Projeto de Segurança da
Informação
Senior TI
Paulo Fernando da Silva
Consultor
► Mestre
UFSC
em Segurança da Informação pela
► Professor
de graduação e pós-graduação
FURB, Univali e SENAC-Florianópolis
► Doutorando
pela PUC-PR
em Segurança da Informação
Pauta
► Cenário
da Segurança da Informação
► Metodologia
► Projeto Senior:




Inventário de Ativos
Análise de Vulnerabilidades
Análise de Risco
Política de Segurança da Informação
Cenário Atual de Informação
► Aumento
da integração
entre sistemas
► Aumento da
distribuição dos
sistemas
► Uso de tecnologias
mais complexas
► Informações
► Aumento
► Aumento
de
Vulnerabilidades
com
maior valor estratégico
► Transações financeiras
on-line
► Maior dependência das
organizações em
relação às informações
de Ativos
de Informação
Cenário Atual de Informação
► Incidentes
causam prejuízos financeiros:
 Indisponibilidade de serviços ou informações
 Fraude e Roubo de informações
 Pagamento de multas contratuais
 Processos Judiciais por parte de clientes,
parceiros e fornecedores
Cenário Atual de Informação
► Incidentes
prejudicam a imagem da
organização perante clientes, parceiros e
fornecedores:
 Indisponibilidade de serviços ou informações
 Vazamento de informações confidenciais
Incidentes nos EUA
Incidentes no Brasil
Pesquisa Nacional
de Segurança da Informação
(Módulo, 2006)
► 33%
das empresas não sabem quantificar
perdas por incidentes
► 21% das empresas não sabem identificar os
responsáveis
► 48% dedicam-se apenas a corrigir as falhas
encontradas
Pesquisa Nacional
de Segurança da Informação
(Módulo, 2006)
► Nas
empresas que identificaram os ataques:
 24% causados por funcionários
 20% causados por hackers
Metodologia
► ISO
27001: Sistemas de Gestão de
Segurança da Informação
► ISO
17799: Controles para Gestão de
Segurança da Informação
► Metodologia
PMBOK
de projeto baseada em
Metodologia
► NIST
SP 800-40: Gerenciamento de
Vulnerabilidades
► NIST
SP 800-42: Teste de Segurança
► NIST
FIPS PUB 199: Classificação da Segurança
► NIST
SP 800-55: Guia de Métrica de Segurança
Projeto de
Segurança da Informação
► Identifica
Ativos
► Define Controles
► Integridade
► Confidencialidade
► Disponibilidade
► Autenticidade
► Legalidade
Vantagens da
Segurança da Informação
► Facilita
a administração das redes e recursos
► Preserva o atendimento a requisitos legais
► Preserva a imagem da organização
► Preserva a satisfação do cliente
► Melhora o direcionamento de investimentos
em segurança
Projeto Senior
► Inventário
e Classificação de Ativos da
Informação
► Análise
de Vulnerabilidades
► Análise
de Risco
► Política
de Segurança da Informação
Inventário de Ativos
► Faz
o levantamento dos ativos de
informação mais relevantes
► Define responsabilidades
► Classifica os ativos
► Fornece
informações para as próximas
análises e para a política de segurança
Inventário de Ativos – Etapas
► Identificação




de Ativos
Informações
Hardware
Software
Pessoas
► Definição
de Responsabilidades
 Proprietário e Custodiante
 Administrador
 Usuários
Inventário de Ativos – Etapas
► Classificação




dos Ativos
Confidencialidade
Integridade
Disponibilidade
Escopo
► Conclusão
 Apresentação dos resultados
Análise de Vulnerabilidades
► Identifica
falhas sobre os ativos de
informação
► Age sobre:
 Tecnologias: software e hardware
 Pessoas: habilidades
 Ambientes: acesso físico e acidentes
► Fornece
informações para a análise de risco
Análise de Vulnerabilidades – Etapas
► Coleta
de Dados
 Tecnologias
 Pessoas
 Ambientes
► Análise
das Vulnerabilidades
 Análise de Tecnologias
 Análise de Pessoas
 Análise de Ambientes
Análise de Vulnerabilidades – Etapas
► Plano
de Ação
 Plano de Tecnologias
 Plano de Pessoas
 Plano de Ambientes
► Conclusão
 Apresentação dos resultados
Análise de Risco
► Seu
objetivo é quantificar os riscos
► Age sobre:




Vulnerabilidades
Ameaças
Impacto
Ocorrência
► Determinar
prioridades de investimento
Análise de Risco – Etapas
► Levantamento




Identificação
Identificação
Identificação
Identificação
► Determinação
de Variáveis
de
de
de
de
Vulnerabilidades
Ameaças
Impacto
Ocorrências
de Riscos
 Análise e cálculo dos riscos
Análise de Risco – Etapas
► Tratamento
de Riscos
 Análise de tratamentos
 Validação dos tratamentos
 Definição do plano de ação
► Conclusão
 Apresentação dos resultados
Política de Segurança
► Define
regras e punições para acesso aos
ativos de informação
► Age sobre:
 Pessoas
 Comportamento
 Informações
► Cria
uma cultura de segurança na
organização
Política de Segurança – Etapas
► Desenvolvimento





da Política
Aspectos Preliminares
Políticas Organizacionais
Política de Gestores de Ativos
Política de Usuários de Ativos
Violação da Política
► Discussão
e Aprovação da Política
Política de Segurança – Etapas
► Plano
de Ação
 Ações de Curto Prazo
 Ações de Médio Prazo
► Conclusão
 Apresentação dos resultados
Alguns Benefícios
► Maior
conhecimento sobre as informações
► Maior confiabilidade no ambiente
► Conscientização dos colaboradores
► Aderência a normas e obrigações legais
► Definição de controles e responsabilidades
Resultados
► Ao
final de cada sub-projeto são entregues:
 Documento detalhado do projeto
 Relatório gerencial do projeto
 Plano de ações
Fim - Obrigado
► Contato:
Paulo Fernando da Silva
► E-mail: [email protected]
► Site: www.trackerti.com