Gestão da Segurança da Informação

Transcrição

1 Gestão da Segurança da Informação

2 Histórico Em 1995, a comunidade britânica, através da BSI (Britsh Standard Instiute), criou a norma BS 7799, composta de duas partes em que a primeira parte reunia as melhores práticas para o gerenciamento de segurança da informação, e a segunda, publicada em 1999, um modelo para o estabelecimento do sistema de gestão de segurança da informação, sujeito à certificação de conformidade. Considerado o mais completo padrão à época, essa norma ganhou visibilidade mundial. A ISO buscou analisar a primeira parte da BS 7799, a fim de construir sua versão da norma para tratar do assunto, chamada ISO/IEC 17799:2000.

3 Histórico Em 2005, a ISO e a ABNT renomearam a ISO batizando-a de ISO 27002, criando assim a família de normas associadas à gestão da segurança da informação. No mesmo ano foi lançada a norma ISO/IEC 27001:2005, que era a versão da ISO para a segunda parte da BS 7799, que definia o SGSI e a possibilidade de certificação das empresas pelo estabelecimento desse tipo de sistema.

4 Histórico Recentemente, em setembro de 2013, a ISO lançou revisões das normas e 27002, atualizando e reorganizando seus conteúdos e, principalmente, uma abordagem mais flexível e simplificada, a fim de garantir uma gestão de riscos mais efetiva. Todas as versões da norma, inclusive a brasileira, que poucas alterações incorporou, tratam de aspectos bem abrangentes, mas girando sempre no eixo dos principais conceitos de segurança:

5 Histórico As normas podem ser consideradas como ponto de partida para o desenvolvimento de recomendações específicas para a organização. Nem todas as recomendações e os controles podem ou devem ser aplicados.

6 Normas O fato de já existirem normas nacionais e internacionais que rezem sobre o código de conduta para o gerenciamento da segurança da informação não soluciona por completo o desafio que as empresas enfrentam. Isso acontece porque a norma tem o nítido papel de apenas apontar os aspectos que merecem atenção, indicando O QUE fazer para o adequado gerenciamento sem, no entanto, indicar com precisão metodológica COMO se deve realizar as atividades. Nada adiantará estar ciente dos controles e aspectos apontados por uma norma de segurança se você não dispuser de uma metodologia condizente e consistente, capaz de orientar as atividades, transformando-as em resultados reais ligados à redução dos riscos.

7 Estrutura ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO Especifica os princípios, conceitos e a teoria. Descreve os requisitos Código de prática Guia de exemplo de implantação Métricas para SGSI Gerenciamento de riscos Processo de registro e certificação Diretrizes de auditoria Diretrizes de auditoria de controles de segurança da informação Diretrizes para comunicação intersetores e interorganizações Diretrizes para SGSI para telecomunicações

8 Estrutura ISO ISO ISO ISO ISO ISO ISO ISO ISO ISO ISSO Diretrizes para implementação conjunta da ISO e ISO Governança da Segurança da Informação SGSI para segmento financeiro e de seguros Plano de continuidade de negócios Diretrizes para ciber-segurança Segurança de rede Segurança de aplicações Gerenciamento de incidentes Terceirização Manutenção de evidências digitais Diretrizes para implantar a ISO na Industria da saúde

9 27002 Estrutura ISO Introdução Escopo Termos e Definições Estrutura da Norma Gerenciamento de risco Politica de Segurança Organização da Segurança da Informação Gerenciamento de Ativos Recursos Humanos Segurança Física e Ambiental Gerenciamento da Comunicação Controle de acesso Aquisições de Sistemas de Segurança da Informação Gerenciamento de Incidentes de Segurança Gerenciamento da Continuidade do Negócio Conformidade

10 27002 Sistema de gerenciamento de segurança da informação Essa norma visa prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação. Muitos gerentes, analistas e consultores de TI dentre outros, equivocadamente associam Segurança da Informação (SI) e sua totalidade a: Antivírus, Antispyware, Antiphishing, Firewall, criptografia, soluções de DLP (Data Loss Prevention), ferramentas de monitoramento, ambientes de desenvolvimento segregados, tolerância a falhas, salas cofre e muitos outros. Entretanto estes são simplesmente alguns dos requisitos de segurança que aliados a procedimentos, políticas e processos compõem a prática de SI. Os SGSI é baseado nas melhoras práticas e ajudam o gestor na tarefa de organizar e entender a Segurança da Informação.

11 Mercado Pesquisadores descobrem como infectar Macs sem usar a internet Por anos usuários de Mac se vangloriaram por usar um sistema alegadamente impenetrável, mas esse status não é mais verdadeiro. Pesquisadores de segurança descobriram uma forma de instalar worm na BIOS do Mac, e não é possível removêlo limpando o sistema operacional ou mesmo substituindo o disco rígido do computador. A Wired conta que os pesquisadores Xeno Kovah e Trammell Hudson demostraram uma prova de conceito do worm, batizado por eles de Thunderstrike 2. Ele pode ser instalado na máquina mesmo sem conexão à internet, chegando ao option ROM através de periféricos. Uma vez lá dentro, o worm se espalha para qualquer coisa plugada ao computador. Fonte:

12 Mercado Especialista demonstra como espiões podem controlar celulares sem os donos saberem Técnicas secretas de agências de inteligência para espionar telefones celulares raramente vêm a público. Mas uma empresa de segurança britânica mostrou à BBC como funciona uma ferramenta vendida a governos de todo o mundo e que vazou recentemente na internet por obra de hackers. Ela permite que espiões tirem fotos secretas com a câmera de um telefone e gravem conversas com microfones sem que o dono do telefone saiba. O software, feito pela empresa italiana Hacking Team, foi roubado dela por hackers e publicado na internet. Praticamente qualquer dado em um telefone, tablet ou computador pode ser acessado pela ferramenta. Em uma demonstração ao vivo do sistema, Greenwood mostrou como um telefone infectado com o software poderia gravar áudio do microfone mesmo quando o aparelho está bloqueado e usar a câmera sem que o dono saiba. Fonte: