ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation

www.CompanyWeb.com.br
A CompanyWeb® tem 14 anos de experiência em serviços de consultoria e treinamento
em Governança e Gestão de TI (Governança de Tecnologia da Informação, Gestão por
Processos, e Engenharia de Software). Nossos principais clientes são: Petrobras, Banco
do Brasil, Ambev, Correios, JBS Friboi, Aços Villares, Serasa, Honda, Gerdau, Medley,
Yamaha, Bertin, Banco Bradesco, Tribunal Regional Eleitoral de São Paulo, Bradesco
Seguros, Coca-cola, Sabesp, Nova Schin, Novartis, Comgás, Cervejaria Petrópolis e
outros.
2

Uires Tapajós | Consultor e Professor
Uires.Tapajos@CompanyWeb.com.br | http://www.LinkedIn.com/In/Uires/
• Especialista em GRC - Governança, Risco e Conformidade;
• Possui a CGEIT (Certified in the Governance of Enterprise
Information Technology) emitida pelo ISACA e outras certificações.
Facilitador
3

Governança e Gestão da Tecnologia da Informação
Gestão de Serviços de TI (ITIL/ISO 20000)
Melhoria de Processos
Implantação de Escritório de Projetos com as melhores
práticas do PMI®
Gestão de Risco
Segurança da Informação | ISO 27001
Projetos para adoção das melhores práticas: COBIT,
ITIL, SCRUM, eSCM, PMBOK, BSC, COSO, CBOK, BABOK,
FDD, TDD, SOX, DRP (PCN)
Governança & Gestão da TI:
GRC (Governança, Risco e Compliance):
. Gestão de Risco com COSO
. Gestão de Risco de TI
. Segurança da Informação com ISO 27001
Governança e Gestão de Serviços de TI:
. Certificação ITIL / Certificação Cobit.
. ITIL/Cobit Implementation.
. Formação de Analista em Governança de TI.
BPM (Processos)
. Gestão por Processos de Negócios
. Formação Analista de Processo de Negócio
Negócios & Gestão de Pessoas:
. Estratégia e BSC
. Formação Analista de Negócio
. Liderança com foco em Resultados
. Práticas de Gestão de Projetos
Métodos Ágeis e Engenharia de Software:
. Métodos Ágeis (SCRUM e FDD)
. Qualidade e Maturidade em Desenvolvimento de Software
. Formação em Engenharia de Software
Consultoria Treinamento Solução
Consultoria Treinamento
Portfólio
4

Mais informações: http://www.companyweb.com.br/treinamento/governanca/prep-iso-27002-foundation/
Objetivo
A norma ISO/IEC 27002 é um padrão internacional para
Gestão de Segurança da Informação.
O objetivo deste treinamento é preparar os participantes para
o Exame de Certificação Information Security Foundation
based on ISO/IEC 27002 (Fundamentos da Segurança da
Informação baseada na ISO/IEC 27002).
É abordado todo o conteúdo do exame de certificação, com
exercícios e um simulado.
Curso: ISO/IEC 27002 Foundation
Conteúdo Programático (100% aderente ao Exame de Certificação: ISO/IEC 27002 Foundation)
1 Informação e Segurança (10%)
1.1 O conceito de informação (2,5%)
1.2 Valor da informação (2,5%)
1.3 Aspectos de confiabilidade (5%)
2. Ameaças e riscos (30%)
2.1 Ameaça e risco (15%)
2.2 Relacionamento entre ameaças, riscos e confiabilidade das informações. (15%)
3. Abordagem e Organização (10%)
3.1 Política de Segurança e organização de segurança (2,5%)
3.2 Componentes da organização da segurança (2,5%)
3.3 Gerenciamento de Incidentes (5%)
4. Medidas (40%)
4.1 Importância das medidas de segurança (10%)
4.2 Medidas de segurança física (10%)
4.3 Medidas de ordem técnica (10%)
4.4 Medidas organizacionais (10%)
5. Legislação e regulamentação (10%)
5.1 Legislação e regulamentos (10%)
6- Exercícios
7- Simulado
5

www.CompanyWeb.com.brFonte: http://www.slideshare.net/wbrenner/update-or-die-1129084

Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
9

Fonte: http://www.slideshare.net/wbrenner/update-or-die-1129084
11

A Informação é um bem que, à semelhança de outros
bens do negócio, tem valor para uma organização e
necessita ser convenientemente protegido.

