SlideShare ist ein Scribd-Unternehmen logo

ISO 27001

J
jcfarit

MOD 2 SGSI

Bildung
1 von 23
Downloaden Sie, um offline zu lesen
Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
Conceitos Informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade Módulo 2 Termos
O que é informação? “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente necessita ser adequadamente protegido.”
Tipos de informação Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou por meios eletrônicos Mostrada em vídeos Verbal – falada em conversações “Não importa a forma que a informação toma, ou os meios pelos quais ela é compartilhada ou armazenada. Ela deve sempre ser apropriadamente protegida.”
Tipos de informação a serem protegidas Internas da companhia Informação que você não gostaria que a concorrência soubesse De clientes e fornecedores Informação que eles não gostariam que você divulgasse De parceiros Informação que necessita ser compartilhada com outros parceiros comerciais Digite a sua senha
A Informação pode ser: Criada Transmitida Processada Usada Armazenada Corrompida Perdida Destruída
Conceitos – O que é Segurança da Informação A ISO/IEC 17799:2005 define: Segurança da Informação - é a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.
Exemplos de ameaças à informação Funcionários descontentes ou desmotivados Baixa conscientização nos assuntos de segurança Crescimento do processamento distribuído e das relações entre profissionais e empresas Aumento da complexidade e eficácia das ferramentas de hacking e dos vírus E-mail Inexistência de planos de recuperação a desastres Desastres naturais ou não (incêndio, inundação, terremoto, terrorismo, etc.) Falta de políticas e procedimentos implementados
Exemplos de impactos Perda de clientes e contratos Danos à imagem Perda de produtividade Aumento no custo do trabalho para conter, reparar e recuperar Aumento de seguros Penalidades e multas
Que aspectos da informação devemos avaliar? Confidencialidade: assegurar que a informação é acessível somente às pessoas autorizadas. Integridade: proteger a exatidão e complexidade da informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados tenham acesso à informação e ativos associados quando necessário.
Integridade Equilíbrio Confidencialidade Disponibilidade
Ativos O que são ativos? (em relação à ISO 27001) Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação Um ativo é algo a que a organização atribui valor, por exemplo: Informação eletrônica Documentos em papel Software e hardware Instalações Pessoas Imagem e reputação da companhia Serviços
Ativos Para a ISO 27001, os ‘ativos’ não incluirão necessariamente tudo que normalmente uma organização considera que tem um valor. Uma organização deve determinar quais ativos podem materialmente afetar a entrega de um produto ou serviço pela sua ausência ou deterioração, ou podem causar dano à organização através de perda de disponibilidade, integridade ou confidencialidade. Deve-se definir qual é o valor de um ativo no caso de um incidente.
. Conclusões Alcançamos a segurança da informação através da implementação de um conjunto adequado de controles, incluindo políticas, procedimentos, estrutura organizacional e funções de hardware e software. Cada empresa é única em suas exigências e requisitos de controle e para os níveis de confidencialidade, integridade e disponibilidade. Nem todos os controles e orientações incluídas podem ser aplicáveis
Exercício Considere uma empresa de consultoria na área de informática que deseja implantar o SGSI conforme a norma ISO27001 na sua área de vendas dentro do escopo: Gerenciamento do Sistema de Segurança da Informação para vendas, projeto e entrega de treinamento, consultoria e auditoria em segurança de informação na Rua Pau Brasil 111, São Paulo, SP, Brasil. 1) Identifique, do seu ponto de vista, os possíveis ativos da informação dentro deste processo. Considere: informações de entrada, informações de saída, equipamentos, registros, recursos humanos, comunicação, ferramentas de software, softwares e outros. 2) Valorize ao menos três destes ativos com base na perda da confidencialidade, disponibilidade e integridade. Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor intermediário. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
