Disciplina Política e Procedimentos na Segurança da Informação
1. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Políticas, práticas e
procedimentos em
Segurança da
Informação
Elaborado por prof. Roberto Dias Duarte
sexta-feira, 30 de julho de 2010 1
2. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Era do Conhecimento
& Segurança da
Informação:
Tudo a ver
Elaborado por prof. Roberto Dias Duarte
sexta-feira, 30 de julho de 2010 2
3. 1ª Parte: Preciso de
segurança?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 3
4. Informação: tudo a ver
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Fonte: Microsoft
sexta-feira, 30 de julho de 2010 4
5. Qual é a novidade?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Já ouviu falar da Nota Fiscal Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um
documento de existência apenas digital,
emitido e armazenado
eletronicamente, com o intuito de
documentar, para fins fiscais, uma
operação de circulação de
mercadorias ou uma prestação de
serviços, ocorrida entre as partes. Sua
validade jurídica é garantida pela
assinatura digital do remetente
(garantia de autoria e de integridade) e
pela recepção, pelo Fisco, do
documento eletrônico, antes da
ocorrência do fato gerador. “
sexta-feira, 30 de julho de 2010 5
6. Qual é a novidade?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Já ouviu falar da Nota Fiscal Eletrônica?
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um
documento de existência apenas digital,
emitido e armazenado
eletronicamente, com o intuito de
documentar, para fins fiscais, uma
operação de circulação de
mercadorias ou uma prestação de
serviços, ocorrida entre as partes. Sua
validade jurídica é garantida pela
assinatura digital do remetente
(garantia de autoria e de integridade) e
pela recepção, pelo Fisco, do
documento eletrônico, antes da
ocorrência do fato gerador. “
sexta-feira, 30 de julho de 2010 5
7. Componente intangível
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
NF-e é um
repositório de
inteligência
digital:
Fiscal
Contábil
Gerencial
Tecnológica
sexta-feira, 30 de julho de 2010 6
8. Causa x consequência?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
SPED é consequência de uma
grande transformação social:
o fim da Era Industrial
sexta-feira, 30 de julho de 2010 7
9. O ERP nas empresas....
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 8
10. Ah! Empresas...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
VENDEU?
RECEBEU?
SOBROU QUANTO?
PAGOU?
DÁ PARA VENDER?
sexta-feira, 30 de julho de 2010 9
11. Uma empresa com ERP...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Em
sua
empresa,
qual
é
a
situação?
Vendeu bem?
Quem é bom cliente?
Quem é bom fornecedor? Quanto investir?
O que gera resultado?
A riqueza aumentou?
Comprou bem?
sexta-feira, 30 de julho de 2010 10
12. Ah! O SPED e a SI...
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
NF-e NF-e
SPED FISCAL
CT-e
NF-e SPED CONTÁBIL
sexta-feira, 30 de julho de 2010 11
13. Documento Eletrônico
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
MP 2.200-2, de agosto de 2001:
“As declarações constantes dos documentos em forma eletrônica produzidos com a
utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se
verdadeiros em relação aos signatários”
sexta-feira, 30 de julho de 2010 12
14. Capital Intelectual
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Capital
Humano Capital
Estrutural Capital
de
• A9tude • Técnicas Clientes
• Inovação • Metodologias • Sa9sfação
• Experiência • Processos • Lealdade
• Aprendizado • SoFwares • Valor
do
Cliente
• Equipes • Conhecimento
sobre
o
Cliente
Adaptado de : Thomas Stewart
sexta-feira, 30 de julho de 2010 13
15. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010
Capital Humano
14
16. 2ª Parte: Vamos praticar?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 15
18. Preciso de normas?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
“A
Liberdade
só
Existe
com
Lei
e
Poder”
(Kant)
“Os
regulamentos
de
segurança
da
informação
têm
como
obje7vo
fazer
com
que
o
uso
da
informação
na
organização
aconteça
de
forma
estruturada”
(Edison
Fontes)
sexta-feira, 30 de julho de 2010 17
19. Vamos cumprir as
normas?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
“Conte-‐me
e
eu
esqueço.
Mostre-‐me
e
eu
apenas
me
lembro.
