Gestao da politica de segurança e operação da informacao

2,339 views
2,167 views

Published on

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,339
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
90
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Gestao da politica de segurança e operação da informacao

  1. 1. Gestão da Política de Segurança e Operação da Informação Industry 2008/04/09 [email_address] As figuras da apresentação foram obtidas em www.images.com e são utilizadas exclusivamente para fins académicos. Esta apresentação foi optimizada para fontes Courier new e consola Master Course "IT Governance” Securing
  2. 2. Industry De que t rata o problema? ? <ul><li>Segurança Informação </li></ul><ul><li>gestão </li></ul><ul><li>privacidade </li></ul><ul><li>cultura </li></ul><ul><li>integridade </li></ul><ul><li>incidentes </li></ul><ul><li>confidential </li></ul><ul><li>propriedade </li></ul><ul><li>intelectual </li></ul>X <ul><li>Segurança </li></ul><ul><li>Tecnologias </li></ul><ul><li>anti-virus </li></ul><ul><li>intrusão </li></ul><ul><li>detecção </li></ul><ul><li>encriptação </li></ul><ul><li>hardening </li></ul><ul><li>firewall </li></ul><ul><li>certificados </li></ul><ul><li>vigilância </li></ul>nota: A segurança da informação é um problema de gestão e não de tecnologia Securing
  3. 3. Securing Industry nota: resultados retirados factos, observações e casos de estudo (entidades, empresas, academias) que retratam o estado das TI nos hospitais em Portugal (2007) De que t rata o problema? Estado de “sítio” hospitais backups gestão de assets gestão risco plano continuidade negócio workflow electronic & hardcopy ? ? ? ? ? ? definição zonas críticas protecção incêndios aspectos legais auditoria gestão de incidências ? ? ? ? ? ? gestão pessoas gestão serviços (ITIL) controlo de acessos identificação informação gestão identidades ? ? ? ? ? ? … políticas hardening plano disaster recover conformidades credenciais SGRH ? ? ? ? ? ? ? ? políticas TI reduzido controlo Outsourcing comité segurança procedimentos ? ? ? ?
  4. 4. Industry Quais as orientações? Segurança: Prioridade do Governo hint: qualquer medida a iniciar já vai tarde! Compete à gestão TI local dos hospitais darem os primeiros passos… ? Não está clara a posição. Contudo, a prioridade parece ser a agilização de serviços Securing
  5. 5. <ul><li>(In)Segurança actualmente </li></ul><ul><li>aumento da exposição ao risco </li></ul><ul><li>complexidade dos riscos </li></ul><ul><li>complexidade na protecção riscos </li></ul>Como prot eger a informação? Significa que os mecanismos de protecção não são suficientes. i)é preciso vigiar os riscos ii)e melhorar mecanismos de protecção hint: É necessário gerir a segurança! Industry Securing
  6. 6. hint: procurar uma certificação é uma boa opção pois dá visibilidade que sustenta o investimento Industry Como geri r a segurança? <ul><li>Quais as melhores práticas para implementar a gestão da segurança? </li></ul><ul><li>Qual o melhor processo de avaliação de riscos? </li></ul><ul><li>Quais as melhores práticas de protecção? </li></ul><ul><li>Quais as formas de comparar com o melhor da indústria? </li></ul><ul><li>Metodologia a utilizar </li></ul>Securing
  7. 7. ? Industry Procurar a certificação Segurança Sistemas: ISO/IEC 15408: internacional standard for computer security, FIPS Federal Information Processing Standard 140-2, Common Criteria nota: são normas que complementam aos requisitos de segurança de ISO 20000, COBIT, HIPAA, outras.. Gestão Segurança: ISO/IEC 27001:2005, requisitos de gestão de segurança da informação. Securing
  8. 8. nota: para simplificação é comum utilizar-se nomeações ISO27001 & ISO17799 Industry Origem da Certificação 1995: publicado BS 17799 parte 1 1998: publicado BS 17799 parte 2 1993: especialistas britânicos implementaram um “código de boas práticas” 2000: BS17799 parte 1-> ISO/IEC 17799:2000 2005: BS27001 parte 2-> ISO/IEC 27001:2005 2007: ISO/IEC 17799:2000->ISO/IEC 27002:2007 Securing
  9. 9. Industry Origem da Certificação Requisitos e Boas Práticas para a Gestão da Segurança da Informação Sistema de Gestão ISO 27001: Como implementar um mecanismo de análise de riscos e um sistema de controlo que proteja a informação dos riscos Boas práticas ISO 17799: Código de boas práticas de segurança da informação com 136 controlos Securing
  10. 10. nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos Industry Origem da Certificação Securing