Exercício – resposta 1 Informações de entrada Informações de Saída Equipamentos Contrato Comercial/Técnico Critérios:Legislação, Regulamentações, Políticas –Treinamento Manuais, Slides/Apresentações, Apostilas –Consultoria Metodologia,Padrões de relatório –Auditoria Checklist, Padrões de Relatório Critérios: Procedimentos, Clientes – Modem – Firewall – Router – Hub – 1 Servidor – 2 Desktop – 2 Notebook Critérios: Procedimentos, Padrões Registros Recursos Humanos Comunicações –Análise Crítica de Projeto –Verificações de Projeto –Alterações de Projeto (Lições aprendidas) Critérios: procedimentos –5 pessoas –Contratados Critérios: Legislação, Procedimentos e Políticas –1 fax –5 telefones –2 linhas telefônicas –Link da internet Critérios: Procedimentos Outros Software Ferramentas (Software) –Instalações (escritório) Critérios: Procedimentos –IOS 12.2 –Windows 2000 –Windows XP Pro –Windows 2000 Pro Critérios: Padrões –Retina –LanGuard Scanner –Anti-virus Critérios: Padrões
Exercício – resposta 2 Descrição Disponibilidade Integridade Confidencialidade Valor Comentário Contrato Comercial/Técnico Acarreta dano, mas o processo pode ser executado Manuais Pequeno impacto ao processo Slides/Apresentações Sem impacto significativo Apostilas Pequeno impacto ao processo Metodologia Acarreta dano, mas o processo pode ser executado Padrões de Consultoria Sem impacto significativo Checklist Acarreta dano, mas o processo pode ser executado Padrões de Relatório Pequeno impacto ao processo Alterações de Projeto Acarreta dano, mas o processo pode ser executado Consultor 1 Peça chave do processo Consultor 2 Peça chave do processo Administrador Peça chave do processo Modem Pode acarretar danos ao processo Firewall Pode acarretar danos ao processo Router Pode acarretar danos ao processo Hub Pode acarretar danos ao processo Servidor Peça chave do processo Desktop Acarreta dano, mas o processo pode ser executado Notebook Acarreta dano, mas o processo pode ser executado Windows 2000 Server Peça chave do processo
Vulnerabilidades Vulnerabilidades são fraquezas associadas aos ativos da organização. Vulnerabilidade = ponto fraco Consultores: Contratação inadequada Falta de consultores Instalação: Falta de mecanismo de monitoramento Proteção física inadequada Energia elétrica instável Banco de dados: Falta de backup Armazenamento inadequado
Ameaças Os ativos estão sujeitos a muitos tipos de ameaças que exploram suas vulnerabilidades. Ameaça = uma ocorrência, um fato Consultores Falta de conhecimento Doença Instalação Chuva forte, raios Pessoas não autorizadas com acesso Banco de dados Ambiente inadequado
Probabilidade Qual é a probabilidade de um incidente? 10% 50% 90% de chance?
Exercício Para os ativos listados no exercício anterior identifique pelo menos para três ativos: suas vulnerabilidades, as ameaças que podem atingí-los e a probabilidade desta ameaça ocorrer. Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor intermediário. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
Resposta Antivírus, desatualizado Backup inadequado Patches desatualizados Peça-chave do processo Servidor Contamina ção por vírus, ataque de hacker Roubo, divulgação Ameaças Antivírus desatualizado Backup inadequado Patches desatualizados Não há pessoal de segurança Não há critérios de contratação para o pessoal de apoio Vulnerabilidade Peça-chave do processo Acarreta dano, mas o processo pode ser executado ComentárioValor Servidor Metodologia ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição
Conceitos Informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade Termos Fim do módulo 2