O Bem é algo que tem valor para a organização.
Exemplos
Pessoas
Máquinas
Produtos
Edifícios
15

Impressa, escrita
em papel
Transmitida por
meios eletrônicos
Armazenada
eletronicamente
Mostrada em vídeos
Verbal
A forma da informação vai impor restrições às
medidas necessárias para sua proteção.
16

Internas
• Não pode ‘vazar’ para o mercado/público
Clientes e Fornecedores
• Não pode ‘vazar’ para o mercado/público
Parceiros
• Informações a serem compartilhadas com outros parceiros,
etc.
17

Informação
A Informação existe em várias formas.
Qualquer que seja a forma que a
Informação adote, ou o meio pela qual
é partilhada ou armazenada, deve ser
sempre devidamente protegida.

Armazenada:
• são considerados dados armazenados os que residem em notebooks, desktops e
servidores;
Em movimento
• são considerados dados em movimento os que residem em pen drives,
smartphones, CDs e e-mails;
Em uso
• são considerados dados em uso os que se encontram em estado de
processamento (sistemas de e-commerce, bancos de dados, ERPs etc.).
Outras
• Criada, Transmitida, Processada, Perdida, Destruída, Corrompida e etc.
19

Transferir e processar informações ocorre por meio de um
sistema de informação, o que não é necessariamente um
sistema de TI.
20

Classificação
Define os diferentes níveis
de sensibilidade nos quais
as diversass informações
podem ser estruturadas.
Grau (grading): é o ato de definir uma
classficação. Níveis de sensibilidade
colocados na marca ou etiqueta de um
documento: Secreto,
Confidencial ou Público
As etiquetas de
classificação podem
ser colocadas
fisicamente e de
forma visível
Designação
É uma forma especial de
categorizar uma informação.
De acordo com determinado
assunto ou organização ou
grupo de pessoas autorizadas.
Proprietário
(dono)
O dono da
informação/documento
é responsável pela sua
classificação.
É a pessoa que tem a
responsabiliade sobre
determinada
informação.
Determina quem tem
acesso a
determinados ativos
do negócio.
26
 O termo 'proprietário' identifica
uma pessoa ou organismo que
tenha uma responsabilidade
autorizada para controlar a
produção, o desenvolvimento, a
manutenção, o uso e a segurança
dos ativos.
 O termo 'proprietário' não significa
que a pessoa realmente tenha
qualquer direito de propriedade ao
ativo.

www.CompanyWeb.com.br 31
Vídeo: http://www.youtube.com/watch?v=_3zgNMr_8zcFoto: Empire State Building
Quais são os Tipos de Ameaças?

SGSI - Sistema de Gestão da Segurança Informação
 É uma parte do sistema global de gestão, baseado numa abordagem de
risco que permite definir implementar abordagem de risco, que permite
definir, implementar, operacionalizar, monitorizar, manter e melhorar a
segurança da Informação segundo a norma.
35

Controle
forma de gerenciar o risco, incluindo políticas,
procedimentos, diretrizes, práticas ou estruturas
organizacionais, que podem ser de natureza administrativa,
técnica, de gestão ou contramedida.
Política
intenções e diretrizes globais formalmente expressas pela
direção.
Cada categoria principal da Segurança da informação
contém:
36

ISO 27001 | Controle
- definição do controle.
ISO 27002 | Diretrizes para a implementação
- informações mais detalhadas.
37

ISO 27001
Objetivos de Controle e Controles
38

ISO 27001
Objetivos de Controle e Controles
EXEMPLO
41

ISO 27002
Diretrizes para a implementação
EXEMPLO
42

Deve-se:
 Definir um plano de
tratamentos de risco que
identifique as atividades de gestão
apropriadas, recursos,
responsabilidades e prioridades para
gerir os riscos à segurança da
Informação.
 Definir como medir a eficácia dos
controles
 Implementar programas de formação
e sensibilização
 Implementar procedimentos e outros
controles capazes de detectarem e
responderem a potenciais incidentes
na segurança
43

declaração de aplicabilidade
declaração documentada que descreve os objetivos
de controle e controles que são pertinentes e
aplicáveis ao SGSI da organização.
45

