Praticando a Segurança da Informação

Transcrição

1 Praticando a Segurança da Informação Edison Fontes, CISM, CISA edison@pobox.com Cabo Verde, Praia, 03 de Dezembro de Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 1

2 Edison Fontes, CISM, CISA Segurança da Informação desde 1989 Livros Coordenador Banco BANORTE Gerente de PricewaterhouseCoopers Security Officer da GTECH Brasil Executivo da Prática Segurança Informação CPM Braxis Núcleo Consultoria em Segurança. Praticando a segurança da informação, Editora Brasport, Por quê GESITI?, Editora Komedi, CENPRA/MCT, 2007, Co-autor. Segurança da Informação: o usuário faz a diferença, Editora Saraiva, Vivendo a Segurança da Informação, Editora Sicurezza, Banco Eletrônico, PwC, Edição FEBRABAN, 2000, Co-autor. Guia Básico para Projetos de Segurança Lógica de Dados FEBRABAN, 1991, Co-autor. Innovations and Advanced Techniques in Computer and Information Sciences and Engineering, Springer/USA, 2007, Co-Autor. Colunista Portal ITWEB Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 2

3 Ativos da Organização Ativos Tangíveis Ativos Intangíveis Ativos intangíveis que Geram valor Ativos intangíveis que Protegem valor Fonte: Livro Ativos Intangíveis Daniel Domeneguetti, Roberto Meir Editora Campos, Brasil, Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 3

4 Ambiente da Informação P e s s o a s Ambiente de tecnologia INFORMAÇÃO Ambiente convencional C o n c o r r e n t e s Contingências Crime organizado 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 4

5 Gestão de riscos Regulamentação e regras de negócio Processo Corporativo de Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Pessoas Conscientização e Treinamento Continuidade do negócio Tratamento de incidentes de segurança Modelo operativo da SI Ambiente Físico e infra-estrutura Requisitos para Forense computacional 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 5

6 A m b i e n t e s A m b i e n t e s A m b i e n t e s A m b i e n t e s A m b i e n t e s Normas Políticas Estrutura proposta para as Políticas e Normas Política de segurança e proteção da informação Acesso informação Ambiente tecnologia Uso recurso tecnologia Uso recurso tecnologia Internet Desenvolvimento Aquisição de Sistemas Ambiente físico Plano de continuidade Cópias de segurança Classificação informação Acesso informação Procedimentos Ambiente Principal Requisitos de segurança e operacionais - Quadro Uso recurso tecnologia Processos responsabilidade Microcomputador Gestores informação Amb.Principal Padrões para Micro Acesso informação Ambiente X computador Acesso informação Ambiente Y 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 6

7 Segurança da Informação Acesso à Informação Identificação Autenticação Autorização - Identidade usuário - Ciclo de vida da identidade - Criação - Bloqueio - Retirada - Outras ações - Verificação da veracidade do usuário - Utilização de senha, biometria, tokens - Verificação se usuário está autorizado - Acesso ao recurso - Modelo de autorização (perfil, unitário, grupo) Gestão de Identidade Gestão de Autenticação Gestão de Autorização 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 7 7

8 Avaliação da Gestão da Segurança da Informação 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 8

9 Planejamento para a Gestão da Segurança da Informação 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 9

10 Segurança da Informação Exigencias (Futuras) Novas, novas, novas tecnologias. Redes sociais (pessoas, organizações, governo). Maior Mobilidade. Maior quantidade de informação. Conhecimento (???). Maior busca pela privacidade. Maior quantidade de informação em um único lugar maior facilidade de vazamento Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 10

11 O que fazer? - Ter regulamentos claros (Qual proteção se quer?) - Investir nas pessoas - Ter alinhamento com os objetivos da organização - Planejar a segurança da informação - Executar a segurança da informação 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 11

12 Alinhamento aos objetivos da Organização Área de Segurança da Informação -Ter um nível hierárquico adequado. - Conhecer a estratégia da Organização. - Participar dos projetos deste o início. - Os objetivos da Organização são a razão de ser da S.I Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 12

13 Gestão de riscos Regulamentação e regras de negócio Processo Corporativo de Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Pessoas Conscientização e Treinamento Continuidade do negócio Tratamento de incidentes de segurança Modelo operativo da SI Ambiente Físico e infra-estrutura Requisitos para Forense computacional 2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 13

14 Contato Edison Fontes, CISM, CISA Cel. (55-11) Link de artigos: Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 14