Envolva-‐me
e
eu
compreendo.”
(Confúcio)
sexta-feira, 30 de julho de 2010 18
20. Segurança da
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
informação na empresa
sexta-feira, 30 de julho de 2010 19
21. O que é?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Compontes:
– Orientações
– Normas
– Procedimentos
– Políticas
– Ações
• Objetivo:
– Proteger ativo intangível
sexta-feira, 30 de julho de 2010 20
22. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Disponibilidade: o que é realmente uma
informação acessível?
sexta-feira, 30 de julho de 2010 21
23. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Integridade: a informação é a correta?
sexta-feira, 30 de julho de 2010 22
24. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Confidencialidade: quem deve acessar o
quê?
sexta-feira, 30 de julho de 2010 23
25. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Legalidade: respeito a leis, contratos e
ética. O que não pode?
sexta-feira, 30 de julho de 2010 24
26. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Auditabilidade: quem fez o quê? Quando?
sexta-feira, 30 de julho de 2010 25
27. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Não repúdio
sexta-feira, 30 de julho de 2010 26
28. O que devo garantir?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• MP 2.200-2 - Agosto 2001
Art. 10o Consideram-se documentos públicos ou particulares, para
todos os fins legais, os documentos eletrônicos de que trata esta
Medida Provisória.
§ 1o As declarações constantes dos documentos em forma eletrônica
produzidos com a utilização de processo de certificação disponibilizado
pela ICP-Brasil presumem-se verdadeiros em relação aos signatários,
noa forma do art. 131 da Lei no 3.071, de 1o de janeiro de 1916 -
Código Civil.
§ 2o O disposto nesta Medida Provisória não obsta a utilização de outro
meio de comprovação da autoria e integridade de documentos em forma
eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-
Brasil, desde que admitido pelas partes como válido ou aceito pela
pessoa a quem for oposto o documento.
sexta-feira, 30 de julho de 2010 27
29. Básico do básico....
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Termo de Compromisso
Autenticação de usuário
Evitando o Carona
O Gestor
Backup
e muito mais...
sexta-feira, 30 de julho de 2010 28
30. Termo de Compromisso
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Formaliza
responsabilidades:
– Sigilo de informações;
– Cumprimento de normas
de segurança;
– Conduta ética.
• Quem deve assinar?
sexta-feira, 30 de julho de 2010 29
31. Autenticação
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Identifica as pessoas:
– Senha;
– Cartão ou token;
– Biometria;
– Certificado Digital.
sexta-feira, 30 de julho de 2010 30
32. O “Carona”
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Prevenção contra
“sessões abertas” em
sua ausência:
– Conduta: Suspensão
ou encerramento da
sessão;
– Mecanismo:
Suspensão ou
encerramento da
sessão.
sexta-feira, 30 de julho de 2010 31
33. Gestor da informação:
o “dono da bola”
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• De quem é o ativo?
• Define:
– quem tem acesso;
– tipos de acessos;
– períodos temporais;
– locais de acesso.
• Formalizado pela alta
gestão;
• Rastreabilidade de
concessões.
sexta-feira, 30 de julho de 2010 32
34. Cópias de segurança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Qual a política definida?
• Qual a cópia mais
antiga?
• Os arquivos das
estações têm cópias?
• Os servidores têm
cópias?
• Onde são
armazenadas?
• Em que tipo de mídia?
sexta-feira, 30 de julho de 2010 33
35. Cópias de segurança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Completo (Full backup):
Todo o conteúdo é copiado do início ao fim, sem levar em consideração
backups anteriores.
■ Diferencial (Differential backup):
Apenas os arquivos modificados entre o estado atual e o último backup
completo são copiados. O processo de recuperação é um pouco mais
lento.
■ Incremental (Incremental backup):
Apenas o conteúdo modificado no sistema desde o último backup, é
copiado, independente do tipo do último backup. O resultado é a diferença
entre o estado atual e a última cópia realizada. A recuperação neste caso
é mais complexa.