1. Estabelecer o SGSI
Estabelecer política
de segurança,
objetivos, metas,
processos e
procedimentos
relevantes para a
gestão de risco e
segurança da
informação para
melhorar os
resultados de acordo
com as políticas
globais de uma
organização e seus
objetivos.
2. Implementar e operar o SGSI
Implementar e operar a política de segurança,
controles, processos e procedimentos.
3. Acompanhar e analisar o SGSI
Avaliar e, quando aplicável, medir o desempenho do processo
contra a política de segurança, objetivos e experiências práticas
e relatar os resultados da gestão para a revisão.
4. Manter e melhorar o SGSI
Tomar ações corretivas e preventivas, com base nos resultados da análise da gestão, para
alcançar a melhoria contínua do SGSI.
47

PLAN - Planejar
•Definição dos objetivos, metas, processos,
procedimentos
•Estabelecer política de segurança
DO - Implementar e operar o
SGSI
•Implementar política de segurança
•Operar a política de segurança
•Operar, controles, processos e procedimentos.
CHECK - Acompanhar e analisar o SGSI
• Avaliar
• Medir o desempenho do processo
• Relatar os resultados da gestão para a revisão
ACT - Manter e melhorar o SGSI
• Tomar ações corretivas
• Tomar ações preventivas
48

A política de segurança é um conjunto de normas e
diretrizes destinadas a proteção dos ativos da
Organização;
Prover à administração uma direção para Segurança
da Informação;
Convém que a Política seja clara, flexível e
aprovada pela administração, publicada e
comunicada, de forma oficial, para todos os
funcionários e partes externa Relevantes;
Definições das responsabilidades na gestão de
segurança.
50

Levantamento de
Informações
Fase I
Desenvolvimento
do Conteúdo da
Política e Normas
de Segurança
Fase II
Elaboração dos
procedimentos
de Segurança da
Informação
Fase III
Revisão,
aprovação e
implementação
das Políticas,
Normas e
procedimentos
de Segurança da
Informação
Fase IV
1. http://www.teamproject.com.br/tp2/projects/iso/wiki/Etapas_para_o_Desenvolvimento_de_uma_Pol%C3%ADtica
2. Faça seu cadastro (link ‘cadastra-se’ no lado direito superior da tela)
3. Acesse projeto: ISO 27001
4. Acesse o link wiki, conforme abaixo:
52

Segurança
da
Informação
Realizando a
Segurança da
Informação
53

Política,
organização,
avaliação de
riscos, declaração
de aplicabilidade
Descrevi o processo -
quem, o quê, quando
e onde
Descreve as tarefas e atividades
especificas
Fornece evidência objetivas de conformidade
para os requisitos SGSI
54

1995
• BS 7799
Parte 1
1998
• BS 7799
Parte 2
1999
• Nova
edição da
BS 7799
Parte 1 e
2
2000
• ISO
17799:2000
2001
•NBR
ISO/IEC
17799
2002
•Nova
edição BS
7799-2
2005
•Nova
edição NBR
ISO/IEC
17799
(Agosto)
•Publicada
ISO 27001
2006
•Publicada
NBR
ISO/IEC
27001
2007
• Alterado
apenas o
nome da
norma
NBR
ISO/IEC
17799
para NBR
ISO/IEC
27002
55

O que é a segurança da Informação?
É a preservação da
Confidencialidade,
Integridade e Disponibilidade
da informação.
59

CID
 Requisitos de Qualidade
 Requisitos de Segurança
60

 Proteção das informações sensíveis a divulgação;
 É o grau no qual o acesso a informação é RESTRITO a um grupo definido de pessoas
autorizadas a terem este acesso;
 Inclui medidas de proteção a privacidade.
61
 Ações são tomadas para
garantir que a informação
não é encontrada por
aqueles que dela não
necessitam;
 Gestão de Acesso lógico
garante que pessoas não
autorizadas não tenham
acesso aos sistemas
automatizados/banco de
dados;
 Segregação de ambientes
(desenvolvimento/teste/ac
eitação/produção);
 Processos onde dados são
utilizados, medidas são
tomadas para garantir a
privacidade das pessoas e
terceiros.