Empfohlen

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 

Empfohlen

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013Fabio Martins
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Governança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoGovernança de TI e Segurança da Informação
Governança de TI e Segurança da InformaçãoTI Infnet
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006J Flávia Sales
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da InformaçãoJoão Carlos da Silva Junior
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 

Weitere ähnliche Inhalte

Was ist angesagt?

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005Didimax
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Darly Goes
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - OverviewData Security
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRafael Maia
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 

Was ist angesagt? (20)

ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04Gestão de segurança da informação para concursos-questões CESPE 04
Gestão de segurança da informação para concursos-questões CESPE 04
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Estudo de caso iso 27005
Estudo de caso iso 27005Estudo de caso iso 27005
Estudo de caso iso 27005
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
Segurança da Informação e a utilização de Políticas de Segurança conforme a n...
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Curso ISO 27000 - Overview
Curso ISO 27000 - OverviewCurso ISO 27000 - Overview
Curso ISO 27000 - Overview
 
Roadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL SecurityRoadsec PRO - Segurança Cibernética Através da ITIL Security
Roadsec PRO - Segurança Cibernética Através da ITIL Security
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Nbr iso iec 27001-2006
Nbr iso iec 27001-2006Nbr iso iec 27001-2006
Nbr iso iec 27001-2006
 

Ähnlich wie ISO 27001

Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoimsp2000
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxricardocapozzi1
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualBruno Felipe
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Strong Security Brasil
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasAllan Piter Pressi
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurançaCarlos Veiga
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoNeemias Lopes
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Fernando Dulinski
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoDiego Souza
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Jairo Willian Pereira
 

Ähnlich wie ISO 27001 (20)

Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0Palestras Como Ele Achou Estas Falhas V.1.0
Palestras Como Ele Achou Estas Falhas V.1.0
 
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptxVIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
VIOLAÇÃO DE DADOS e RESPOSTA A INCIDENTES.pptx
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014Apresentação Strong Security Brasil - Abr-2014
Apresentação Strong Security Brasil - Abr-2014
 
Segurança e Auditoria de Sistemas
Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas
 
Abin aula 01-1
Abin aula 01-1Abin aula 01-1
Abin aula 01-1
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Introdução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de ProteçãoIntrodução a Segurança da Informação e mecanismos de Proteção
Introdução a Segurança da Informação e mecanismos de Proteção
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 
Unbroken Institutional
Unbroken Institutional Unbroken Institutional
Unbroken Institutional
 
Política de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao DesenvolvimentoPolítica de Segurança da Informação – Introdução ao Desenvolvimento
Política de Segurança da Informação – Introdução ao Desenvolvimento
 
Outsourcing
OutsourcingOutsourcing
Outsourcing
 
Information Security Training Based on ISO27001
Information Security Training Based on ISO27001Information Security Training Based on ISO27001
Information Security Training Based on ISO27001
 

Mehr von jcfarit

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefoniajcfarit
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruanijcfarit
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxjcfarit
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linuxjcfarit
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9jcfarit
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8jcfarit
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7jcfarit
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6jcfarit
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5jcfarit
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4jcfarit
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3jcfarit
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2jcfarit
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQLjcfarit
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3 jcfarit
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimiblejcfarit
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimiblejcfarit
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digitaljcfarit
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switchesjcfarit
 

Mehr von jcfarit (20)

Conceptos basicos de telefonia
Conceptos basicos de telefoniaConceptos basicos de telefonia
Conceptos basicos de telefonia
 
Manual de usuario Ruani
Manual de usuario RuaniManual de usuario Ruani
Manual de usuario Ruani
 
Unidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linuxUnidad 3 gestion de procesos en linux
Unidad 3 gestion de procesos en linux
 
Arquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo LinuxArquitectura General del Sistema Operativo Linux
Arquitectura General del Sistema Operativo Linux
 
Linq to sql 9
Linq to sql 9Linq to sql 9
Linq to sql 9
 
Linq to sql 8
Linq to sql 8Linq to sql 8
Linq to sql 8
 
Linq to sql 7
Linq to sql 7Linq to sql 7
Linq to sql 7
 
Linq to sql 6
Linq to sql 6Linq to sql 6
Linq to sql 6
 
Linq to sql 5
Linq to sql 5Linq to sql 5
Linq to sql 5
 
Linq to sql 4
Linq to sql 4Linq to sql 4
Linq to sql 4
 
Linq to sql 3
Linq to sql 3Linq to sql 3
Linq to sql 3
 
Linq to sql 2
Linq to sql 2Linq to sql 2
Linq to sql 2
 
Ejemplo Linq To SQL
Ejemplo Linq To SQLEjemplo Linq To SQL
Ejemplo Linq To SQL
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
ISO 27001 -3
ISO 27001 -3 ISO 27001 -3
ISO 27001 -3
 
Curso ubuntuimprimible
Curso ubuntuimprimibleCurso ubuntuimprimible
Curso ubuntuimprimible
 