Um ciclo de backup tem início com um backup completo e prossegue com
backups incrementais ou diferenciais subsequentes. Quando um novo
backup completo é realizado, um novo ciclo é iniciado.
sexta-feira, 30 de julho de 2010 34
36. Cópias de segurança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
MÉTODOS DE ROTAÇÃO DE DISPOSITIVOS
■ Rotação cíclica semanal:
São mantidos três volumes, havendo sempre um localmente e outros dois guardados em um lugar
seguro, fisicamente distante do sistema. No início de cada semana é realizado um backup completo e
diariamente um backup incremental.
■ Rotação “Filho”:
Este é o primeiro conceito do esquema “Avô, pai, filho”. Um backup completo é feito diariamente.
Existem sete volumes para serem utilizados durante a semana, na qual um ciclo termina e outro começa
a cada dia. Esta é forma mais simples e custosa em termos de espaço e duração do procedimento de
backup.
■ Rotação “Pai, filho”:
Este esquema é uma mistura de backups completos e incrementais. Desta vez é considerado um
mínimo de oito volumes, sendo dois para backups completos e seis para incrementais. Uma vez por
semana é realizado um backup completo, e nos outros dias são feitos incrementais. Os volumes
incrementais são reciclados cada semana, exatamente no mesmo dia que ele foi usado na semana
anterior, havendo um volume para segunda-feira, outro para terça-feira, e assim por diante. Já os
volumes usados em backups completos são revezados e utilizados semana sim, semana não.
■ Rotação “Avô, pai, filho”:
Neste esquema têm-se backups completos, incrementais e diferenciais. A cada mês é feito um backup
completo, a cada semana é feito um diferencial e diariamente é feito um incremental. Devido a sua
eficiência e boa relação custo/benefício, este é o método mais utilizado atualmente.
sexta-feira, 30 de julho de 2010 35
37. Cópias de segurança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Durabilidade das mídias
Fonte: CENADEM, Centro Nacional da Gestão da Informação
sexta-feira, 30 de julho de 2010 36
38. Ações para problemas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ações preventivas:
– Conhecimento
– Análise
– Planejamento
– Investimento
– Educação.
• Física
• Software
• Humana
sexta-feira, 30 de julho de 2010 37
39. Ações para problemas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ações detectivas:
– Quanto antes,
melhor
– Monitoramento de
eventos
– O que monitorar?
• Conhecimento
• Análise
• Planejamento
• Investimento
sexta-feira, 30 de julho de 2010 38
40. Ações para problemas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ações corretivas:
– Minimizar o
problema
– Quanto mais
rápido, melhor
sexta-feira, 30 de julho de 2010 39
41. Continuidade
do negócio
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Plano de
continuidade:
– Conhecimento
– Análise
– Planejamento
– Investimento
– Educação
– Simulação
• Mapeamento de riscos
• Contexto empresarial
sexta-feira, 30 de julho de 2010 40
42. Produtos homologados
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Itens de verificação:
– manutenção
– treinamento
– conhecimento
coletivo
– suporte
– condições comerciais
– capacidade do
fabricante
– tendências
sexta-feira, 30 de julho de 2010 41
43. Antivírus
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Prevenção além
do software:
– Anexos
– Executável? No
way!
– Download? Só de
sites confiáveis
– Backup, sempre
– Educação
sexta-feira, 30 de julho de 2010 42
44. Uso da Internet
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• O que é uso
profissional?
• É possível separar
o pessoal do
profissional?
• Quais as regras
para uso pessoal?
sexta-feira, 30 de julho de 2010 43
45. Correio eletrônico
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Cuidados com mensagens:
– Obscenas
– Racistas
– Discriminatórias
– Políticas
– Comerciais
• Imagem da empresa
• Legislação
• Pessoal x profissional
• Confidencialidade
sexta-feira, 30 de julho de 2010 44
46. Correio eletrônico:
anexos e encadeamentos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Circulação desnecessária de
e-mails e arquivos
• Confidencialidade da
informação
• Quem originou a
comunicação?
sexta-feira, 30 de julho de 2010 45
47. Correio eletrônico:
Notícias
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Qual o problema
com uma falsa
informação?
• Phishing
• Imagem
empresarial
sexta-feira, 30 de julho de 2010 46
48. Fraudes
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Qual a diferença
do mundo
tangível para o
intangível?
