Cuidado com informação de:

Funcionários

Clientes

Parceiros

Quem pode acessar?

Parceiros?

Uso comercial?


Ambiente FísicoAhhh, reuniões rápidas:

no elevador

na festa

no avião

Quadros, flip chart, relatórios, etc

Lixão, de novo?

Quem entra, quem sai?


Engenharia socialProcedimentos para obtenção de informações

através de contatos falsos

“Conversa de malandro”

Lixão

Habilidades do farsante:

fala com conhecimento

adquire confiança

presta “favor”


Uso da Internet & Redes Sociais

Qual a sua opinião?


Uso da Internet & Redes Sociais


Ações preventivas

Conhecimento

Análise

Planejamento

Investimento

Educação.

Física

Software

Humana


Ações detectivas

Quanto antes, melhor

Monitoramento de eventos

O que monitorar?

Conhecimento

Análise

Planejamento

Investimento


Ações corretivas

Minimizar o problema

Quanto mais rápido, melhor


Plano de continuidade

Conhecimento

Análise

Planejamento

Investimento

Educação

Simulação

Contexto empresarial

Mapeamento de riscos


Direitos do usuário

Acesso individual

Informações para trabalhar

Saber o que é rastreado

Conhecer as políticas e normas

Ser avisado sobre tentativas de invasão

Treinamento sobre segurança

Comunicar ocorrências de segurança

Garantia de privacidade

Ser mais importante que a tecnologia


Mensagem sobre o segurança

2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma.

Prazo: 14.5.2011 às 07:40

Pode ser em grupo

Escolha uma empresa para o estudo de caso real

2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunas relacionadas3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.

Apresentação do 2o trabalho

Data: 14/12/2011

Prazo para ajustes: de 19:00 às 19:30

Apresentações: de 19:30 às 20:30

3a Parte:Visão de Gestão

Qual é a estrutura da sua organização?

Governaça“É o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)

Governaça•Visão–É o sonho da organização, é o

futuro do negocio e onde a organização espera estar nesse futuro.

•Missão–É a razão de existência de

uma organização.

Governaça

•Transparência–Mais do que "a

obrigação de informar", a administração deve cultivar o "desejo de informar"

Governaça•Equidade–Tratamento justo e

igualitário de todos os grupos minoritários (stakeholdres).

Stakeholders & Shareholders

•Equilíbrio:– Regulamentações– Forças corporativas

Qual a relação entre equilíbrio e segurança?

Balanceando pressões

Balanceando pressões• Compliance: “conjunto

de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)

Balanceando pressões

•Risco x Conformidade:

–100% de conformidade garante 100% de segurança?

Desafios da Governança

Gerenciar riscos x investimentos adequados

Manter organização segura

Seguir padrões Atender às exigências

regulatórias

Quais&são&os&principais&

desafios&de&sua&organização?

Sucesso na GSI

Qual&a&realidade&de&

sua&organização?

Comunicação: direção, gerências e operação

Planejamento alinhado à estratégia

Políticas aderentes aos requisitos legais

Nível de maturidade coerente com contexto de riscos

Estruturar controles de segurança (frameworks)

Monitorar a eficácia e eficiência

Melhores Práticas

Qual&as&prá6cas&de&sua&organização?

•Personalizar as práticas ao negócio

–“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”

Melhores PráticasCuidado com:

OrçamentoPessoas

Fundamentos de ITIL

Cobit: parte 1

Cobit: parte 2

Cobit: parte 3

Cobit: parte 4

Cobit: Alinhamento

Cobit: metas e medidas

Cobit: framework

3o Trabalho - parte I

3o Trabalho - parte IElaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05

1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio.2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)ISO/IEC 17799

• “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)ISO/IEC 27000

• ISO 27000 - Vocabulário de Gestão da Segurança da Informação;• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e

substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;

• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);• ISO 27003 - Aborda a gestão de risco;• ISO 27004 - Mecanismos de mediação e de relatório de um

sistema de gestão de segurança da informação;• ISO 27005 - Esta norma será constituída por indicações para

implementação, monitoramento e melhoria contínua do sistema de controles;

• ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)ISO/IEC 27001

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)ISO/IEC 17799/27002

• Framework –Políticas de segurança–Segurança organizacional–Segurança das pessoas–Segurança física e do ambiente–Gerenciamento das operações–Controle de acesso–Desenvolvimento e manutenção de sistemas–Gestão da continuidade do negócio–Conformidade

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Metodologia Octave

• Origem: Software Engineering Institute (SEI) da Carnigie Mellon University

• Antes de avaliar o risco: entender o negócio, cenário e contexto

• Octave Method (grandes organizações) e Octave-S (pequenas)

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Use Octave-S, se:

• Hierarquia simples• Menos de 300 funcionários• Metodologia estruturada com pouca

customização• Há muita terceirização na TI• Infraestrutura simples

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave Method

• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos–Processo 1: Conhecimento da alta gerência:

Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades

–Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades

–

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave Method

• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos–Processo 3: Conhecimento de cada

departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades

–Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave Method

• 2a Fase: Identificar vulnerabilidades da infraestrutura–Processo 5: Identificar e definir padrão de

avaliação dos componentes-chave dos recursos–Processo 6: Avaliar componentes-chave dos

recursos

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave Method

• 3a Fase: Desenvolver estratégias e planos de segurança–Processo 7: Definir critérios de avaliação de

impactos (alto, médio, baixo)–Processo 8: Desenvolver estratégias de proteção

para melhorar as práticas de segurança

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave-S

• 1a Fase: Identifica ativos com base nos perfis de ameaça–Processo S1: Identificar ativos, definir critérios de

avaliação dos impactos e situação atual das práticas de segurança

–Processo S2: Criar perfis de ameaças e definir exigências de segurança

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave-S

• 2a Fase: Identificar vulnerabilidades da infraestrutura–Processo S3: Analisar o fluxo de acesso aos

sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave-S

• 3a Fase: Desenvolver estratégias e planos de segurança–Processo S4: Identificar e analisar os riscos,

impactos e probabilidades de cada ativo crítico–Processo S5: Desenvolver estratégias de proteção

para melhorar as práticas de segurança

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Octave: Atividades para Gestão de Riscos• Identificação dos riscos• Análise e classificação quanto à criticidade• Criação de plano estratégico para proteção• Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação• Monitoramento da execução dos planos• Controle das variações

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Visão ampla

DESEMPENHO: Metas de Negócio

CONFORMIDADE Basel II, Sarbanes-

Oxley Act, etc.

Governança Corporativa

Governança de TI

ISO 9001:2000

ISO 17799

ISO 20000

Melhores práticas

Procedimentos de QA

Processos e procedimentos

Direcionadores

COBIT

COSO

Princípios de Segurança ITIL

BSC

Where Does COBIT Fit?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Então?

• ITIL• Cobit• ISO• Octave• BSC

O&que&devo&adotar&em&minha&

empresa?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Paradigmas

• “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as

partes interessadas e garantir o sucesso do

projeto, sempre focada no negócio”

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Partes interessadas


stakeholders&de&sua&

organização?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Governando Riscos

• Desafio: conhecer os riscos

• Riscos determinam os processos de segurança da metodologia/framework

Por que adotar o gerenciamento de

riscos de segurança da informação em sua organização?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Tipos de Riscos

• Estratégico e empresarial (negócios)• Humano• Tecnológico• Imagem• Legal


riscos&de&sua&organização?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Visão executiva

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Visão executiva

• Comunicação• Foco no negócio• Alinhamento estratégico• Custo x diferencial competitivo• Recursos de TI como portfólio de

investimentos

Na&sua&empresa,&TI&é&custo&ou&

diferencial?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Contexto da organização• Organograma: formal x real• Sensibilização e conscientização• Linguagem• Benchmark

Você&fala&&“javanês”&com&os&

execu6vos?

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Governando Processos

• Conceito de processo:–sequências semi-repetitivas de eventos que,

geralmente, estão distribuídas de forma ampla pelo tempo e espaço

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI


Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI


• Mapeando processos:–Enumerar atividades–Ordernar em forma sequencial–Identificar entradas e saídas

• recursos• infraestrutura• insumos• matéria-prima• fornecedores

–Estabelecer características de produtos/serviços

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI


• Mapeando processos:–Definir documentação para operação e controle–Estabelecer indicadores de eficácia–Definir plano de controle

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI


• Nível de maturidade:–Obter conhecimento sobre os procedimentos–Otimizar processos (melhores práticas)–Comparar (benchmark)–Adotar políticas –Utilizar a TI como facilitador–Definir processos de riscos–Integrar riscos–Monitorar falhas e melhorias–Realinhar processos

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Cobit: níveis de maturidade

• Nível 0: inexistente

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)

• Nível 1: Inicial–Consciência mínima da necessidade de

Governança–Estruturas desorganizadas, sem padrões–Suporte e TI não integrados–Ferramentas e serviços não integrados–Serviços reativos a incidentes

Cobit: níveis de maturidade

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)

• Nível 2: Repetitivo–Consciência relativa da necessidade de

Governança–Atividades de governança e medidores em

desenvolvimento–Estruturas pouco organizadas, sem padrões–Serviços realizados sem metodologia–Repetição de incidentes–Sem controle de mudanças


Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)

• Nível 3: Definido–Alta consciência sobre Governança –Processos padronizados, implementados e

documentodos–Controle de mudanças–Métricas e indicadores consistentes–Inexistência de SLA


Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)

• Nível 4: Gerenciado–Consciência da importância de Governança –SLA’s e catálogos de serviços–Inexistência de gestão financeira–TI ainda não é vista como benefício para o

negócio–Início do processo de melhoria contínua


Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)

• Nível 5: Otimizado–Consciência total–Gestão financeira de TI –Melhores práticas adotadas e gerenciadas–Melhoria contínua de processos–Otimização contínua de TI


Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Linha do tempo

Maturidade)

2)a)5)anos)Tempo)

Ad3Hoc,)“Só)faço))Quando)preciso”))3)Rea?vo)

Felicidade)Fase)“Não)sei))de)nada”)

Fase)Rea?vo,)Implementação)Fragmentada)

Fase)da))Consolidação)

Fase)da))Excelência)Operacional)

Acelerar)projetos)Para)reagir)as)solicitações)

Criar)Inventários))Para)inicia?vas)de)

Governança)Inicia)um)abordagem)

Unificado)de))Governança)

Melhoria)con?nua))do)processo)

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Por que evoluir processos?• Evita desperdícios de esforços e recursos• Visão de processos e responsabilidades• Investimentos claros e alinhados ao negócio• Planejamento de longo prazo

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Métricas para GSI

• Processos de TI–Modelo de maturidade–Fatores críticos de sucesso–Indicadores de metas–Indicadores de desempenho

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Métricas para GSI

• Fatores críticos de sucesso (CFS)–importância estratégica–expressos em termos de processos–mensuráveis

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Métricas para GSI

• Indicadores de metas (KGI)–verificam se os processos alcançaram as metas–“O que atingir?”–indicadores imediatos de sucesso–mensuráveis

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Métricas para GSI

• Indicadores de desempenho (KPI)–orientados a processos–definem o desempenho dos processos–mensuráveis

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Integrando Medidores

• Security Scorecard–CFS definidos para um processo–São monitorados por KPI’s–Devem atingir os KGI’s

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Integrando Medidores

• Implantando–1a etapa: Definir indicadores–2a etapa: Sensibilizar pessoas e planejar

mensuração–3a etapa: Treinar pessoas, coletar e validar dados–4a etapa: Corrigir e previnir

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Governança de SI

• Visão e missão estratégicas:–Governança Corporativa:

• Governança de TI• Governança de SI

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)4a parte: Implantando políticas de SI

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Políticas de SI

• Informações são ativos• Envolvimento da alta gestão• Responsabilidade formal dos colaboradores• Estabelecimento de padrões

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Políticas de SI: Características• Simples• Compreensíveis• Homologadas e assinadas pela alta gestão• Estruturada para implantação em fases• Alinhadas com o negócio• Orientadas aos riscos• Flexíveis• Protetoras de ativos (Pareto)• Positivas (não apenas proibitivas)

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Visão geral da metodologia

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Etapas para o desenvolvimento• Fase I - Levantamento de informações

–Obtenção dos padrões e normas atuais–Entendimento do uso da TI nos processos–Obtenção de informações sobre o negócio–Obtenção de informações sobre ambiente de TI

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Etapas para o desenvolvimento• Fase II - Desenvolvimento do Conteúdo e

Normas– Gerenciamento da politica de segurança–Atribuição de regras e responsabilidades–Critérios para classificação de informações–Procedimentos de SI

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Fase II: Desenvolvimentode políticas e normas:• Gerenciamento da politica de segurança

–Definição da SI–Objetivos–CFS–Gerenciamento da versão–Referências a outras políticas

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Fase II: Desenvolvimentode políticas e normas:• Atribuição de regras e responsabilidades:

–Comitê de SI–Proprietário das informações–Área de SI–Usuários de informações–RH–Auditoria

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Fase II: Desenvolvimentode políticas e normas:• Critérios de classificação das informações:

–Introdução–Classificação–Níveis de classificação–Reclassificação–Armazenamento e descarte–Armazenamento e saídas

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:

–Classificação e tratamento da informação–Notificação e gerenciamento de incidentes–Processo disciplinar–Aquisição e uso de hardware e software–Proteção contra software malicioso–Segurança e tratamento de mídias–Uso de internet–Uso de e-mail–Uso de recursos de TI

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI


–Backup–Manutenção e teste de equipamentos–Coleta e registro de falhas–Gerenciamento e controle de rede–Monitoramento do uso e acesso aos sistemas–Uso de controles de criptografia–Controle de mudanças–Inventário de ativos de informação–Controle de acesso físico

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI


–Segurança física–Supervisão de visitantes e prestadores de

serviços

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Etapas para o desenvolvimento• Fase III - Elaboração de Procedimentos de

SI–Pesquisa sobre melhores práticas–Desenvolvimento de procedimentos e padrões–Formalização dos procedimentos

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Etapas para o desenvolvimento• Fase IV - Revisão, aprovação e implantação

–Revisão e aprovação–Implantação

• Preparação de material de divulgação• Divulgação das responsabilidades• Palestras executivas• Palestras e treinamentos operacionais

Pós

-Gra

duaç

ão e

m G

estã

o da

Seg

uran

ça d

e T.

I. (G

STI

)Etapas para o desenvolvimento

3o Trabalho - parte IIElaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 15.12

1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio.2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma5. Elaborar um plano de implantação de política de segurança e o manual se segurança da informação.

políticas, práticas e procedimentos em segurança da informação

Business