Integridade
É o grau no qual a informação está atualizada e sem erros.
Exatidão (informação correta) e Completude (informação está inteira).
63
 Controle de mudança dos
dados (somente com
autorização);
 „Log‟ dos registros/trilha de
auditoria (determina quem
alterou);
 Integridade referencial no
banco de dados (recursos de
TI);
 Institucionalizar o processo
Gestão de Mudança;
 Criptografia (evitar a acesso a
informação/garantir a
proteção)

Disponibilidade
É o grau no qual a informação está disponível para o usuário e para o sistema
de informação que está em operação no momento que a organização precisa
dele.
64
 Pontualidade (quando necessário);
 Continuidade (após falha);
 Robustez (capacidade suficiente).
Ações:
Gestão e Armazenamento de Dados;
Procedimento bkp/restore;
Procedimento de emergência

Riscos
Grau de
proteção
A implementação de segurança tem que ser um compromisso entre o risco, o
grau de proteção desejado e o custo do mecanismo de controle.
68

Desmotivadas
Descontentes
‘Terroristas’
Aumento de
Demanda
Sem politica de
Segurança
Inexistência de
Planos de
Recuperação a
desastres
Não atualizada
Muitas
vulnerabilidades
Desastres
naturais
‘Tudo é incerto’
69

Disponibilidade
Confidencialidade
Integridade
Segurança
Segurança
Segurança
Segurança
 Fatores/situações que podem levar a um dano ou perda de informação.
Risco: É a chance de que uma ameaça irá de fato ocorrer e
suas consequências.
 um possível evento que possa comprometer a confiabilidade da
informação
73
Risco: Essa palavra vem do
Francês RISQUE, do
Italiano RISCO ou
RISCHIO, “o perigo ligado a
um atividade”, do
Latim RISICUM, às vezes
tida como “escolho que
pode quebrar o casco de
uma embarcação”.

Natural
•incêndio
•Inudação
Pessoas
•Fraude
•Funcionário divulgar
informação sigilosa
Tecnologia
Hacker acessar
informações da
instituição
(se for grande falha: Desastre)
74

São fraquezas
associadas aos Ativos
da organização.
75

www.CompanyWeb.com.br 76
Falta de
monitora
mento da
infra-
estrutura
Falta de
backup
Energia
elétrica
instável
Falta de
segurança
física e
lógica
exemplos

É o potencial que uma dada ameaça irá explorar
vulnerabilidades para causar perda ou dano a um Ativo
ou grupo de Ativos.
Interrupção da continuidade do negócio; perda da integridade dos dados; falha nos
procedimentos de backup/restore
Os riscos podem ser técnicos, de equipamentos, de pessoas e de procedimentos
81

83
Análise de Riscos
• 1) Identificar Ativos e seus valores
• 2) Determinar Ameaças e Vulnerabilidades
• 3) Determinar os Riscos e as Ameaças que
podem realmente causar danos
• 4) Determinar o equilíbrio entre Custos de um
Incidente e Custos das Medidas de Segurança

Impacto: Resultado ou efeito decorrente da
materialização do Risco.
Limitações: Julgamento Humano, Conluio, Futuro é incerto.
85

Responsáveis
 Information Security Officer (ISO)
 Chief Information Security Officer (CISO)
É o processo contínuo
que identifica,
examina e reduz os
riscos a um nível
aceitável.
86

• Reduz a ameaça antes de ela se manifestar
Redutiva
• Torna a ameaça impossível antes de ela se manifestar
Preventiva
• Garante que cada incidente possa ser detectado o mais rápido possível e
que todo mundo seja informado do está acontecendo
Detectiva
• Para minimizar as consequências de um incidente após ele ocorrer
Repressiva
• Recuperar algo após um incidente ter ocorrido
Recuperação/Corretiva
88

Ameaça
Prevenção
Garantia Aceitação
Incidente
Fonte: The Basics of Information Security - A Practical Handbook. ISBN/EAN:
978-90-813341-1-2
Para eventos que não tem prevenção total e para os quais as
consequêncais não são aceitáveis, deve-se procurar métodos que
reduzam as consequências. Ex.: Seguro contra fogo e contra as
consequêncais do fogo.
Quando as medidas necessários são
conhecidas, mas decide-se aceitar o risco
porque o custo para implantação da medida
não é aceitável ou porque não há medidas
possíveis.
89

 infra-estrutura (TI e não TI), natural (desastre
natural)
 com ou sem engenharia social
 hacker, ex-funcionário, funcionário
90

Dano Direto
Dano Indireto
Expectativa de Perda Anual
Expectativa de Perda Única
91
Roubo, furto
ex.: causados por uso
inadequado de
extintores de
incêndio.
Por evento.
91

Aceitar (Risk Bearing)
• A organização vai optar por medidas de segurança
repressivas.
Neutralizar/Reduzir (Risk neutral)
• Combinação de medidas preventivas, detectivas
e repressivas.
Evitar (Risk Avoiding)
• ex.: não usar uma nova tecnologia; Não fazer um upgrade.
92

A retenção do risco talvez seja o método mais comum de se lidar com
riscos.
Organizações, assim como indivíduos, encaram diariamente um
número quase ilimitado de riscos e, por muitas vezes nada é feito
sobre eles. Quando nenhuma ação positiva é tomada no sentido de
evitar, reduzir, ou transferir o risco, este é retido ou assumido pela
pessoa ou organização que se encontra nessa situação.
A retenção de risco pode ser consciente ou inconsciente. Uma pessoa
retém riscos conscientemente quando sabe de sua existência,
deliberadamente, não toma nenhuma atitude sobre ele. Quando não
é reconhecido, o risco é assumido inconscientemente.
A retenção de riscos é um método legítimo de se lidar com riscos; em
muitos casos, é a melhor maneira. Toda organização deve decidir
quais riscos deve assumir e quais deve evitar. Como regra geral, os
riscos a serem retidos, devem ser aqueles que apresentam alguma
possibilidade de ganho ou, ao menos, pequenas probabilidades de
perda.

Você está preparado para o próximo Incidente
de Segurança?
98
 Documento
confidencial sem
proteção
 Informações sobre
cliente e funcionário
foi 'liberado' na
internet sem controle
 Violação no data
center
 Invasões de hacker
 Arquivos ‘perdidos’

 Os funcionários devem reportar os
incidentes o mais rápido possível.
 Normalmente via helpdesk/service desk.
 Processo para resolver incidentes o mais
rápido possível.
100
1. Data/hora
2. Nome da pessoa que
está abrindo o incidente
3. Local
4. Descrição
5. Consequências
6. Tipo de sistema
(servidor, desktop,
email e etc)
7. Número/nome do
sistema

Funcional: Transfere um incidente ou um problema para uma equipe técnica
com nível mais especializado. Exemplo: Segundo nível, Terceiro nível, etc.
Hierárquica: Informa ou envolve níveis mais qualificados e com maior
autoridade no gerenciamento para assessorar em uma Escalação
101

Reduz o impacto ou probabilidade de uma ameaça antes
dela gerar um incidente
Redutivas
Aplicadas antes da ameaça levar a um incidente
Preventivas
Detectar a ocorrência de um incidente
Detectivas
Para responder a um incidente a fim de conter o estrago
da ameaça (usar o extintor de incêndio, por exemplo)
Repressiva
Reparar o que foi danificado (restaurar o backup, por
exemplo)
Corretiva
104

1 – Ameaça 2 - Incidente 3 - Dano 4 - Recuperação
Medidas:
Prevenir (medidas preventivas), reduzir as ameaças (medidas redutivas), responder aos incidentes, parar ameaças
(medidas repressivas) e corrigir dos danos (medidas corretivas).
105