• Qual a principal
arma contra
fraude?
sexta-feira, 30 de julho de 2010 47
49. Legislação
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• SPED: NF-e, CT-
e, ECD, EFD, etc
• Trabalhista
• Consumidor
• Civil
• Criminal
• Ambiental
• Setor econômico
sexta-feira, 30 de julho de 2010 48
50. Privacidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Segurança x
privacidade
• Funcionários
• Clientes
• Fornecedores
• Sigilo bancário,
fiscal, etc
sexta-feira, 30 de julho de 2010 49
51. Informações pessoais
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Segurança da
Informação de:
– Funcinários
– Clientes
– Parceiros
• Quem pode
acessar?
• Parceiros?
• Uso comercial?
sexta-feira, 30 de julho de 2010 50
52. Engenharia Social
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Procedimentos para
obtenção de
informações através de
contatos falsos
• “Conversa de malandro”
• Lixão
• Habilidades do farsante:
– fala com conhecimento
– adquire confiança
– presta “favor”
sexta-feira, 30 de julho de 2010 51
53. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010
Outras iscas...
52
54. Ambiente Físico
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ahhh, reuniões
rápidas:
– no elevador
– na festa
– no avião
• Quadros, flip chart,
relatórios, etc
• Lixão, de novo?
• Quem entra, quem
sai?
sexta-feira, 30 de julho de 2010 53
55. Diretos do usuário
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Acesso individual
• Informações para
trabalhar
• Saber o que é
rastreado
• Conhecer as políticas
e normas
• Ser avisado sobre
tentativas de invasão
sexta-feira, 30 de julho de 2010 54
56. Diretos do usuário
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Treinamento sobre
segurança
• Comunicar
ocorrências de
segurança
• Garantia de
privacidade
• Ser mais importante
que a tecnologia
sexta-feira, 30 de julho de 2010 55
57. Praticando....
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Em
sua
empresa,
qual
é
a
situação?
1) Relatar quais práticas fundamentais são mais
importantes para sua empresa
2) Quais estão implementadas?
3) O que deve ser implementado?
sexta-feira, 30 de julho de 2010 56
59. 3a Parte: Visão da Gestão
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 58
60. Conceitos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ativo
– “Representa os bens e direitos que a empresa tem
num determinado momento, resultante de suas
transações ou eventos passados da qual futuros
benefícios econômicos podem ser obtidos.” (Fonte:
Wikipedia)
– “Os ativos têm a característica de ser bens postos em
atividade, apoiando a entidade nas suas operações e
no seu funcionamento e ajudando a atrair a riqueza
para si.” (Fonte: Wikipedia)
– “Um ativo intangível é um ativo não monetário
identificável sem substância física ou, então, o ágio
pago por expectativa de rentabilidade futura
(goodwill)” (Fonte: http://www.cpc.org.br)
sexta-feira, 30 de julho de 2010 59
61. Conceitos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ativo Intangível
– “Um ativo
intangível é um
ativo não
monetário
identificável
sem substância
física ou, então,
o ágio pago por
expectativa de
rentabilidade
futura
(goodwill)” (Fonte:
http://www.cpc.org.br)
sexta-feira, 30 de julho de 2010 60
62. Conceitos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Ameaças:
– causa potencial de um
incidente, que caso se
concretize pode resultar
em dano.
– Hackers
– Crackers
– Naturais
– Vândalos
– Internas
sexta-feira, 30 de julho de 2010 61
63. Conceitos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Vulnerabilidades:
– Falha (ou conjunto)
que pode ser
explorada por
ameaças
• Contas sem senhas
• Falhas em software
sexta-feira, 30 de julho de 2010 62
64. Conceitos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Incidente
– é qualquer evento
em curso ou
ocorrido que
contrarie a política
de segurança,
comprometa a
operação do
negócio ou cause
dano aos ativos da
organização.
sexta-feira, 30 de julho de 2010 63
65. Conceitos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Impacto
– Resultados de
incidentes
sexta-feira, 30 de julho de 2010 64
66. Análise dos Riscos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Em
sua
empresa,
qual
é
a
situação?