  11. 11. Industry Origem da Certificação Certificados ISO 27001 emitidos . . . . . . nota: Dados recolhidos em http://www.iso27001certificates.com a 4 SET 2007, direitos reservados, ISMS International User Group Securing País Total Japan 2280 UK 352 India 305 Taiwan 128 Germany 73 China 67 Hungary 58 Korea 50 Australia 53 USA 52 Italy 44 Netherlands 31 Hong Kong 30 Singapore 28 Czech Republic 26 Malaysia 20 Brazil, Ireland 17 Poland 16 Austria 15 Finland, Norway 14 Mexico, Switzerland, Turkey 12 Spain 11 Philippines, Saudi Arabia 9 Sweden, UAE, 8 Iceland 7 Kuwait, Russian Federation 6 Greece 5 Bahrain, Canada, Indonesia, Pakistan, Slovenia, Thailand 4 Argentina, France, Isle of Man, Macau, Romania, 3 Belgium, Colombia, Croatia, Denmark, Lithuania, Oman, Qatar, Slovak Republic, South Africa, Sri Lanka 2 Armenia, Bulgaria, Egypt, Gibraltar, Lebanon, Luxemburg, Macedónia, Moldova, Morocco, New Zealand, Peru, Ukraine, Uruguay, Vietnam, Yugoslavia, Portugal 1 Absolute Total 3890
  12. 12. Industry Sistema d e Boas Práticas nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização Código de Boas Práticas ISO 17799 Controlos de segurança da informação ( 11 areas ) Securing 1 Política de Segurança da Informação ISO/IEC-17799:2000 2 Organização da Segurança da Informação ISO/IEC-17799:2000 3 Gestão de Recursos (classificação de assets ) ISO/IEC-17799:2000 4 Gestão de Recursos Humanos ISO/IEC-17799:2000 5 Gestão da segurança física e ambiental ISO/IEC-17799:2000 6 Gestão das Comunicações e Operações ISO/IEC-17799:2000 7 Controlo de acessos ISO/IEC-17799:2000 8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000 9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005 10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000
  13. 13. Industry Sistema d e Boas Práticas 1 - Política de segurança da informação <ul><li>Definição da segurança da informação aprovada pela administração (objectos, abrangência e importância) </li></ul><ul><li>Explicação dos príncipios, normas e conformidades de relevo </li></ul><ul><li>Referências a documentos ou processos externos </li></ul><ul><li>Comunicação a TODA a organização e responsabilização </li></ul>Securing
  14. 14. Industry Sistema d e Boas Práticas 2 - Organização da Segurança <ul><li>Coordenação da segurança (forum) </li></ul><ul><li>Alocação das responsabilidades </li></ul><ul><li>Classificação da informação </li></ul><ul><li>Acordos confidencialidade </li></ul><ul><li>Revisão da segurança (entidade isenta) </li></ul><ul><li>Identificação dos riscos externos </li></ul><ul><li>Acordos com partes terceiras </li></ul><ul><li>Segurança na relação com os utentes </li></ul>Securing
  15. 15. Industry Sistema d e Boas Práticas nota: assets são todos aqueles que pela sua ausência ou degradação podem ter impacto na entrega de produtos ou serviços na organização ou causar danos com a perda da confidencialidade ou integridade 3 - Classificação e controlo de recursos ( hardware , software , informação, pessoas) <ul><li>Inventário de recursos (informação electrónica, papel, registos video, som, software, físicos, elementos humanos, serviços contratados, etc..) </li></ul><ul><li>Responsabilidade pelos recursos ( elemento humano é o elo mais fraco) </li></ul><ul><li>Classificação de recursos (regras, etiquetagem, manuseamento) </li></ul>Securing
  16. 16. Industry Sistema d e Boas Práticas Nota: A engenharia social é a forma mais comum de ataque por este activo. Processo de mudar o comportamento das pessoas 4 – Gestão de recursos humanos <ul><li>Verificação de credenciais (habilitações, curriculo, competências, acordos confidencialidade, etc.) </li></ul><ul><li>Termos e condições de trabalho (responsabilidades, formação, educação,etc.) </li></ul><ul><li>Término das responsabilidades (devolução de recursos e dos direitos de acesso) </li></ul><ul><li>Processos disciplinares </li></ul>Securing
  17. 17. Industry Sistema d e Boas Práticas 5 - Segurança física e ambiental <ul><li>Perímetro da segurança </li></ul><ul><li>controlos de entrada e saída </li></ul><ul><li>Protecção contra ameaças externas e ambiente </li></ul><ul><li>Manutenção, protecção e acondicionamento dos equipamentos </li></ul><ul><li>Areas de acesso público, cargas e descargas </li></ul><ul><li>Segurança da cablagem </li></ul><ul><li>Destruição e re-utilização segura do equipamento </li></ul>Securing
  18. 18. Industry Sistema d e Boas Práticas 6 - Gestão das operações e comunicações <ul><li>Capacidade de aceitação de sistemas </li></ul><ul><li>Protecção contra código malicioso </li></ul><ul><li>Monitorização e revisão serviço terceiros </li></ul><ul><li>Gestão das operações em redes e transmissões </li></ul><ul><li>Salvaguarda da informação ( backups ) </li></ul><ul><li>Políticas e procedimentos escritos e aprovados para troca/partilha de informação </li></ul><ul><li>Messaging, meios fisicos em transito, etc.. </li></ul>Securing
