Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Segurança da Informação - Políticas de Segurança

925 views

Published on

Gerenciando estrategicamente a segurança da informação baseado nas ISO 27000 e 27001

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Segurança da Informação - Políticas de Segurança

  1. 1. #SegurancaDaInformac ao Prof. Natanael Simões Políticas de Segurança Gerenciando estrategicamente a segurança da informação baseado na ISO 27000 e 27001 natanaelsimoes
  2. 2. O que é “política”? • Deriva do grego politeía • Indicava todos os procedimentos relativos à pólis (cidade-Estado) • Então o que é “Política de Segurança”? 2
  3. 3. O que é “Política de Segurança”? + “Política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa.” 3
  4. 4. Por que ter uma? 4
  5. 5. Qual o propósito? • Atribuir responsabilidades aos usuários, grupo e gerentes • Oferecer um ponto de partida para: – Adquirir – Configurar – Auditar 5
  6. 6. Qual o propósito? • • • • Identificar o que você está tentando proteger Determinar do que você está tentando se proteger Determinar o quanto provável são as ameaças Implementar medidas de proteção aos recursos mais importantes de maneira efetiva • Revisar o processo continuamente • Fazer melhorias quando uma vulnerabilidade é encontrada 6
  7. 7. Os envolvidos na formulação • • • • • Administradores de segurança Pessoal técnico de TI Administradores de grandes grupos de usuários Equipe de reação de incidentes de segurança Representantes de grupos de usuários 7
  8. 8. 8
  9. 9. 9
  10. 10. 10
  11. 11. Componentes da boa política • Guia de compra de tecnologia computacional Switch de camada 3 para averiguação de pacotes • Expectativas razoáveis de privacidade Monitoramento de e-mail? Log de atividades? Quem acessará o arquivo X? Quem usará a impressora Y? • Especificação de conduta para os usuários Usuário pode acessar a internet? Pode acessar outros dispositivos na rede? Pode instalar software? • Especificação de conduta no caso de incidentes Quem contatar? Que procedimento executar? • Autenticação confiável Que tipo de senha? Biometria? Reconhecimento de voz? Reconhecimento facial? Cartão magnético? 11
  12. 12. Componentes da boa política • Definição de disponibilidade de recursos Qual a frequência do Backup? Quais os horários de disponibilidade? Quais os horários de manutenção? Como relatar uma falha? • Manutenção Quem faz a manutenção? Terceirizado? Atendimento local ou remoto? Se remoto, como conectam? • Relatório de violações Que tipos de violações devem ser relatados? A quem? • Conduta quanto a informações confidenciais • Outras políticas da companhia • Leis e regulamentações governamentais 12
  13. 13. Cuidados no desenvolvimento • Revisão da política de segurança com assistência jurídica antes de cada aprovação • Criar um documento de ciência e comprometimento • Revise periodicamente a política • Escreva a política independe de arquitetura ou software específico, torne-o flexível 13

×