Impacto
Transfere Mitiga
Aceita Reduz
Probabilidades
sexta-feira, 30 de julho de 2010 65
68. Governança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• “é o conjunto de
processos,
costumes, políticas,
leis, regulamentos e
instituições que
regulam a maneira
como uma empresa
é dirigida,
administrada ou
controlada” (fonte: Wikipedia)
sexta-feira, 30 de julho de 2010 67
69. Governança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Visão
– É o sonho da organização, é
o futuro do negocio e onde a
organização espera estar
nesse futuro.
• Missão
– É a razão de existência
de uma organização.
sexta-feira, 30 de julho de 2010 68
70. Governança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Missão
– É a razão de existência de uma organização.
sexta-feira, 30 de julho de 2010 69
71. Governança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Transparência
– Mais do que "a
obrigação de
informar", a
administração deve
cultivar o "desejo de
informar"
sexta-feira, 30 de julho de 2010 70
72. Governança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Equidade
– Tratamento justo
e igualitário de
todos os grupos
minoritários
(stakeholdres).
sexta-feira, 30 de julho de 2010 71
73. Stakeholders &
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Shareholders Qual a relação entre equilíbrio e segurança?
• Equilíbrio:
– Regulamentações
– Forças corporativas
sexta-feira, 30 de julho de 2010 72
76. Balanceando Pressões
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Compliance: “conjunto
de disciplinas para fazer
cumprir as normas
legais e regulamentares,
as políticas e as
diretrizes estabelecidas
para o negócio e para
as atividades da
instituição ou empresa,
bem como evitar,
detectar e tratar
qualquer desvio ou
inconformidade que
possa ocorrer” (Fonte:
Wikipedia)
sexta-feira, 30 de julho de 2010 75
77. Balanceando Pressões
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Risco x
Conformidade:
– 100% de
conformidade
garante 100%
de segurança?
sexta-feira, 30 de julho de 2010 76
78. Desafios da Governança
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Quais
são
• Gerenciar riscos x os
principais
investimentos adequados desafios
de
• Manter organização segura sua
organização?
• Seguir padrões
• Atender às exigências
regulatórias
sexta-feira, 30 de julho de 2010 77
79. Sucesso na GSI
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Comunicação: direção, gerências e
operação
• Planejamento alinhado à estratégia
• Políticas aderentes aos requisitos legais
• Nível de maturidade coerente com
contexto de riscos
• Estruturar controles de segurança
(frameworks)
• Monitorar a eficácia e eficiência
sexta-feira, 30 de julho de 2010 78
80. Melhores Práticas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Personalizar as práticas ao negócio
– “O grande diferencial não está em utilizar
apenas um guia, ma sim em combinar o que
cada um possui de melhor”
sexta-feira, 30 de julho de 2010 79
81. Melhores Práticas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Cuidado com:
– Orçamento
– Pessoas
sexta-feira, 30 de julho de 2010 80
82. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Cobit
sexta-feira, 30 de julho de 2010
81
83. Cobit: alinhamento
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Metas de Negócio
Manter a liderança e a
reputação da instituição
Metas da TI
Garantir que os serviços de
TI estão protegidos de ataques
Metas de Processo
Detectar e resolver acessos
não autorizados
Metas de atividades
Compreender os requisitos
de segurança
sexta-feira, 30 de julho de 2010 82
84. Cobit: metas e medidas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Cada meta estabelecida é acompanhada por
suas respectivas medidas.
