Segurança e Auditoria de Sistemas

Transcrição

1 Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC Introdução 1

2 Roteiro Definição Justificativa Fontes de Requisitos Análise/Avaliação de Riscos Seleção de Controles Ponto de Partida Fatores Críticos de Sucesso Diretrizes Próprias 2

3 Definição (1/4) A informação é um ativo. Necessita ser adequadamente protegida. Importante em negócios cada vez mais interconectados. A informação está exposta a uma crescente quantidade de AMEAÇAS e VULNERABILIDADES. 3

4 Definição (2/4) A informação pode existir em diversas formas. Independente da forma, deve ser protegida adequadamente. 4

5 Definição (3/4) SEGURANÇA DA INFORMAÇÃO é: a proteção da informação contra vários tipos de ameaças; para garantir a continuidade do negócio; minimizar o risco ao negócio; maximizar o retorno sobre os investimentos e; as oportunidades de negócios. 5

6 Definição (4/4) SEGURANÇA DA INFORMAÇÃO é obtida: a partir da implementação de um conjunto de controles adequados; incluindo políticas; processos; procedimentos; estruturas organizacionais e; funções de software e hardware. 6

7 Justificativa (1/4) Definir, alcançar, manter e melhorar a segurança da informação pode ser essencial para assegurar: a competitividade; o fluxo de caixa; a lucratividade; o atendimento aos requisitos legais; a imagem da organização junto ao mercado. 7

8 Justificativa (2/4) As organizações, seus sistemas de informação e redes de computadores são expostos a ameaças. A segurança da informação é importante para instituições públicas e privadas. Também serve para proteger as infra-estruturas críticas. Sua função é viabilizar os negócios e evitar ou reduzir os riscos importantes. 8

9 Justificativa (3/4) Muitos sistemas não foram projetados para serem seguros. A segurança fornecida por tecnologias é limitada e deve ser apoiada por uma gestão e procedimentos adequados. 9

10 Justificativa (4/4) Pode ser necessária a participação de: acionistas; clientes; terceirizados; outras partes externas; consultorias. 10

11 Fontes de Requisitos Existem três principais fontes de requisitos: análise/avaliação de riscos para a organização; legislação vigente, estatutos, regulamentação e cláusulas contratuais no âmbito da organização; conjunto particular de princípios, objetivos e requisitos do negócio para o processamento da informação na organização. 11

12 Análise e Avaliação de Riscos (1/2) Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negócios gerados pelas potenciais falhas. Os resultados da análise/avaliação de risco ajudam a direcionar e determinar: ações gerenciais adequadas; prioridades para o gerenciamento do risco; os controles que foram selecionados para a proteção de riscos. 12

13 Análise e Avaliação de Riscos (2/2) A análise/avaliação de riscos deve ser repetida periodicamente para contemplar mudanças que possam influenciar os resultados da análise/avaliação. O item 4.1. da norma descreve melhor isso. 13

14 Seleção de Controles (1/4) Uma vez que: tenham sido identificados os requisitos de segurança da informação e os riscos; tenham sido tomadas as decisões para o tratamento dos riscos; convém que controles apropriados sejam selecionados e implementados reduzir os riscos sejam a um nível aceitável. 14

15 Seleção de Controles (2/4) Os controles podem ser: selecionados a partir da NBR 27002; escolhidos de um outro conjunto de controles; ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. A seleção de controles de segurança da informação depende das decisões da organização. 15

16 Seleção de Controles (3/4) A seleção de controles baseia-se: nos critérios para aceitação de risco; nas opções para tratamento do risco; no enfoque geral da gestão de risco aplicado à organização. Convém que a seleção esteja sujeita a todas as legislações e regulamentações relevantes. 16

17 Seleção de Controles (4/4) Alguns dos controles da NBR podem ser considerados como princípios básicos para a gestão da segurança da informação e podem ser aplicados na maioria das organizações. 17

18 Ponto de Partida (1/5) Uma certa quantidade de controles pode ser um bom início de implementação da segurança da informação. Os controles devem ser baseados em: requisitos legais; melhores práticas de segurança da informação normalmente usadas. 18

19 Ponto de Partida (2/5) Os controles considerados essenciais para uma organização incluem: proteção de dados e privacidade de informações pessoais; proteção de registros organizacionais; direitos de propriedade intelectual. 19

20 Ponto de Partida (3/5) São controles considerados boas práticas para a segurança da informação: documento da política de segurança da informação; atribuição de responsabilidades para a segurança da informação; conscientização, educação e treinamento em segurança da informação; processamento correto nas aplicações; (...continua) 20

21 Ponto de Partida (4/5) (...continuação) gestão de vulnerabilidades técnicas; gestão da continuidade do negócio; gestão de incidentes de segurança da informação e melhorias. Estes controles se aplicam à maioria das organizações e à maioria dos ambientes. 21

22 Ponto de Partida (5/5) A relevância de qualquer controle deve ser determinada pelos riscos específicos a que uma organização está exposta. Um bom ponto de partida também inclui a seleção de controles baseada na análise e avaliação de riscos. 22

23 Fatores Críticos de Sucesso (1/4) Fatores críticos para o sucesso da implementação da segurança da informação: política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; uma abordagem e uma estrutura consistentes com a cultura organizacional para a implementação, manutenção, monitoramento e melhoria da segurança da informação; (continua...) 23

24 Fatores Críticos de Sucesso (2/4) (...continuação) comprometimento e apoio visível de todos os níveis gerenciais; bom entendimento dos requisitos de segurança da informação, da análise, avaliação e gestão de riscos; divulgação eficiente da segurança da informação a todos envolvidos para se alcançar a conscientização; (continua...) 24

25 Fatores Críticos de Sucesso (3/4) (...continuação) distribuição de diretrizes e normas sobre a política de segurança da informação a todos na organização; recursos financeiros para as atividades da gestão de segurança da informação; conscientização, treinamento e educação; processo de gestão de incidentes de segurança da informação; (continua...) 25

26 Fatores Críticos de Sucesso (4/4) (...continuação) sistema de medição para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. 26

27 Diretrizes Próprias (1/2) A NBR é um ponto de partida para o desenvolvimento de diretrizes específicas. Nem todos os controles e diretrizes contidos na NBR podem ser aplicados. Controles adicionais e recomendações podem ser necessários. 27

28 Diretrizes Próprias (2/2) Documentos contendo controles adicionais levam a realização de uma referência cruzada com a NBR O objetivo é a facilitação do processo de auditoria e/ou verificação da conformidade por auditores ou parceiros. 28

29 Considerações A NBR é um conjunto de diretrizes de segurança da informação que podem ser aplicadas em uma organização. A aplicação destas diretrizes não implica em segurança total, mas diminui a probabilidade de ocorrência dos riscos. Existem empresas especializadas em implantar e verificar/auditar a implantação da NBR

30 Considerações Desta forma, a NBR é objeto de estudo de qualquer profissional de segurança da informação. Por isso, ela será estudada durante todo o curso. 30