Your SlideShare is downloading. ×
Projeto em Seguranca da Informação
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Projeto em Seguranca da Informação

8,740
views

Published on

Mais materiais, cursos e artigos sobre segurança da informação: www.portalgsti.com.br

Mais materiais, cursos e artigos sobre segurança da informação: www.portalgsti.com.br

Published in: Technology

4 Comments
17 Likes
Statistics
Notes
No Downloads
Views
Total Views
8,740
On Slideshare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
603
Comments
4
Likes
17
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Projeto em Segurança da Informação Adaptado de um case de diagnóstico em gestão de S.I. por Fernando Palma e Marcelo Gaspar www.portalgsti.com.br
  • 2. Objetivos Abordar os benefícios e objetivos da gestão da Segurança da Informação na prática Apresentar o planejamento do projeto de Segurança da Informação www.portalgsti.com.br
  • 3. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 4. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação da Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 5. Agenda Equipe do projeto Segurança da Informação – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 6. No mundo
  • 7. Ataques Incidentes em Segurança da Informação – no mundo
  • 8. Vazamento de informações www.estado.com.br
  • 9. Vazamento de informações Deixou vazar a informação..
  • 10. www.computerworld.com.br Perda / indisponibilidade da informação
  • 11. No Brasil
  • 12. Ataques Incidentes em Segurança da Informação – no Brasil Globo.com – Junho 2011
  • 13. Ataques
  • 14. Ataques
  • 15. Malwares (software malicioso) Incidentes em Segurança da Informação – no Brasil Globo.com
  • 16. Vazamento de Informações www.estado.com.br
  • 17. Vazamento de Informações www.globo.com
  • 18. Vazamento de Informações
  • 19. Perda / indisponibilidade da informação
  • 20. Perda / indisponibilidade da informação
  • 21. Vazamento de Informações Incidentes em Segurança da Informação – Saúde
  • 22. Indisponibilidade da informação
  • 23. Ataques
  • 24. Ataques www.idgnow.com.br
  • 25. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 26. Segurança da Informação na prática Segurança da Informação É a proteção da informação contra diversos tipos de ameaças Obtida a partir de um conjunto de controles O que é? Como? Qual o objetivo? Garantir a Continuidade ao Negócio Minimizar o risco ao negócio Maximizar Retorno sobre investiment os Oportunida des de negócio
  • 27. Pilares da Segurança da Informação
  • 28. Segurança da Informação – Pilares da S.I. Confidencialidade Integridade Disponibilidade Somente pessoas autorizadas terão acesso às informações. As informações manipuladas devem manter todas as características originais estabelecidas pelo proprietário da informação. A informação deve estar disponível, sempre que necessário, quando requisitada por pessoas autorizadas. Ainda: Autenticidade e Não Repúdio
  • 29. Segurança da Informação – Pilares da S.I. Confidencialidade Integridade Disponibilidade a) Informações de prontuários do paciente devem ser visualizadas apenas pelo médico responsável. b) Informações sobre as Reuniões Estratégicas são limitadas aos participantes. Exemplos Nível de integridade das informações de: a)Relatórios de glosa b) Informações do paciente c) Indicação de OPME padronizada não padronizada c) Medicamentos prescritos para pacientes UTI Nível de disponibilidade de: a) Relatório financeiro no fim do mês b) Prontuário do paciente c) Documentos dos profissionais no RH (carteira de trabalho, diploma) d) informações pessoais sobre visitantes. e) informações do controle de estoque
  • 30. Impacto de incidentes de segurança: exemplos
  • 31. Segurança da Informação – casos reais incidentes de S.I. Confidencialidade Integridade Disponibilidade Impacto na falta de... Da informação “A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço das informações foi constatado na madrugada de quinta-feira, quando seria feito um back-up dos dados dos servidores.”
  • 32. “A decisão regional acrescentou que a enfermeira fez uso das cópias dos prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja, violou segredo profissional em duas oportunidades, e que o fato de não ter recebido punições disciplinares anteriores não impediria a aplicação da justa causa.” http://www.tst.jus.br/ Confidencialidade
  • 33. Integridade
  • 34. Segurança da Informação –impactos gerais de incidentes de S.I. Confidencialidade Integridade Disponibilidade Impacto na... Da informação Processos Judiciais Perdas financeiras Exposição Não conformidade Perda de vida humana Perdas financeiras Tomada de decisão errada Impacto na saúde do paciente Impacto na imagem da empresa Perda de vida humana Perdas financeiras Tomada de decisão errada Não conformidade Baixa performance ou até indisponibilidade dos processos de negócio: atendimento, internação, ambulatorial.
  • 35. Do que devemos proteger?
  • 36. Segurança da Informação - ameaças Ameaças físicas Incêndio Enchentes Acesso indevido de pessoas Problemas elétricos Ameaças Tecnológicas Vírus Bugs de Software Indisponibilidade de rede Ameaças Humanas Sabotagem Fraude Negligência
  • 37. “Um grande erro nas organizações é pressupor que pessoas sensatas fazem coisas sensatas.” (Mintzberg, 2010) Ameaças são mais comuns do que imaginamos...
  • 38. Conclusão: adoção de controles como forma de gerenciar os riscos
  • 39. Segurança da Informação na prática Segurança da Informação É a proteção da informação contra diversos tipos de ameaças Obtida a partir de um conjunto de controles O que é? Como? Qual o objetivo? Garantir a Continuidade ao Negócio Minimizar o risco ao negócio Maximizar Retorno sobre investiment os Oportunida des de negócio
  • 40. Segurança da Informação – controles Controles O que são? Como? Políticas Procedimentos/ Normas Processos Estruturas organizacionais Práticas Devem ser ImplementadosEstabelecidos Monitorados Avaliados criticamente Melhorados