• Estas medidas indicam o desempenho do item,
que potencializa o item do nível acima
TI Processos Atividades
define define
Metas
direciona direciona
medido medido medido
Métricas
sexta-feira, 30 de julho de 2010 83
85. Cobit: framework
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Principais áreas de atenção do framework:
! Disponibilizara informação necessária para suporte aos requisitos e
objetivos de negócio
! Tratamento das informações como resultado da combinação dos recursos da
TI, gerenciados através dos processos de TI
Critério de informação
Efetividade
Processos de TI Eficiência
Confidenciabilidade
Integridade
Disponibilidade
Requisitos de negócio Conformidade
Confiabilidade
Abordagem de controle
Recursos de TI
Processos de TI Aplicações
Domínios
Considerações Informação
Processos
• ……………………………
Atividades Infra-estrutura
• ……………………………
• ……………………..…….. Pessoas
sexta-feira, 30 de julho de 2010 84
86. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Cobit
sexta-feira, 30 de julho de 2010
85
88. Cobit: Vídeo parte 1
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 87
89. Cobit: Vídeo parte 1
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 87
90. Cobit: Vídeo parte 2
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 88
91. Cobit: Vídeo parte 3
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 89
92. Cobit: Vídeo parte 4
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010 90
93. ISO/IEC 17799
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• “A ISO/IEC 17799 foi atualizada para
numeração ISO/IEC 27002 em julho de
2007. É uma norma de Segurança da
Informação revisada em 2005 pela ISO e
pela IEC. A versão original foi publicada
em 2000, que por sua vez era uma cópia
fiel do padrão britânico (BS)
7799-1:1999.” (Fonte: Wikipedia)
sexta-feira, 30 de julho de 2010 91
94. ISO/IEC 27000
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• ISO 27000 - Vocabulário de Gestão da Segurança da
Informação;
• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de
gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas
Práticas);
• ISO 27003 - Aborda a gestão de risco;
• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;
• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do
sistema de controles;
• ISO 27006 - Esta norma será referente à recuperação e
continuidade de negócio.
sexta-feira, 30 de julho de 2010 92
95. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010
ISO/IEC 27001
93
96. ISO/IEC 17799/27002
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Framework
– Políticas de segurança
– Segurança organizacional
– Segurança das pessoas
– Segurança física e do ambiente
– Gerenciamento das operações
– Controle de acesso
– Desenvolvimento e manutenção de sistemas
– Gestão da continuidade do negócio
– Conformidade
sexta-feira, 30 de julho de 2010 94
97. Metodologia Octave
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Origem: Software Engineering Institute
(SEI) da Carnigie Mellon University
• Antes de avaliar o risco: entender o
negócio, cenário e contexto
• Octave Method (grandes organizações) e
Octave-S (pequenas)
sexta-feira, 30 de julho de 2010 95
98. Use Octave-S, se:
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Hierarquia simples
• Menos de 300 funcionários
• Metodologia estruturada com pouca
customização
• Há muita terceirização na TI
• Infraestrutura simples
sexta-feira, 30 de julho de 2010 96
99. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
– Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos
importantes, exigências de segurança,
ameaças e vulnerabilidades
– Processo 2: Conhecimento da gerência
operacional: Equipe coleta informações sobre
recursos importantes, exigências de
segurança, ameaças e vulnerabilidades
–
sexta-feira, 30 de julho de 2010 97
100. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 1a Fase: Obtendo informações e definindo
os perfis de ameaças aos ativos
– Processo 3: Conhecimento de cada
departamento: Equipe coleta informações
sobre recursos importantes, exigências de
segurança, ameaças e vulnerabilidades
– Processo 4: Criar perfis de ameaças para 3 a
5 ativos críticos
sexta-feira, 30 de julho de 2010 98
101. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 2a Fase: Identificar vulnerabilidades da
infraestrutura
– Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos
recursos
– Processo 6: Avaliar componentes-chave dos
recursos
sexta-feira, 30 de julho de 2010 99
102. Octave Method
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 3a Fase: Desenvolver estratégias e planos
de segurança
– Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)
– Processo 8: Desenvolver estratégias de
proteção para melhorar as práticas de
segurança
sexta-feira, 30 de julho de 2010 100
103. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 1a Fase: Identifica ativos com base nos
perfis de ameaça
– Processo S1: Identificar ativos, definir critérios
de avaliação dos impactos e situação atual
das práticas de segurança
– Processo S2: Criar perfis de ameaças e definir
exigências de segurança
sexta-feira, 30 de julho de 2010 101
104. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 2a Fase: Identificar vulnerabilidades da
infraestrutura
– Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o
quanto os processos tecnológicos os
protegem
sexta-feira, 30 de julho de 2010 102
105. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 3a Fase: Desenvolver estratégias e planos
de segurança
– Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico
– Processo S5: Desenvolver estratégias de
proteção para melhorar as práticas de
segurança
sexta-feira, 30 de julho de 2010 103
106. Octave-S
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• 3a Fase: Desenvolver estratégias e planos
de segurança
– Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico
– Processo S5: Desenvolver estratégias de
proteção para melhorar as práticas de
segurança
sexta-feira, 30 de julho de 2010 104
107. Octave: Atividades
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
para Gestão de Riscos
• Identificação dos riscos
• Análise e classificação quanto à criticidade
• Criação de plano estratégico para proteção
• Criação de plano para tratamento de riscos
• Planejamento da implantação
• Implantação
• Monitoramento da execução dos planos
• Controle das variações
sexta-feira, 30 de julho de 2010 105
108. Visão ampla
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Where Does COBIT Fit?
