Sistema de
Gestão de Segurança
da Informação
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ...
Conceitos
Riscos de segurança, processos de
avaliação e tratamento do risco,
sistema de gestão, Sistema de
Gestão de Segur...
Riscos de segurança
Um risco de segurança é o potencial que uma dada ameaça irá explorar
vulnerabilidades para causar perd...
Exemplos de riscos de segurança
Interrupção da continuidade do negócio
Indisponibilidade da informação
Perda da integridad...
Evitar o risco
Transferir o risco (por exemplo: seguro)
Reduzir as vulnerabilidades
Reduzir as ameaças
Reduzir os possívei...
Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu
ponto de vista, para os três ativ...
Resposta
Antivírus,
desatualizado
Backup
inadequado
Patches
desatualizados
Peça-chave
do processo
Servidor
Contamina
ção p...
Controles
A segurança eficaz normalmente requer a combinação das seguintes ações:
Detecção
Desencorajamento
Prevenção
Limi...
Controles
Após a identificação dos riscos, é necessário identificar os controles já existentes na
organização e verificar ...
Avaliação de risco e controles
Ameaças
Vulneráveis
Controles
Riscos
Ativos
Requisitos de
Segurança
Valor
Impacto potencial...
Processos de avaliação e tratamento do risco
Avaliação de risco
Identificação e valorização dos ativos
Identificação das v...
Exercício
Continuando o exercício anterior onde foram identificados os riscos, para um destes
ativos agora identifique, de...
Resposta
Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior
teremos:
E alguns controles...
Resposta
Controle Aplicação do Controle
Criar procedimento
automático para atualização
Criar política adequada
para tratar...
O que é um sistema de gestão?
O que é monitorado pode ser medido,
e o que é medido pode ser gerenciado.
Definição de sistema de gestão
Um sistema de ges...
Elementos de um sistema de gestão
Política (demonstração de compromisso e princípios para ação)
Planejamento (identificaçã...
Normas de sistemas de gestão
ISO/IEC 27001 – Segurança da Informação
ISO/IEC 20000 – Gestão em TI
ISO 9001 – Qualidade
ISO...
Sistema de Gestão de Segurança da Informação
SGSI
Parte do sistema de gestão, baseado no
enfoque de risco nos negócios, pa...
Fatores críticos do sucesso
Comprometimento e apoio visível de todos os
níveis da direção
Provisão de recursos para as ati...
Fatores críticos do sucesso
Implementação, manutenção,
monitoramento e melhoria da
segurança da informação consistente
com...
Exercício
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetiv...
Resposta
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivo...
Conceitos
Riscos de segurança, processos de
avaliação e tratamento do risco,
sistema de gestão, Sistema de
Gestão de Segur...
Upcoming SlideShare
Loading in …5
×

ISO 27001 -3

950 views
770 views

Published on

MOD 3 SGSI

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
950
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
55
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ISO 27001 -3