  • 41. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Exemplos: Política de mesa limpa Política de acesso ao centro cirúrgico Política de Licenciamento de Software Uma política define um resultado esperado. São intenções e diretrizes formalmente expressas pela direção
  • 42. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Normas estabelecem obrigações e procedimentos definidos de acordo com as diretrizes da Política. O procedimento instrumentaliza o disposto nas normas. Norma de controle de acesso a instituição: catraca, identificação de visitantes Procedimento de identificação de visitantes: cadastro de nome, RG, departamento a visitar, etc. Procedimentos para contabilidade e balanço
  • 43. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Processo de Gestão da Continuidade de Negócio. Adaptações em processos. Ex: internação de pacientes Processo de análise contínua de riscos de SI
  • 44. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Escritório de Segurança da Informação Comitê de Segurança da Informação Departamento de segurança coorporativa Funções e papeis
  • 45. Segurança da Informação - controles Controles Procedimentos/ Normas Processos Estruturas organizacionais Práticas Políticas Conscientização e capacitação em S.I. para todos profissionais Documentação da política da Segurança da Informação (faz parte do escopo deste projeto). Ações cotidianas ou ocasionais
  • 46. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 47. Escopo da norma ISO 27002
  • 48. Introdução ao projeto - metodologia Seção Alguns controles 1) Política de segurança da informação (...) “documento da política de segurança da informação”(...) “Convém que a política de segurança da informação seja analisada criticamente” 2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança da informação” (...) “Convém que sejam mantidos acordos de confidencialidade” (...) 3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos e documente a importância destes ativos.” (...) 4) Segurança em recursos humanos (...) ”Convém que exista um processo disciplinar para os funcionários que tenham cometido uma violações.” 5) Segurança Física e do Ambiente (...) 6) Gerenciamento de operações (...) 7) Controle de Acesso (...) 8) Aquisição, desenvolvimento e manutenção de sistemas (...) 9) Gestão de Incidentes de SI (...) 10) Gestão de Continuidade (...) 11) Conformidade (...)
  • 49. Introdução ao projeto - metodologia Exemplos de controles aplicáveis Controle de acessos: • Implantação de catracas / identificação de colaboradores e visitantes. • Identificar autores de possíveis incidentes, assim como mitigá-los Segurança em Recursos Humanos: • Na contratação: Solicitar antecedentes criminais para áreas que necessitem. Solicitar comprovação por diploma para cargos de nível superior • Possíveis impactos: incidentes intencionais ou por imprudência.
  • 50. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto da <<confidencial>> Introdução Escopo e Andamento
  • 51. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação Já executado A executar
  • 52. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação
  • 53. Escopo do Projeto Planejamento Conduzir reuniões de planejamento Estudo inicial da organização Levantamento de histórico Elaboração do plano global do projeto Visitas preliminares Conduzir palestras iniciais Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do projeto Datas previstas: 29/07 a 09/08 Entrega prevista Plano Global do Projeto Escopo do trabalho Cronograma Riscos previstos Detalhes sobre as entregas Plano que está sendo apresentado neste instante
  • 54. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação Processo de Análise da Situação atual
  • 55. 1) Análise preliminar 2) Entrevistas 3) Visitas técnicas 4) Análise de dados e elaboração de relatórios Fase de Planejamento Fase de Diagnóstico Plano de Ação Escopo do Projeto Política de Segurança da Informação Processo de Análise da Situação atual
  • 56. Escopo do projeto – análise preliminar e entrevistas 1) Análise preliminar Fase de Planejamento Visita inicial Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em segurança com o apoio do líder do comitê gestor (cliente) Datas previstas: Fase de diagnóstico 2) Entrevistas Entrevistas com coordenadores Detecção de riscos de SI
  • 57. Fase de diagnóstico 3) Visitas técnicas Escopo do projeto – Visitas técnicas Colher de evidencias necessárias para diagnósticos realizados Obter informações que contribuam com a análise de impacto para controles não identificados; Análise dos riscos de SI Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do comitê gestor (cliente) Datas previstas:
  • 58. Fase de diagnóstico 4) Análise de dados e elaboração de relatórios Escopo do projeto – Relatórios de diagnóstico Entrega prevista Relatório de Análise da Situação Atual Controles avaliados; Ameaças e consequentes riscos Avaliação dos processos relacionados recurso humanos e responsabilidades Lista, classificação e prioridade dos riscos Recomendações. Data prevista: Apresentação prevista:
  • 59. Escopo do Projeto Diagnóstico e Plano de ação em Segurança da Informação Planejamento do Projeto Avaliação da Situação atual Elaboração do Plano de Ação Elaboração da Política de Segurança da Informação
  • 60. Entrega prevista Política de Segurança Objetivos, aplicações, princípios Responsabilidades Gestão de recursos Humanos, Segurança Física, gerenciamento de operações, controle de acesso, gestão de incidentes, conformidade, entre outros itens. Escopo do projeto – Plano de Ação Entrega prevista Plano de Ação Lista e detalhamento das recomendações Categorização das recomendações Recomendações a curto, médio e longo prazo Responsabilidades, esforços, instrumentos Estrutura e ambiente previstos Data prevista: Provisão apresentação: Elaboração do Plano de Ação Elaboração da Política de S.I. Data prevista: Previsão apresentação:
  • 61. Agenda Equipe do projeto Segurança da Informação (S.I.) – overview Incidentes comuns em Segurança da Informação Segurança da Informação na Prática O projeto Introdução Escopo e Andamento
  • 62. Fim