CONFORMIDADE
Direcionadores DESEMPENHO: Basel II, Sarbanes-
Metas de Negócio Oxley Act, etc.
Governança Corporativa BSC COSO
Governança de TI COBIT
Melhores práticas ISO ISO ISO
9001:2000 17799 20000
Processos e Procedimentos Princípios de
ITIL
procedimentos de QA Segurança
sexta-feira, 30 de julho de 2010 106
109. Então?
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• ITIL O
que
devo
• Cobit adotar
em
• ISO minha
empresa?
• Octave
• BSC
sexta-feira, 30 de julho de 2010 107
110. Paradigmas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• “A equipe de TI deve
gerenciar e conduzir suas
ações para influenciar as
partes interessadas e
garantir o sucesso do
projeto, sempre focada
no negócio”
sexta-feira, 30 de julho de 2010 108
111. Partes interessadas
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Quais
são
os
principais
stakeholders
de
sua
organização?
sexta-feira, 30 de julho de 2010 109
112. Governando Riscos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Desafio: conhecer os
Por que adotar o
riscos gerenciamento de
• Riscos determinam os riscos de segurança
da informação em
processos de segurança sua organização?
da metodologia/
framework
sexta-feira, 30 de julho de 2010 110
113. Tipos de Riscos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Estratégico e empresarial (negócios)
• Humano
Quais
são
• Tecnológico os
principais
• Imagem riscos
de
sua
organização?
• Legal
sexta-feira, 30 de julho de 2010 111
114. Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
sexta-feira, 30 de julho de 2010
Visão executiva
112
115. Visão executiva
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
Na
sua
• Comunicação empresa,
TI
é
• Foco no negócio custo
ou
• Alinhamento estratégico diferencial?
• Custo x diferencial competitivo
• Recursos de TI como portfólio de
investimentos
sexta-feira, 30 de julho de 2010 113
116. Contexto da
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
organização
Você
fala
• Organograma: formal x real
“javanês”
• Sensibilização e conscientização com
os
• Linguagem execu9vos?
• Benchmark
sexta-feira, 30 de julho de 2010 114
117. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Conceito de processo:
– sequências semi-repetitivas de eventos
que, geralmente, estão distribuídas de
forma ampla pelo tempo e espaço
sexta-feira, 30 de julho de 2010 115
119. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Mapeando processos:
– Enumerar atividades
– Ordernar em forma sequencial
– Identificar entradas e saídas
• recursos
• infraestrutura
• insumos
• matéria-prima
• fornecedores
– Estabelecer características de produtos/
serviços
sexta-feira, 30 de julho de 2010 117
120. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Mapeando processos:
– Definir documentação para operação e
controle
– Estabelecer indicadores de eficácia
– Definir plano de controle
sexta-feira, 30 de julho de 2010 118
121. Governando Processos
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível de maturidade:
– Obter conhecimento sobre os procedimentos
– Otimizar processos (melhores práticas)
– Comparar (benchmark)
– Adotar políticas
– Utilizar a TI como facilitador
– Definir processos de riscos
– Integrar riscos
– Monitorar falhas e melhorias
– Realinhar processos
sexta-feira, 30 de julho de 2010 119
122. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 0: inexistente
sexta-feira, 30 de julho de 2010 120
123. Cobit: níveis de maturidade
Pós-Graduação em Gestão da Segurança de T.I. (GSTI)
• Nível 1: Inicial
– Consciência mínima da necessidade de
Governança
– Estruturas desorganizadas, sem padrões
– Suporte e TI não integrados
– Ferramentas e serviços não integrados
– Serviços reativos a incidentes
sexta-feira, 30 de julho de 2010 121