Curso ubuntu1extraimprimible
Curso ubuntu1extraimprimibleCurso ubuntu1extraimprimible
Curso ubuntu1extraimprimible
 
Autentificación-Firma Digital
Autentificación-Firma DigitalAutentificación-Firma Digital
Autentificación-Firma Digital
 
Auditoría de Routers y Switches
Auditoría de Routers y SwitchesAuditoría de Routers y Switches
Auditoría de Routers y Switches
 

Kürzlich hochgeladen

P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*Viviane Moreiras
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfTutor de matemática Ícaro
 
matematica aula didatica prática e tecni
matematica aula didatica prática e tecnimatematica aula didatica prática e tecni
matematica aula didatica prática e tecniCleidianeCarvalhoPer
 
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptxSlide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptxedelon1
 
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdfENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdfLeloIurk1
 
Rota das Ribeiras Camp, Projeto Nós Propomos!
Rota das Ribeiras Camp, Projeto Nós Propomos!Rota das Ribeiras Camp, Projeto Nós Propomos!
Rota das Ribeiras Camp, Projeto Nós Propomos!Ilda Bicacro
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptssuser2b53fe
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...IsabelPereira2010
 
Camadas da terra -Litosfera conteúdo 6º ano
Camadas da terra -Litosfera conteúdo 6º anoCamadas da terra -Litosfera conteúdo 6º ano
Camadas da terra -Litosfera conteúdo 6º anoRachel Facundo
 
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...Ilda Bicacro
 
migração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenosmigração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenosLucianoPrado15
 
Seminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptxSeminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptxReinaldoMuller1
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdfmarlene54545
 
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptxTeoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptxTailsonSantos1
 
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfProjeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfHELENO FAVACHO
 
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdfPROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdfHELENO FAVACHO
 
PROJETO DE EXTENSÃO I - Radiologia Tecnologia
PROJETO DE EXTENSÃO I - Radiologia TecnologiaPROJETO DE EXTENSÃO I - Radiologia Tecnologia
PROJETO DE EXTENSÃO I - Radiologia TecnologiaHELENO FAVACHO
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdfLeloIurk1
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfcomercial400681
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdfLeloIurk1
 

Kürzlich hochgeladen (20)

P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*
 
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdfCurrículo - Ícaro Kleisson - Tutor acadêmico.pdf
Currículo - Ícaro Kleisson - Tutor acadêmico.pdf
 
matematica aula didatica prática e tecni
matematica aula didatica prática e tecnimatematica aula didatica prática e tecni
matematica aula didatica prática e tecni
 
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptxSlide - EBD ADEB 2024 Licao 02 2Trim.pptx
Slide - EBD ADEB 2024 Licao 02 2Trim.pptx
 
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdfENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
ENSINO RELIGIOSO 7º ANO INOVE NA ESCOLA.pdf
 
Rota das Ribeiras Camp, Projeto Nós Propomos!
Rota das Ribeiras Camp, Projeto Nós Propomos!Rota das Ribeiras Camp, Projeto Nós Propomos!
Rota das Ribeiras Camp, Projeto Nós Propomos!
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.ppt
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
 
Camadas da terra -Litosfera conteúdo 6º ano
Camadas da terra -Litosfera conteúdo 6º anoCamadas da terra -Litosfera conteúdo 6º ano
Camadas da terra -Litosfera conteúdo 6º ano
 
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
Nós Propomos! Autocarros Elétricos - Trabalho desenvolvido no âmbito de Cidad...
 
migração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenosmigração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenos
 
Seminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptxSeminário Biologia e desenvolvimento da matrinxa.pptx
Seminário Biologia e desenvolvimento da matrinxa.pptx
 
19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf19- Pedagogia (60 mapas mentais) - Amostra.pdf
19- Pedagogia (60 mapas mentais) - Amostra.pdf
 
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptxTeoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
Teoria heterotrófica e autotrófica dos primeiros seres vivos..pptx
 
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfProjeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
 
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdfPROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
PROJETO DE EXTENÇÃO - GESTÃO DE RECURSOS HUMANOS.pdf
 