  19. 19. Industry Sistema d e Boas Práticas 7 - Controlo de acesso lógico <ul><li>Políticas e regras para controlo de acesso (previlégios minimos, separação das responsabilidades) </li></ul><ul><li>Responsabilidade dos utilizadores </li></ul><ul><li>Gestão dos utilizadores </li></ul><ul><li>Controlo acesso (rede, S.O., aplicações) </li></ul><ul><li>Monitorização de acessos e utilização </li></ul><ul><li>Clear Desk e Clear Screen (hardening) </li></ul><ul><li>Computação móvel e ligações remotas </li></ul>Securing
  20. 20. Industry Sistema d e Boas Práticas 8 - Aquisição, desenvolvimento e manutenção de Sistemas de Informação <ul><li>Vulnerabilidades na aquisição de sistemas (especificação de requisitos) </li></ul><ul><li>Controlos criptográficos </li></ul><ul><li>Segurança de ficheiros de sistema </li></ul><ul><li>Restrições a impor ao desenvolvimento e manutenção de software em outsourcing </li></ul><ul><li>Por vezes a utilização de códigos abertos pode criar vulnerabilidades </li></ul>Securing
  21. 21. Industry Sistema d e Boas Práticas 9 - Gestão de incidentes de segurança da informação <ul><li>Comunicação de eventos de segurança da informação </li></ul><ul><li>Comunicação de falhas de segurança </li></ul><ul><li>Registos de incidentes de segurança </li></ul><ul><li>Responsabilidades e procedimentos </li></ul><ul><li>Colecção de evidências para melhorar </li></ul><ul><li>Monitorização e reavaliar os controlos </li></ul>Securing
  22. 22. Industry Sistema d e Boas Práticas nota: É neste capítulo que cabe por exemplo as práticas de disaster recovery 10 - Gestão da continuidade de negócio (PCN) <ul><li>Deve ser elaborado um plano (política) para salvaguardar que o negócio da instituição não é interrompido por incidentes de segurança </li></ul><ul><li>Iniciação e gestão projecto </li></ul><ul><li>Análise de impacto para o negócio </li></ul><ul><li>Estratégias de recuperação </li></ul><ul><li>Elaboração de planos </li></ul><ul><li>Testes, manutenção e formação </li></ul>Securing
  23. 23. Industry Sistema d e Boas Práticas 11 – Conformidades com aspectos legais <ul><li>Legislação aplicável </li></ul><ul><li>Direitos de propriedade intelectual </li></ul><ul><li>Protecção e arquivo de registos da organização (virus, erro humano, ataques, violação acessos, desastres, anomalias hardware, software, etc..) </li></ul><ul><li>Protecção dos dados e privacidade de informação pessoal </li></ul><ul><li>Conformidade com políticas e normas </li></ul><ul><li>Regulamentos e auditorias </li></ul>Securing
  24. 24. Industry Adopção do ISO 17799 Securing
  25. 25. Industry “ Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no tempo” Sistema d e Boas Práticas Visão adaptada do ISO/IEC-17799 para a Saúde (futuro ISO/IEC 27799) Securing
  26. 26. Industry nota: sem comentários Securing
  27. 27. Industry Apoio às Boas Práticas Método para desenvolvimento de um relatório de avaliação inicial Resposta a um framework ( Gap Analysis ) <ul><li>Saber em que estágio se encontra o hospital em matéria de segurança da informação </li></ul><ul><li>Reconhecer algumas das vulnerabilidades, ameaças e riscos mais relevantes; </li></ul><ul><li>Delinear um “ road map ” que poderia ser estabelecido para um projecto de certificação </li></ul><ul><li>Determinar que recursos e que “ Project Plan ” consegue ter associados </li></ul>Securing
  28. 28. Industry Apoio às Boas Práticas <ul><li>Avaliação inicial de dados e documentos </li></ul><ul><li>Auditoria preliminar às infra-estruturas </li></ul><ul><li>Analise de documentação da organização </li></ul><ul><li>Entrevistas a elementos da organização </li></ul><ul><li>Mapeamento de confrontação com os 11 controlos da norma </li></ul><ul><li>Análise final e geração de relatórios </li></ul>Actividades a desenvolver durante a Gap Analysis Securing
  29. 29. Industry Conclusõ es <ul><li>Não é possível manter a segurança sem planear a sua gestão </li></ul><ul><li>Mesmo que os organismos iniciem hoje a implementar políticas já vão muito tarde </li></ul><ul><li>Não existe “ such thing ” segurança total </li></ul><ul><li>Implementar os controlos ISO 17799 permite minimizar riscos </li></ul><ul><li>Só o ISO 27001 permite certificar a gestão da segurança </li></ul><ul><li>Implementar a norma exige grandes mudanças estruturais no âmbito das tecnologias e dos comportamentos. </li></ul><ul><li>Tem custos de investimentos elevados mas com retorno visível </li></ul>nota: no futuro a Norma terá caracter “obrigatório” de modo a sustentar o negócio Securing

×