15. Segurança da Informação Corporativa
“Proteção da informação de
vários tipos de ameaça para
garantir a continuidade do
negócio, maximizar o retorno
sobre o investimento e as
oportunidades de negócio.”
ABNT NBR ISSO/IEC 17799:2005
Segurança não é gasto, é
investimento!
16. Segurança da Informação Corporativa
• Os Pilares da Segurança da Informação:
Confidencialidade, Integridade, Disponibilidade
• Não repúdio, Conformidade, Controle de Acesso,
Autenticidade.
17. Gerenciamento Estratégico da S.I.
• O que deve ser protegido?
• Contra o que ou quem será necessário proteger?
• Como será feita a proteção?
• Qual a importância de cada recurso para o negócio?
• Objetivos:
– Redução da probabilidade de ocorrência de incidentes de
segurança;
– Redução dos danos/perdas causados por incidentes de
segurança;
– Recuperação dos danos em caso de desastre /incidente.
18. Itens Relevantes para a S.I.
• Política de Segurança da Informação:
• Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos e
com as leis e regulamentações relevantes.
• Segurança organizacional:
• Gerenciar a segurança da informação dentro da
organização.
• Gestão de ativos:
• Alcançar e manter a proteção adequada dos ativos da
organização.
19. Itens Relevantes para a S.I.
• Segurança em Recursos Humanos:
• Assegurar que os funcionários, fornecedores e terceiros
entendam suas responsabilidades e estejam de acordo
com os seus papéis, e reduzir o risco de roubo, fraude ou
mau uso de recursos.
• Segurança física e do ambiente:
• Prevenir o acesso físico não autorizado, danos e
interferências com as instalações e informações da
organização.
• Gerenciamento das operações e comunicações:
• Garantir a operação segura e correta dos recursos de
processamento da informação.
20. Itens Relevantes para a S.I.
• Controle de acesso:
• Controlar acesso à informação.
• Aquisição, desenvolvimento e manutenção de
sistemas da informação:
• Garantir que segurança é parte integrante de sistemas de
informação.
• Gestão de incidentes de segurança da informação:
• Assegurar que fragilidades e eventos de segurança da
informação associados com sistemas de informação
sejam comunicados, permitindo a tomada de ação
corretiva em tempo hábil.
21. Itens Relevantes para a S.I.
• Gestão da continuidade do negócio:
• Não permitir a interrupção das atividades do negócio e
proteger os processos críticos contra efeitos de falha ou
desastres significativos, e assegurar a sua retomada em
tempo hábil, se for o caso.
• Conformidade:
• Evitar violação de qualquer lei criminal ou civil, estatutos,
regulamentos ou obrigações contratuais e de quaisquer
requisitos de segurança da informação.
22. Atividades Envolvidas
• Gerência de segurança nos sistemas;
• Gerência dos serviços de segurança;
• Gerência dos mecanismos de segurança;
• Gerência da auditoria de segurança.
A segurança da informação não está ligada somente
à implementação de sistemas como firewalls,
antivírus, IDS, criptografia, etc.
23. Desafios
• Elaborar um bom planejamento;
• Manter, atualizar e executar o planejamento;
• Manter um processo cíclico;
• Comprometimento e apoio visível de todos os níveis
gerenciais;
• Provisão de conscientização, treinamento e educação
adequados.
A gestão da Segurança da Informação necessita da
participação de todos os funcionários da organização.
24. Códigos e Normativos
• NBR ISO/IEC 27001 e 27002;
• Payment Card Industry (PCI-DSS);
• Business Impact Analysis (BIA);
• Manuais de Contingência.
25. Conclusão
• Não existem sistemas 100% seguros;
– Mas podemos aumentar o nível da confiabilidade...
• Segurança não é um processo que tem fim;
• Diferencial competitivo e estratégico;
• Deve andar em conjunto com os negócios da empresa;
– Evitando impacto nos processos corporativos.
27. The Open Web Application Security
Project
• Organização internacional;
• Sem fins lucrativos;
• A mais de 10 anos produzindo e divulgado materiais e
conhecimentos sobre Segurança de Aplicações;
• Não possui nenhuma associação com produtos ou
serviçoscomerciais;
• Todas as ferramentas, documentos, fóruns, e capítulos
da OWASP são livres e abertos para qualquer pessoa
que estiver interessada em melhorar a segurança de
aplicações.
28. The Open Web Application Security
Project
Voluntários
Sustentado por:
Compartilhamento de conhecimento;
Liderança de projetos e pessoas;
Apresentações em eventos;
Administração.
Financiada por patrocinadores
Sustentado por:
Membership individuais/empresariais;
Projetos suportados por empresas;
Publicidade em website.