PROJETO DE EXTENSÃO I - Radiologia Tecnologia
PROJETO DE EXTENSÃO I - Radiologia TecnologiaPROJETO DE EXTENSÃO I - Radiologia Tecnologia
PROJETO DE EXTENSÃO I - Radiologia Tecnologia
 
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
5 bloco 7 ano - Ensino Relogioso- Lideres Religiosos _ Passei Direto.pdf
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
 
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
421243121-Apostila-Ensino-Religioso-Do-1-ao-5-ano.pdf
 

ISO 27001

  • 1. Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning
  • 2. Conceitos Informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade Módulo 2 Termos
  • 3. O que é informação? “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e conseqüentemente necessita ser adequadamente protegido.”
  • 4. Tipos de informação Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou por meios eletrônicos Mostrada em vídeos Verbal – falada em conversações “Não importa a forma que a informação toma, ou os meios pelos quais ela é compartilhada ou armazenada. Ela deve sempre ser apropriadamente protegida.”
  • 5. Tipos de informação a serem protegidas Internas da companhia Informação que você não gostaria que a concorrência soubesse De clientes e fornecedores Informação que eles não gostariam que você divulgasse De parceiros Informação que necessita ser compartilhada com outros parceiros comerciais Digite a sua senha
  • 6. A Informação pode ser: Criada Transmitida Processada Usada Armazenada Corrompida Perdida Destruída
  • 7. Conceitos – O que é Segurança da Informação A ISO/IEC 17799:2005 define: Segurança da Informação - é a proteção da informação contra diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos investimentos e as oportunidades de negócio.
  • 8. Exemplos de ameaças à informação Funcionários descontentes ou desmotivados Baixa conscientização nos assuntos de segurança Crescimento do processamento distribuído e das relações entre profissionais e empresas Aumento da complexidade e eficácia das ferramentas de hacking e dos vírus E-mail Inexistência de planos de recuperação a desastres Desastres naturais ou não (incêndio, inundação, terremoto, terrorismo, etc.) Falta de políticas e procedimentos implementados
  • 9. Exemplos de impactos Perda de clientes e contratos Danos à imagem Perda de produtividade Aumento no custo do trabalho para conter, reparar e recuperar Aumento de seguros Penalidades e multas
  • 10. Que aspectos da informação devemos avaliar? Confidencialidade: assegurar que a informação é acessível somente às pessoas autorizadas. Integridade: proteger a exatidão e complexidade da informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados tenham acesso à informação e ativos associados quando necessário.
  • 12. Ativos O que são ativos? (em relação à ISO 27001) Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação Um ativo é algo a que a organização atribui valor, por exemplo: Informação eletrônica Documentos em papel Software e hardware Instalações Pessoas Imagem e reputação da companhia Serviços
  • 13. Ativos Para a ISO 27001, os ‘ativos’ não incluirão necessariamente tudo que normalmente uma organização considera que tem um valor. Uma organização deve determinar quais ativos podem materialmente afetar a entrega de um produto ou serviço pela sua ausência ou deterioração, ou podem causar dano à organização através de perda de disponibilidade, integridade ou confidencialidade. Deve-se definir qual é o valor de um ativo no caso de um incidente.
  • 14. . Conclusões Alcançamos a segurança da informação através da implementação de um conjunto adequado de controles, incluindo políticas, procedimentos, estrutura organizacional e funções de hardware e software. Cada empresa é única em suas exigências e requisitos de controle e para os níveis de confidencialidade, integridade e disponibilidade. Nem todos os controles e orientações incluídas podem ser aplicáveis
  • 15. Exercício Considere uma empresa de consultoria na área de informática que deseja implantar o SGSI conforme a norma ISO27001 na sua área de vendas dentro do escopo: Gerenciamento do Sistema de Segurança da Informação para vendas, projeto e entrega de treinamento, consultoria e auditoria em segurança de informação na Rua Pau Brasil 111, São Paulo, SP, Brasil. 1) Identifique, do seu ponto de vista, os possíveis ativos da informação dentro deste processo. Considere: informações de entrada, informações de saída, equipamentos, registros, recursos humanos, comunicação, ferramentas de software, softwares e outros. 2) Valorize ao menos três destes ativos com base na perda da confidencialidade, disponibilidade e integridade. Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor intermediário. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
  • 16. Exercício – resposta 1 Informações de entrada Informações de Saída Equipamentos Contrato Comercial/Técnico Critérios:Legislação, Regulamentações, Políticas –Treinamento Manuais, Slides/Apresentações, Apostilas –Consultoria Metodologia,Padrões de relatório –Auditoria Checklist, Padrões de Relatório Critérios: Procedimentos, Clientes – Modem – Firewall – Router – Hub – 1 Servidor – 2 Desktop – 2 Notebook Critérios: Procedimentos, Padrões Registros Recursos Humanos Comunicações –Análise Crítica de Projeto –Verificações de Projeto –Alterações de Projeto (Lições aprendidas) Critérios: procedimentos –5 pessoas –Contratados Critérios: Legislação, Procedimentos e Políticas –1 fax –5 telefones –2 linhas telefônicas –Link da internet Critérios: Procedimentos Outros Software Ferramentas (Software) –Instalações (escritório) Critérios: Procedimentos –IOS 12.2 –Windows 2000 –Windows XP Pro –Windows 2000 Pro Critérios: Padrões –Retina –LanGuard Scanner –Anti-virus Critérios: Padrões
  • 17. Exercício – resposta 2 Descrição Disponibilidade Integridade Confidencialidade Valor Comentário Contrato Comercial/Técnico Acarreta dano, mas o processo pode ser executado Manuais Pequeno impacto ao processo Slides/Apresentações Sem impacto significativo Apostilas Pequeno impacto ao processo Metodologia Acarreta dano, mas o processo pode ser executado Padrões de Consultoria Sem impacto significativo Checklist Acarreta dano, mas o processo pode ser executado Padrões de Relatório Pequeno impacto ao processo Alterações de Projeto Acarreta dano, mas o processo pode ser executado Consultor 1 Peça chave do processo Consultor 2 Peça chave do processo Administrador Peça chave do processo Modem Pode acarretar danos ao processo Firewall Pode acarretar danos ao processo Router Pode acarretar danos ao processo Hub Pode acarretar danos ao processo Servidor Peça chave do processo Desktop Acarreta dano, mas o processo pode ser executado Notebook Acarreta dano, mas o processo pode ser executado Windows 2000 Server Peça chave do processo
  • 18. Vulnerabilidades Vulnerabilidades são fraquezas associadas aos ativos da organização. Vulnerabilidade = ponto fraco Consultores: Contratação inadequada Falta de consultores Instalação: Falta de mecanismo de monitoramento Proteção física inadequada Energia elétrica instável Banco de dados: Falta de backup Armazenamento inadequado
  • 19. Ameaças Os ativos estão sujeitos a muitos tipos de ameaças que exploram suas vulnerabilidades. Ameaça = uma ocorrência, um fato Consultores Falta de conhecimento Doença Instalação Chuva forte, raios Pessoas não autorizadas com acesso Banco de dados Ambiente inadequado
  • 20. Probabilidade Qual é a probabilidade de um incidente? 10% 50% 90% de chance?
  • 21. Exercício Para os ativos listados no exercício anterior identifique pelo menos para três ativos: suas vulnerabilidades, as ameaças que podem atingí-los e a probabilidade desta ameaça ocorrer. Considere cores para identificar o valor: verde, amarelo e vermelho, sendo verde o menor valor, vermelho o maior valor e amarelo o valor intermediário. As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
  • 22. Resposta Antivírus, desatualizado Backup inadequado Patches desatualizados Peça-chave do processo Servidor Contamina ção por vírus, ataque de hacker Roubo, divulgação Ameaças Antivírus desatualizado Backup inadequado Patches desatualizados Não há pessoal de segurança Não há critérios de contratação para o pessoal de apoio Vulnerabilidade Peça-chave do processo Acarreta dano, mas o processo pode ser executado ComentárioValor Servidor Metodologia ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição
  • 23. Conceitos Informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade Termos Fim do módulo 2