Políticas de Segurança e Planos de
Continuidade de Negócios
Prof. MSc. Edilberto Silva
[email protected] / http://edilms.eti.br
Pós-Graduação
Introdução e apresentação da
disciplina
• Ementa:
– Conceitos e definições. Diretrizes, normas e procedimentos.
Comitê gestor de segurança da informação. Campanhas de
conscientização. Auditoria e controle. Atualização de políticas.
Análise de impacto no Negócio. Estratégias de contingência:
hot-site, warm-site, cold-site e alternate-site. Plano de
Contingência. Plano de Administração de Crise. Plano de
Continuidade Operacional. Plano de Recuperação de Desastres.
Compliance. Políticas de segurança e planos de continuidade de
negócios na Norma ISO/IEC 17799:2005.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Introdução e apresentação da
disciplina
• Competências pretendidas
– Fazer análise de riscos em ambientes computacionais.
– Elaborar políticas de segurança e planos de continuidade de
negócio.
– Elaborar análise de impacto no Negócio e
– Planejar estratégias de contingência:
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos
Básicos
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Ameaça
• Causa potencial de um incidente indesejado, que
pode resultar em dano para um sistema ou
organização [ISO/IEC 13335-1:2004]
Análise de riscos
• Uso sistemático de informações para identificar
fontes e estimar o risco [ABNT ISO/IEC
• Guia 73:2005]
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Avaliação de riscos
• Processo de comparar o risco estimado com critérios
de risco predefinidos para determinar a importância
do risco [ABNT ISO/IEC Guia 73:2005].
Ativo
• Qualquer coisa que tenha valor para a organização
[ISO/IEC 13335-1:2004]
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Confidencialidade
• Propriedade de que a informação não esteja
disponível ou revelada a indivíduos, entidades ou
processos não autorizados [ISO/IEC 13335-1:2004].
Disponibilidade
• Propriedade de estar acessível e utilizável sob
demanda por uma entidade autorizada
• [ISO/IEC 13335-1:2004].
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Gestão de riscos
• Atividades coordenadas para direcionar e controlar
uma organização no que se refere a riscos [ABNT
ISO/IEC Guia 73:2005]
Impacto
• Abrangência dos danos causados por um incidente
de segurança sobre um ou mais processos de
negócio.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Incidente
• Fato (evento) decorrente de uma ação de uma
ameaça, que explora uma ou mais vulnerabilidades,
levando a perda de princípios da segurança da
informação.
Integridade
• Propriedade de salvaguarda da exatidão e
completeza de ativos [ISO/IEC 13335-1:2004].
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Risco
• Probabilidade de ameaças explorarem
vulnerabilidades, provocando perdas de
confidencialidade, integridade ou disponibilidade,
causando impactos nos negócios.
Equação do Risco:
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Conceitos básicos
Tratamento do risco
• Processo de seleção e implementação de medidas
para modificar um risco [ABNT ISO/IEC Guia 73:2005]
Vulnerabilidade
• Fragilidade de um ativo ou grupo de ativos que pode
ser explorada por uma ou mais ameaças.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, normas e
procedimentos.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ISO/IEC 27001:2006
• Esta Norma foi preparada para prover um modelo
para estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar um Sistema
de Gestão de Segurança da Informação (SGSI). A
adoção de um SGSI deve ser uma decisão estratégica
para uma organização.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
Estrutura da ISO 27001:2006
0. Introdução
5. Responsabilidades da direção
1. Objetivo
(Comprometimento da direção / Gestão de
recursos)
2. Referência normativa
6. Auditorias internas do SGSI
3. Termos e definições
4. Sistema de gestão de segurança da informação
(Requisitos gerais / Estabelecendo e gerenciando
o SGSI / Requisitos de documentação)
7. Análise crítica do SGSI pela direção (Geral /
Entradas para a análise crítica / Saídas da Análise
Crítica)
8. Melhoria do SGSI (Melhoria contínua / Ação
corretiva / Ação preventiva)
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
Estrutura da ISO 27001:2006
0. Introdução
5. Responsabilidades da direção
1. Objetivo
(Comprometimento da direção / Gestão de
recursos)
2. Referência normativa
6. Auditorias internas do SGSI
3. Termos e definições
4. Sistema de gestão de segurança da informação
(Requisitos gerais / Estabelecendo e gerenciando
o SGSI / Requisitos de documentação)
7. Análise crítica do SGSI pela direção (Geral /
Entradas para a análise crítica / Saídas da Análise
Crítica)
8. Melhoria do SGSI (Melhoria contínua / Ação
corretiva / Ação preventiva)
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ISO/IEC 27002:2005
• Esta Norma estabelece diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a
gestão de segurança da informação em uma
organização.