•Desenvolve a estratégia geral de segurança para a
empresa inteira
•Superintendente de Segurança da Informação
Chief Information Security
Officer (CISO)
•Desenvolve uma política para uma unidade de negócio
com base na política da empresa
•Diretor de Segurança da Informação
Information Security Officer
(ISO)
•Desenvolve uma política de segurança da informação
para a área de TI
•Gerente de Segurança da Informação
Information Security Manager
(ISM)
•Responsável pela Proteção dos DadosData Protection Officer
106

• Inclui cuidados para não haver interferências
Medidas para cabeamento
• Anel externo | Proteção em torno do prédio
da empresa
• Edíficio/prédio | salas especiais (sala de
servidores)
• Espaço de trabalho (algumas áreas da empresa
podem não estar acessíveis a todos, como RH)
• Objeto | Refere-se a parte mais sensível que
precisa ser protegida (armários/cofre)
Medidas para anéis de proteção
• Uso de sensores
Alarmes
Medidas para Mídias de armazenamento
109

Ativo
Área de trabalho
Prédios
Anel externo
As medidas de segurança não devem ser iniciadas nas
estações ou locais de trabalho, mas fora da empresa. O
acesso aos ativos da empresa deve ser difícil ou impossível,
deve-se pensar em termos de uma série de perímetros:
110

Inclui cuidados com manuseio de pen-drives,
smartphones, cartões de memória, laptops, que
armazenam informações sensíveis
111

1) Gerenciamento de acesso lógico;
2) Requisitos de segurança para os sistemas;
3) Criptografia.
112

• A política de controle de acesso é determinada pelo proprietário (owner) do recurso.
Controle de acesso discricionário (DAC)
• A política de acesso é determinada pelo sistema e não pelo proprietário do recurso.
Controle de acesso mandatório (MAC)
• Na concessão de acesso fazemos distinção entre as palavras identificação,
autenticação e autorização.
• Identificação | Pessoa ou sistema apresenta o token (pode ser uma chave, usuário ou
senha)
• Autenticação | Sistema determina se o token é autêntico e quais recursos o usuário
pode acessar
• Autorização | Aloca o direito de acesso
Passos para conceder o acesso
113

A informação é codificada para não ser lida por pessoas não autorizadas
•Existe um algoritmo e uma chave secreta que o remetente e destinário compartilham. É mais
vulnerável.
Simétrica
•Diferentes chaves são usadas para criptograr e descriptografar. Assinaturas digitais são criadas
usando este tipo.
Assimétrica
•Através de acordos, procedimentos e estrutura de organização, ela garante quais pessoas ou
sistemas pertencem a uma chave pública. É frequentemente gerenciada por uma autoridade
independente.
Infraestrutura de Chave Pública (PKI – Public Key Infrastructure)
•A mensagem é convertida em um valor numérico e não pode ser descriptografada. Usando um
algoritmo conhecido, o destinatário pode checar se a mensagem tem o valor correto. Neste caso, é
verificado se dois valores hash combinam.
Criptografia de mão única
115

Diz respeito ao trabalho dos funcionários na
organização, políticas, plano de continuidade,
sistema de gestão da segurança da informação.
Sistema de Gestão da Segurança da
Informação (SGSI)
Política de Segurança da Informação
Pessoal
Gerenciamento da Continuidade do
Negócio
Gerenciamento de Comunicações e Processos
Operacionais
116

Sistema de Gestão da Segurança da Informação (SGSI)
•A ISO 27001 ajuda a definir uma estrutura para SGSI
•Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
•Baseado no ciclo PDCA
•Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos
•Existe para preservar a confidencialidade, integridade e disponibilidade
Política de Segurança da Informação
• Documento importante do SGSI
• Serve para a gerência fornecer direção e suporte à organização
• Deve ser divulgada para todos na organização
• Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada
• Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos
Pessoal
• Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
• Pessoal precisa seguir o código de conduta
• Novos funcionários precisam pessar por uma checagem de ficha limpa
• Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade
• Visitantes precisam passar por um controle de acesso
117

http://www.youtube.com/watch?v=vkMIMdeuOFQ&feature=related
Visa garantir a continuidade das operações após um
desastre (enchentes, terremotos, ataques terroristas, etc).
118

