Este documento resume a política de segurança da informação do Conselho da Justiça Federal (CJF) e aborda as principais ameaças virtuais, a política de segurança em si, a Resolução No 006/2008-CJF e os documentos acessórios que complementam a política.
1. POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - CJF
Tópicos:
Ameaças Virtuais
Política de Segurança da Informação
Resolução No 006/2008-CJF
Documentos Acessórios
2. Ameaças Virtuais
Matéria da RedeTV! no dia 18/06/2011:
“Dados sigilosos são alvo de crimes virtuais”
Link de acesso:
http://www.redetv.com.br/Video.aspx?52,15,197993,jornalismo,redetv-news,dados-sigilosos-sao-alvo-d
3. Ameaças Virtuais
Em 2010 o Brasil ficou entre os 10 países que mais enviou spams (ESET);
O número de spams no país saltou de 17,2 milhões em 2009 para 41 milhões
em 2010, um aumento de 138% (CERT.br);
Brasil ficou em 3º lugar no ranking de ataques virtuais em 2009 (Symantec);
Foram lançados cerca de 20 milhões de novos malwares em 2010 (McAfee
Labs).
4. Ameaças Virtuais
Resumo diário de entrada de e-mail no anti-spam – 11/09/2011:
5. Política de Segurança da Informação – Conceitos
Documento que norteia todas ações relacionados à segurança da informação
da organização;
Realizada em uma abordagem a partir do topo;
Visa promover ações pró-ativas para proteção e disponibilidade dos serviços;
Recomendação de normas internacionais (BS 7799 , ISO/IEC 17799, NBR
ISO/IEC 27001 e NBR ISO/IEC 27001).
6. Política de Segurança da Informação – Conceitos
Contempla os itens:
Definição de segurança
Meta
Escopo
Importância para organização
7. Política de Segurança da Informação – Conceitos
Recomenda-se para uma PSI:
Regras gerais e estruturais que se aplicam ao contexto de toda organização;
Abrangente o bastante para abarcar possíveis exceções;
Complementada com normas e procedimentos.
8. Política de Segurança da Informação – Conceitos
Aspectos de Segurança:
Tecnológicos
Humanos
Processuais
Jurídicos
Negociais
9. Resolução No 006/2008-CJF
Define as diretrizes e regulamentações relativas à segurança da
informação no âmbito do Conselho da Justiça Federal e na Justiça
Federal de primeiro e segundo graus.
Cada órgão responsável pela implantação da Política de Segurança da
Informação deverá elaborar documentos próprios e diferenciados.
Prazo de dois anos a partir de 22/04/2008.
10. Resolução No 006/2008-CJF
Agentes Responsáveis:
Comitê de Segurança da Informação da Justiça (CSI-Jus)
Comitê de Resposta a Incidentes de Segurança da Justiça (CRI-Jus)
Comissão Local de Segurança da Informação (CLSI)
✔
Tribunais Regionais Federais
✔
Seções Judiciárias
Comissão Local de Resposta a Incidentes de Segurança da Informação (CLRI)
✔
Tribunais Regionais Federais
✔
Seções Judiciárias
11. Resolução No 006/2008-CJF
Composição do CLSI:
Presidida pelo dirigente do órgão ou seu representante;
Chefia técnica da área de Segurança da Informação;
Área Administrativa;
Área Judiciária;
Área Jurídica.
12. Resolução No 006/2008-CJF
Cabe ao CLSI:
• Manter ações preventivas e educativas;
• Manter atualizados os documentos acessórios;
• Dar ciência ao CSI-Jus de todas as modificações e ajustes;
• Propor ações de treinamento e atualização necessárias;
• Coordenar as atividades e analisar os resultados do CLRI.
Obs: Cabe à área de TI a implementação e o cumprimento das práticas
propostas na política de segurança da informação no escopo de seu
órgão.
13. Documentos Acessórios
Contém as orientações e melhores práticas para as diversas disciplinas
abordadas seguindo as especificidades de cada órgão participante;
Todos os documentos deverão possuir prazo de revisão sugerido explícito
em seu bojo.
14. Documentos Acessórios
Tipos de Documentos:
Documentos Acessórios Comuns
Documentos Acessórios Diferenciados até o nível de Região
Documentos Acessórios Diferenciados até o nível de Seção Judiciária
15. Documentos Acessórios
Documentos Acessórios Comuns:
Padrão para Criação de Documentos
Política de Auditoria de Segurança da Informação
Política de Gestão de Risco
Política de Segurança para Aquisição, Desenvolvimento e Manutenção de
Sistemas
Metodologia de Avaliação de Efetividade da Implementação da Política de
Segurança
16. Documentos Acessórios
Diferenciados até o nível de Região:
Política de Segurança de Acesso Físico
Política Permanente de Conscientização e Treinamento
Penalidades
17. Documentos Acessórios
Diferenciados a nível de Seção Judiciária:
Política de Controle de Acesso Lógico
Política de Utilização de Recursos de TI
Política de Classificação de Informações
Plano de Continuidade de Negócios
18. Considerações Finais
A Segurança da Informação é um trabalho cíclico, contínuo e persistente;
Representa um desafio de inédita magnitude para os profissionais do setor e,
também, para a organização como um todo;
As medidas de segurança devem reduzir as fragilidades da organização sem
impactar fortemente na produtividade;
A principal ameaça à segurança das transações corporativas são as pessoas.
19. Níveis de Maturidade de SI
Nível 11 ✔
Nenhuma iniciativa da organização OU iniciativas pessoais isoladas;
Nível Resistência à alterações das práticas existentes.
Inicial
✔
Inicial
Nível 22
✔
Conhecimento básico de segurança para os principais colaboradores;
Nível ✔
Estabelecimento de uma linguagem comum.
Conhecido
Conhecido
✔
Mapeamento dos processos desde o Planejamento Estratégico.
Nível 33
✔
Metodologia desenvolvida, implantada, testada e em uso.
Nível ✔
Informatização de partes da metodologia em uso.
Padronizado
Padronizado ✔
Estrutura organizacional implantada e em uso.
✔
Habilidades avançadas em segurança da informação;
Nível 44
Nível
✔
Alinhamento com os negócios;
Gerenciado ✔
Metodologia estabilizada com identificação e eliminação de causas de
Gerenciado desvios da meta de segurança.
Nível 55 ✔
Otimização dos processos com ganhos em prazos, custos e qualidade.
Nível Grande experiência em segurança da informação e capacidade de
Otimizado
✔
Otimizado assumir riscos maiores.