• Os objetivos de controle e os controles desta Norma
têm como finalidade ser implementados para
atender aos requisitos identificados por meio da
análise/avaliação de riscos.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
Estrutura da ISO 27002:2005
0. Introdução
9. Segurança física e do ambiente
1. Objetivo
10. Gerenciamento das operações e comunicações
2. Termos e definições
11. Controle de acessos
3. Estrutura da norma
12. Aquisição, desenvolvimento e manutenção de
4. Análise/avaliação e tratamento de riscos
sistemas
5. Política de segurança da informação
13. Gestão de incidentes de segurança da
6. Organizando a segurança da informação
7. Gestão de ativos
8. Segurança em recursos humanos
Prof. MSc. Edilberto Silva
informação
14. Gestão da continuidade do negócio
15. Conformidade
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ISO/IEC 27005:2008
• Esta norma fornece diretrizes para a segurança da
informação da gestão de riscos, tendo como objetivo
fornecer um guia para a implementação da
abordagem de gerenciamento de riscos orientada ao
processo, para auxiliar na execução e no
cumprimento satisfatório da implementação da
gestão de riscos da informação, baseado nos
requisitos da norma ISO/IEC 27001.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ISO/IEC 27005:2008
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ISO/IEC 27005:2008
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
Estrutura da ISO 27005:2008
1. Introdução
8. Definição do Contexto
2. Escopo
9. Análise/Avaliação de Riscos de SI
3. Referências Normativas
10. Tratamento do Risco de SI
4. Termos e Definições
11. Aceitação do Risco de SI
5. Organização da Norma
12. Comunicação do Risco de SI
6. Contextualização
13. Monitoramento e Análise Crítica de Riscos
7. Visão Geral do Processo de Gestão de de SI
Riscos de Segurança da Informação
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
PDCA na ISO 27005
Plan (planejar)
Estabelecimento do Contexto (Contextualização)
Análise/Avaliação do Risco
Desenvolvimento do Planejamento de Risco
Aceitação do Risco
Do (fazer)
Implementação do Tratamento de Risco
Check (checar)
Monitoração e Revisão dos Riscos
Act (agir)
Manutenção e melhoria do Processo de Gerenciamento de Risco da
Segurança da Informação
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
COBIT 4.1 x ITIL v3 x ISO/IEC 27.002
• Em 2008 a ISACA (COBIT) e a OGC (ITIL) publicaram
um trabalho muito importante para nossa disciplina
• Trata-se do documento “Aligning COBIT 4.1, ITIL V3
and ISO/IEC 27002 for Business Benefit” que trata
sobre o alinhamento do COBIT 4.1, ITIL V3 e ISO / IEC
27002 para Benefício Empresarial, traduzindo
literalmente.
Disponível em:
http://www.isaca.org/KNOWLEDGE-CENTER/COBIT/Pages/Downloads.aspx
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
COBIT 4.1
• O COBIT fornece as melhores práticas e ferramentas
para monitorar e gerenciar as atividades de TI,
ajudando os executivos a compreender e gerir
investimentos de TI em todo seu ciclo de vida.
• Fornece um método para avaliar se os serviços de TI
e novas iniciativas são susceptíveis de oferecer os
benefícios esperados.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
COBIT 4.1 x ISO/IEC 27.002
• Quanto aos critérios da informação
– Confidencialidade, Integridade e Disponibilidade.
• No domínio Planejamento e Organização os processos:
– P02 Definir a Arquitetura da Informação, PO4 Definir os Processos,
Organização e os Relacionamentos de TI e PO9 Avaliar e Gerenciar os
Riscos de TI.
• No domínio Aquisição e Implementação o processo:
– AI2 Adquirir e Manter Software Aplicativo.
• No domínio Entrega e Suporte os processos
– DS4 Assegurar Continuidade de Serviços, DS5 Assegurar a Segurança
dos Serviços, DS7 Educar e Treinar os Usuários, DS8 Manage Service
Desk and Incidents.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ITIL V3
• O Gerenciamento de Serviços de TI é o conjunto de
capacidades organizacionais (processos e métodos de
trabalho, funções, papéis e atividades) realizadas para prover
valor sob a forma de serviços.