• A teoria darwiniana está sempre presente nas estatísticas.
• São as empresas mais aptas que sobrevivem e não as mais fortes
 2 em cada 5 empresas que sofrem interrupção por uma semana fecham as portas em menos de 3 anos.
Fonte: Disaster Recovery Institute (DRI)
119

Gerenciamento da Continuidade do Negócio
• Envolve manter disponibilidade dos sistemas de informação
no momento em que eles são requeridos após um desastre
Continuidade
• Incidente de grande impacto
Desastre
• Estabelece qual a continuidade dos processos de negócio que
será garantida
Plano de Continuidade de Negócios (PCN)
• Como se recuperar do desastre, como: Espaços de trabalho
alternativos; Data center redundante; Hot site sob demanda
Plano de Recuperação de Desastre
121

 Documentar procedimentos de operação dos equipamentos e quem são os responsáveis.
• A segregação de funções ajuda
a estabelecer quem faz o quê; Testes e aceites antes de entrar em
produção.
As mudanças nos sistemas precisam ser gerenciadas
• Separar as funções e responsabilidades de cada um
Segregação de Funções
• Documentar requisitos que precisam ser atendidos; Estabelecer
contratos/ acordos SLA.
Terceirização
Proteção contra malware, phishing e spam
• Estabelecer orientações para como manusear mídias a fim de evitar
que informações valiosas caiam nas mãos de pessoas erradas; Política
mesa limpa deve sempre ser empregada.
Manuseio de mídias
122 122

Termo genérico para software malicioso; Pode ser um vírus, worm, trojan ou sypwareMalware
Uma forma de fraude na internet na qual a vítima recebe um e-mail pedindo para ela fazer
alguma coisa ou confirmar dados confidenciais (dados bancários, por exemplo)Phishing
Nome do coletivo de mensagens indesejáveisSpam
Pequeno programa de computador que se replica; Tem natureza destrutiva.Vírus
Pequeno programa de computador que se replica; Não depende da ação do usuário para
se espalhar pela redeWorm
É um programa que conduz atividades secundárias não percebidas pelo usuário; Usado
frequentemente para coletar informações confidenciais do sistema infectadoTrojan
Histórias falsas recebidas. Mensagem que tenta convencer o leitor da sua veracidade e
então persuadí-lo a fazer alguma açãoHoax
Pedaço de código deixado dentro de um sistemaLogic bomb
Programa de computador que coleta informação de um computador e envia para um
terceiroSypware
Uma rede de computadores utilizando software de computação distribuída.Botnet
Conjunto de ferramentas de softwares utilizado por um hackerRootkit 123

1. ISO 27002:2005
2. Conformidade
3. Propriedade intelectual
4. Proteção de dados pessoais
5. Prevenção de abuso das facilidades de TI
6. Responsabilidade
7. Lei Sarbanes-Oxley
124

• É um código de boas práticas para a segurança da informação; Há práticas que ajudam a atender a leis e regulamentos
ISO 27002:2005
• Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da
empresa;
• A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos
• Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática
Conformidade
• Precisam ser considerados quando a empresa usa software ou material sujeito à tal. Deve haver orientações internas para
proteger estes direitos
Propriedade intelectual
• Independente de obrigação regulatória, as empresas precisam se preocupar
Proteção de dados pessoais
• Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados
• Estabelecer código de conduta
Prevenção de abuso das facilidades de TI
• A alta gerência é a responsável final pelo cumprimento de leis e regulamentos
Responsabilidade
• Aplica-se a todas empresas que negociam ações nas bolsas de valores americanas
Lei Sarbanes-Oxley
125

contato@CompanyWeb.com.br
11 3532-1076
twitter.com/companyweb
slideshare.net/companyweb
facebook.com/companyweb
Vídeos: Gestão & Governança
http://bit.ly/eMR2Vt
126

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation

Similar to ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation (20)

More from CompanyWeb

More from CompanyWeb (20)

ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation