Edison Fontes, CISM, CISA Consultor Núcleo Consultoria Brasil

Transcrição

1 Edison Fontes, CISM, CISA Consultor Núcleo Consultoria Brasil 28 a 30 de Setembro de 2010 Centro de Convenções Frei Caneca São Paulo BRASIL

2 Edison Fontes, CISM,CISA Segurança da informação desde Banco BANORTE, - PricewaterhouseCoopers, - GTECH Brasil, - CPM Braxis, - Núcleo Consultoria.

3 Livros Edison Fontes, CISM,CISA Praticando a segurança da informação, Editora Brasport, Segurança da Informação: o usuário faz a diferença, Editora Saraiva, Vivendo a Segurança da Informação, Editora Sicurezza, Colunista Portal ITWEB

4 Ter Eficiência Existência de Controles Evitar Perdas Ter Medição

5 A informação é um ativo da organização

6 A m e a ç a s Objetivos de Negócio / Ações Operacionais Para serem alcançados precisam utilizar Informação A m e a ç a s 6

7 Requisitos para a Informação Ser confiável - não estar corrompida Estar disponível ao longo do tempo Ter apenas acesso autorizado Estar de acordo com a legislação Ser passível de auditoria 7

8 Possíveis Impactos Financeiros Operacionais De Imagem

9 Ambiente da Informação P e s s o a s Ambiente de tecnologia INFORMAÇÃO Ambiente convencional C o n c o r r e n t e s Contingências Crime organizado

10 Processo de segurança da informação Maior Risco É o não tratamento profissional das ameaças existentes em relação à informação. Negócio e Objetivos da Organização 10

11 Gestão de riscos Regulamentação e regras de negócio Processo de Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Pessoas Conscientização e Treinamento Continuidade do negócio Tratamento de incidentes de segurança Modelo operativo da SI Ambiente Físico e infra-estrutura Requisitos para Forense computacional Fonte: Livro Praticando a segurança da informação, Edison Fontes, Editora BRASPORT, 2008.

12 Processo de segurança da informação Maior Desafio Alcançar o nível adequado de proteção da informação. Negócio e Objetivos da Organização 12

13 Gestão da Segurança da Informação

14 Estrutura de Políticas e Normas de Segurança da Informação Convém que a direção estabeleça uma clara orientação da política alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. NBR 27002:2005.

15 Acesso à Informação Identificação - Identidade usuário - Ciclo de vida da identidade - Criação - Bloqueio - Retirada - Outras ações Autenticação - Verificação da veracidade do usuário - Utilização de senha, biometria, tokens Autorização - Verificação se usuário está autorizado - Acesso ao recurso - Modelo de autorização (perfil, unitário, grupo) Gestão de Identidade Gestão de Autenticação Gestão de Autorização

16 Gestão de riscos Regulamentação e regras de negócio Processo de Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Pessoas Conscientização e Treinamento Continuidade do negócio Tratamento de incidentes de segurança Modelo operativo da SI Ambiente Físico e infra-estrutura Requisitos para Forense computacional Fonte: Livro Praticando a segurança da informação, Edison Fontes, Editora BRASPORT, 2008.

17 FIM Edison Fontes, CISM, CISA Cel