“O Gerenciamento de Serviços é um conjunto de habilidades da organização
para fornecer valor para o cliente em forma de serviços”
• O ITIL V3 tem um eixo (núcleo) de condução das atividades, o
livro de Estratégia de Serviço, que norteia os demais livros /
processos, que são: Desenho de Serviço, Transição de Serviço
e Operação de Serviço. Circundando todos os processos está
o livro de Melhoria Contínua de Serviço.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Diretrizes, Normas e Procedimentos
ITIL V3 x ISO/IEC 27.002
Em relação à segurança especialmente no ITIL V3
• No Desenho de serviços:
– ISM – Gerenciamento de Segurança da Informação
– ITSCM - Gerenciamento de Continuidade dos serviços de
TI
• Na Transição de serviços:
– Gerenciamento de Configuração e de Ativos de Serviço
(SACM) especificamente na validação e testes de serviços.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Metodologia para Implantação
de um SGSI
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Metodologia para
Desenvolvimento de SGSI
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Metodologia de desenvolvimento de
SGSI
Passo 1 - Concepção
• Envolve: Diagnóstico da situação atual e Planejamento do SGSI
• Determinar a viabilidade do projeto
• Realizar o planejamento inicial de suas fases e algumas estimativa
Passo 2 - Estabelecimento de uma Política de SI
• Documento que descreve as recomendações, as regras, as
responsabilidades e as práticas de segurança
Passo 3 - Análise de Risco
• Diagnóstico da segurança para o escopo definido
• Identificação dos ativos de informação envolvidos
• Mapeamento de todas as ameaças relacionadas aos ativos
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Metodologia de desenvolvimento de
SGSI
Passo 4- Gerenciamento de Riscos
• Identificar os ativos e as vulnerabilidades críticas
• Priorizar esforços e os gastos com segurança
• Utilização da ISO/IEC 27005:2008
Passo 5 - Seleção dos Controles e Declaração de Aplicabilidade
• Identificar requisitos de segurança
• Selecionar e Implementar controles
• Assegurar que os riscos sejam reduzidos a um nível aceitável.
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Metodologia de desenvolvimento de
SGSI
Passo 6 - Implementação e Acompanhamento dos Indicadores
• Produção de indicadores específicos que possibilitem visualizar as
condições de funcionamento e desempenho do ambiente
analisado.
Passo 7- Auditoria do Sistema
• Verificar, com base em evidências objetivas, se os sistemas
atendem as regras estabelecidas
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Comitê de Segurança da
Informação
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Comitê de Segurança da Informação
Principais funções
• Definir o nível de risco aceitável pela organização.
• Permitir que o departamento de segurança esteja alinhado as
decisões estratégicas
• Sugere-se para algumas organizações a criação de um
departamento de segurança da informação, sob responsabilidade
do CSO.
CSO - CSO – Chief Information Security Officer
• Executivo responsável pela segurança da informação da organização
inteira, tanto física como lógica
• Supervisionar e coordenar os esforços de segurança em toda a
empresa, incluindo as áreas de tecnologia da informação
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Plano de Continuidade de
Negócio
PCN
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
PCN
Composto de
• Análise de Impacto de negócios (AIN)
• Planos de contingência
– de Administração de Crises (PAC),
– de Recuperação de Desastres (PRD) e
– de Continuidade Operacional (PCO).
Prof. MSc. Edilberto Silva
[email protected]
Objetivo
• Garantir a continuidade
de processos e
informações vitais à
sobrevivência da empresa,
no menor espaço de
tempo possível, com o
objetivo de minimizar os
impactos
do desastre
http://www.edilms.eti.br
Desenvolvimento de um PCN
1. Iniciação do projeto (objetivos e pressupostos);
2. Requisitos funcionais (obtenção e análise dos fatos, as
alternativas e as decisões de gestão)
3. Concepção e desenvolvimento (elaboração do plano)
4. Implantação (criação do plano)
5. Testes e exercícios (pós-implantação revisão do plano)
6. Manutenção e atualização (atualização do plano)
7. Execução (declarar desastre e executar as operações de
recuperação)
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
AIN - Análise de Impacto de Negócios
O que é
• Parte essencial do PCN
• Ajuda as organizações a identificarem as suas
atividades e os recursos críticos
• Permite mensurar o impacto da falha de recursos
críticos na organização.
PCN =
AIN + (PAC + PCO + PRD)
Plano de Contingência
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
PAC - Plano de Administração de Crise
O que é
• Define passo-a-passo o funcionamento das
equipes antes, durante e depois da ocorrência
do incidente.
• Tem com objetivo definir os procedimentos a
serem executados até o retorno normal das
atividades.
PCN =
AIN + (PAC + PCO + PRD)
Plano de Contingência
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
PCO - Plano de Continuidade
Operacional
O que é
• Define os procedimentos para
contingenciamento dos ativos
• Tem como objetivo reduzir o tempo de
indisponibilidade e os impactos potenciais ao
negócio.