  1. 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  2. 2. Conceitos Riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, Sistema de Gestão de Segurança da Informação Módulo 3
  3. 3. Riscos de segurança Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos. Exemplos...? Nem sempre TI! Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos.
  4. 4. Exemplos de riscos de segurança Interrupção da continuidade do negócio Indisponibilidade da informação Perda da integridade dos dados Perda ou roubo de informação Perda do controle do serviço Perda de credibilidade e imagem Perda da confidencialidade de dados Etc.
  5. 5. Evitar o risco Transferir o risco (por exemplo: seguro) Reduzir as vulnerabilidades Reduzir as ameaças Reduzir os possíveis impactos Detectar eventos indesejados, reagir e recuperar Aceitar o risco (residual) Processo de tratamento do risco
  6. 6. Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu ponto de vista, para os três ativos para os quais você identificou vulnerabilidades, ameaças e probabilidades das ameaças atingirem as vulnerabilidades. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos. Exercício
  7. 7. Resposta Antivírus, desatualizado Backup inadequado Patches desatualizados Peça-chave do processo Servidor Contamina ção por vírus, ataque de hacker Roubo, divulgação Ameaças Antivírus desatualizado Backup inadequado Patches desatualizados Não há pessoal de segurança Não há critérios de contratação para o pessoal de apoio Vulnerabilidade Peça-chave do processo Acarreta dano, mas o processo pode ser executado ComentárioValor Servidor Metodologia ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição
  8. 8. Controles A segurança eficaz normalmente requer a combinação das seguintes ações: Detecção Desencorajamento Prevenção Limitação Correção Recuperação Monitoramento Conscientização
  9. 9. Controles Após a identificação dos riscos, é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável. E só então deve-se avaliar a necessidade de novos controles. A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização pode implementar, mas a organização não deve se restringir a estes. Outros controles podem ser identificados. Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A: A.11.5 – Controle de acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log on) Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão Login
  10. 10. Avaliação de risco e controles Ameaças Vulneráveis Controles Riscos Ativos Requisitos de Segurança Valor Impacto potencial no negócio Têm Por ter valor são E por isso podem ser atacados por E correm E Portanto é necessário que se defina Podendo provocar
  11. 11. Processos de avaliação e tratamento do risco Avaliação de risco Identificação e valorização dos ativos Identificação das vulnerabilidades Identificação das ameaças Avaliação de impactos que a perda de confidencialidade, integridade e disponibilidade nos ativos pode causar Análise e avaliação dos riscos Priorização dos riscos Tratamento de risco Definição do grau de garantia Revisão de controles existentes Identificação de novos controles Implementação dos novos controles Aceitação do risco residual A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de risco seja realizada para identificar ameaças aos ativos.
  12. 12. Exercício Continuando o exercício anterior onde foram identificados os riscos, para um destes ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou eliminar cada um destes riscos.
  13. 13. Resposta Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior teremos: E alguns controles possíveis serão apresentados no próximo slide. Contaminação por vírus, ataque de hacker Antivírus desatualizado Backup inadequado Patches desatualizados Peça- chave do processo Servidor Desc rição Probabil idade AmeaçasVulnerabilidadeComentári o ValorConfidenci alidade Integridad e Disponibilidad e Descrição
  14. 14. Resposta Controle Aplicação do Controle Criar procedimento automático para atualização Criar política adequada para tratar o problema Terceirizar a manutenção e atualização do sistema anti - vírus Criar procedimento de backup Controlar a disponibilidade de espaço Terceirizar procedimento de backup Criar procedimento para atualização de patches Terceirizar a informação e atualização dos softwares Adquirir software IDS Controle contra software malicioso Housekeeping Desenvolvimento e manutenção de sistema
  15. 15. O que é um sistema de gestão?
  16. 16. O que é monitorado pode ser medido, e o que é medido pode ser gerenciado. Definição de sistema de gestão Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir estes objetivos utilizando: A estrutura organizacional Processos sistemáticos e recursos associados Metodologia de medição e avaliação Processo de análise crítica para assegurar que os problemas são corrigidos e as oportunidades de melhoria são identificadas e implementadas quando necessário
  17. 17. Elementos de um sistema de gestão Política (demonstração de compromisso e princípios para ação) Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades) Implementação e operação (construção da consciência organizacional e treinamento) Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não- conformidades) Melhoria (ação preventiva e corretiva, melhoria contínua) Análise crítica pela direção
  18. 18. Normas de sistemas de gestão ISO/IEC 27001 – Segurança da Informação ISO/IEC 20000 – Gestão em TI ISO 9001 – Qualidade ISO 14001 – Ambiental OHSAS 18001 – Segurança e Saúde Ocupacional TL 9000 – Telecomunicações TS 16949 – Automotiva SAE AS 9100 – Aeroespacial ISO 22001 – Alimentos
  19. 19. Sistema de Gestão de Segurança da Informação SGSI Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação. Projeto e implementação Influenciados pelas necessidades e objetivos dos negócios, resultando em requisitos de segurança, processos utilizados, tamanho e estrutura da organização. Espera-se que o SGSI e os sistemas de apoio mudem com o tempo.
  20. 20. Fatores críticos do sucesso Comprometimento e apoio visível de todos os níveis da direção Provisão de recursos para as atividades de Gerenciamento de Segurança da Informação Divulgação, conscientização, educação e treinamento adequados Política de segurança da informação, objetivos e atividades refletindo os objetivos do negócio Bom entendimento dos requisitos de segurança da informação, avaliação de risco e gerenciamento de risco
  21. 21. Fatores críticos do sucesso Implementação, manutenção, monitoramento e melhoria da segurança da informação consistente com a cultura organizacional Estabelecer um processo eficaz de gestão de incidentes de segurança da informação Implementação de um sistema de medição que seja usado para avaliar o desempenho da Gestão de Segurança da Informação e obtenção de sugestões para melhoria
  22. 22. Exercício Indique se é verdadeiro ou falso: 1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos. 2) ( F ) Análise crítica não é um elemento de um sistema de gestão. 3) ( F ) Um SGSI não deve mudar com o tempo. 4) ( V ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001. 6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI. 7) ( V ) O SGSI é parte do sistema de gestão global da organização.
  23. 23. Resposta Indique se é verdadeiro ou falso: 1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos. 2) ( F ) Análise crítica não é um elemento de um sistema de gestão. 3) ( F ) Um SGSI não deve mudar com o tempo. 4) ( V ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001. 6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI. 7) ( V ) O SGSI é parte do sistema de gestão global da organização.
  24. 24. Conceitos Riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, Sistema de Gestão de Segurança da Informação Fim do módulo 3

×