PCN =
AIN + (PAC + PCO + PRD)
Plano de Contingência
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
PRD - Plano de Recuperação de
Desastres
O que é
• Abrange a recuperação e restauração
das funcionalidades dos ativos humanos,
operacionais, tecnológicos que suportam
o negócio.
• Tem como objetivo restabelecer o
ambiente as condições originais de
operação
PCN =
AIN + (PAC + PCO + PRD)
Plano de Contingência
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Etapas para elaboração
1. Identificação e Análise de Riscos de
2.
3.
Desastres/Ameaças
Classificação de Riscos Baseada em
pesos relativos (Riscos Externos,
sobre facilidades, sobre sistemas
de dados, Departamentais e sobre
Desktop)
Construir a Avaliação de Risco
Prof. MSc. Edilberto Silva
[email protected]
PRD
Fases
1. Ativação
2. Execução
3. Reconstituição
http://www.edilms.eti.br
Estratégia de Contingência
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Estratégias de Contingência
• In-House
– Instalações nos moldes da principal
• Contrato com terceiros
– Uso temporário da instalação de outras empresas
• Cold Site
– Sala vazia tudo deve ser levado posteriormente pode ser fixed center ou
mobile center
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Estratégias de Contingência
• Warm site
– Parcialmente vazio com alguns componentes
• Hot Site
– Local equipado com instalação substituta alimentada 24x7
– O tipo Fixed Center detém equipamentos dedicados para espelhar sistemas
críticos
• Local recíproco
– Contrato assinado para compartilhar espaço
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Auditoria
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Auditoria
• Definição
– Atividade devidamente estruturada para
examinar criteriosamente a situação de Controles
por meio da análise de OA - Objetos de Auditoria
e seus PC – Pontos de Controle
• Controles
– Submeter um ente a um determinado
comportamento com objetivo de gerenciar
• Objetos de Auditoria
– Agrupamento de pontos de controle como por
exemplo computadores, redes
• Pontos de Controle
– Produtos, processos, procedimentos, eventos
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Passos de uma auditoria
1. Gestão do Projeto ou Programa
2. Decisão do propósito da auditoria
3. Identificação do objeto e pontos de
controle
4.
5.
6.
7.
8.
9.
Definição de técnicas e evidências
Montagem e roteirização da auditoria
Coleta e registro de evidências
Verificação e validação e avaliação
Produção de pareceres
Acompanhamento
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Classificação da Informação
• Decreto 4553/2002
–
dispõe sobre a salvaguarda de dados, informações,
documentos e materiais sigilosos de interesse da
segurança da sociedade e do Estado, no âmbito da
Administração Pública Federal, auxiliando os gestores na
definição de critérios de classificação de dados nas
organizações públicas
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Classificação da Informação
Tipo
Descrição
Duração
Sem classificação, cujo acesso pode ser franqueado a qualquer
interessado;
Dados ou informações cuja revelação não autorizada possa
Reservados comprometer planos, operações ou objetivos neles previstos ou
referidos.
Dados ou informações que, no interesse do Poder Executivo e das
partes, devam ser de conhecimento restrito e cuja revelação não
Confidenciais autorizada possa frustrar seus objetivos ou acarretar dano à
segurança da sociedade e do Estado.
Ostensivos
Máximo de 5 anos
Máximo de 10
anos
Dentre outros, dados ou informações referentes a sistemas,
instalações, programas, projetos, planos ou operações de interesse
da defesa nacional, a assuntos diplomáticos e de inteligência e a
planos ou detalhes, programas ou instalações estratégicos, cujo
conhecimento não autorizado possa acarretar DANO GRAVE à
segurança da sociedade e do Estado.
Máximo de 20
anos.
Dentre outros, dados ou informações referentes à soberania e à
integridade territorial nacionais, a planos e operações militares, às
relações internacionais do País, a projetos de pesquisa e
Ultra-Secretos desenvolvimento científico e tecnológico de interesse da defesa
nacional e a programas econômicos, cujo conhecimento não
autorizado possa acarretar DANO EXCEPCIONALMENTE GRAVE à
segurança da sociedade e do Estado.
Máximo de 30
anos
Secretos
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Muito obrigado!!
Bons estudos =D
Prof. MSc. Edilberto Silva
• [email protected]
• http://edilms.eti.br
Prof. MSc. Edilberto Silva
[email protected]
http://www.edilms.eti.br
Download

Slides sobre Políticas de Segurança