Apresentação. Ricardo Brito do Nascimento. Orientadora: Profa. Dra. Maristela Terto de Holanda

Transcrição

1 Apresentação Ricardo Brito do Nascimento Orientadora: Profa. Dra. Maristela Terto de Holanda

2 Título Fortificando a Segurança da Informação em Rede Corporativa considerando a Segurança em Recursos Humanos e seus Aspectos Legais

3 Problema Controlar o vazamento de informações em redes corporativas governamentais Observação inicial: tecnologia

4 Objetivo Geral O objetivo geral deste trabalho é apresentar uma proposição para aplicar treinamentos e controles referentes a Segurança em Recursos Humanos, seção da Norma ABNT NBR ISO/IEC : 2005 sob titulação de Conscientização, Educação e Treinamento em Segurança da Informação; como forma de mitigar consideravelmente o risco relacionado ao vazamento de informação aplicando os recursos legais e tecnológicos disponíveis para Administração Pública Federal (APF), relacionado à informação descentralizada, distribuída nas estações de trabalho, impressas, copiadas para dispositivos de armazenamento removíveis ou disseminada pela atividade funcional na prerrogativa da necessidade de conhecer.

5 Objetivos específicos Os objetivos específicos deste trabalho são parametrizar as orientações da ABNT NBR ISO/IEC 17799:2005 ou 27002:2005, referentes a segurança em recursos humanos e seus controles focando técnicas que garantam a irretratabilidade das ações dos usuários da rede interna e seus respectivos treinamentos e soluções;

6 Objetivos específicos Controle de vazamento da informação descentralizada; Controle da informação que tramita ou reside na estação de trabalho do usuário; Prevenção contra a ação de insiders; Contra inteligência na ação de engenheiros sociais;

7 Considerações atuais Foco nos aspectos relacionados a segurança, que devem ser incorporados à PSI para introduzir uma maior eficácia em seus processos, relacionado a segurança da informação, segurança física, segurança lógica, segurança relacionada aos recursos humanos, os aspectos legais em segurança da informação, e também com utilização dos certificados digitais para garantir a irretratabilidade nas ações digitais.

8 Estrutura Capítulo 1: Introdução; Capítulo 2: Onde é apresentado os conceitos necessários de segurança de dados envolvendo criptografia, padrões de chave pública, certificados de chaves pública; Capítulo 3: Onde é definido Segurança da Informação, apresentado seus principais oponentes, alertando para importância da classificação de documentos e à ação da engenharia social contra a segurança da informação; Capítulo 4: Elucida a importância da Política de Segurança da Informação (PSI) e as etapas Gestão de Risco, Gestão de Continuidade e Controles, abordando também as Normas e metodologias aplicáveis;

9 Estrutura Capítulo 5: Apresenta as Legislações Brasileiras que implicam diretamente à segurança da informação, que devem ser tratadas em treinamento corporativo; Capítulo 6: Detalha as etapas complementares a NBR, apresentando o foco em segurança relacionada as pessoas com destaque em treinamento contra imperícia na guarda do sigilo e preparo contra engenharia social. E por fim no Capítulo 7, São apresentadas as Conclusões.

10 NBR ISO/IEC 17799:2005 Análise/avaliação e tratamento de Riscos Segundo a norma, as análise e avaliação de risco, objetiva identificar e priorizar os riscos, considerando os critérios de aceitação de riscos e dos objetivos da organização.

11 NBR ISO/IEC 17799:2005 Política de Segurança da Informação Definição de escopo para prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

12 NBR ISO/IEC 17799:2005 Segurança organizacional Aborda a estrutura de uma gerência para segurança da informação, define as responsabilidades dos usuários pela segurança da informação, incluindo agentes externos e fornecedores de serviços.

13 NBR ISO/IEC 17799:2005 Gestão de ativos Define a classificação, o registro e o controle das informações da organização.

14 NBR ISO/IEC 17799:2005 Segurança em recursos humanos Reduz os riscos de falha humana, roubo, fraude ou uso impróprio das instalações; assegura que os usuários, de acordo com seus cargos, estejam cientes das ameaças à segurança da informação.

15 NBR ISO/IEC 17799:2005 Segurança física e ambiental Segurança das áreas de circulação restrita e à necessidade de se protegerem os equipamentos e a infraestrutura de um Ambiente Computacional Complexo.

16 NBR ISO/IEC 17799:2005 Gerenciamento das operações e comunicações Aborda as principais áreas físicas e operacionais que devem ser objeto de especial atenção da segurança.

17 NBR ISO/IEC 17799:2005 Controle de acesso Controla o acesso a informação, prevenindo contra acesso não autorizado a sistemas, equipamentos e rede;

18 NBR ISO/IEC 17799:2005 Desenvolvimento de sistemas e manutenção Aborda os requisitos de segurança dos sistemas. Assegurando que projetos de tecnologia da informação e suporte de atividades sejam conduzidos de maneira segura.

19 NBR ISO/IEC 17799:2005 Gestão de incidentes de segurança da informação Trata da notificação das fragilidades e eventos, atribuição de procedimentos, definição de responsabilidades, aprendizagem com o histórico de eventos e coleta de evidências.

20 NBR ISO/IEC 17799:2005 Gestão de continuidade do negócio Previne para que não ocorram interrupções nas atividades e processos críticos do negócio devido às falhas e desastres.

21 NBR ISO/IEC 17799:2005 Conformidade Evita, por parte da organização, as seguintes violações: às leis civis ou criminais; às obrigações legais ou contratuais de propriedade intelectual; de segurança a sistemas e informações de terceiros. Também visa a maximizar a efetividade e minimizar a interferência em sistema de auditagem.

22 Confecção e manutenção de um SGSI Figura Fluxograma Página 92

23 Confecção e manutenção de um SGSI Figura Fluxograma Página 92

24 Escopo Para proporcionar um controle eficaz do SGSI deve-se envolver não apenas a tecnologia, mas também as outras áreas de ciências afins, como ciências psicológicas e jurídicas para posicionar a Segurança da Informação a frente dos seus riscos iminentes.

25 Controles para o fator humano Criptografia corporativa; Certificados digitais; GED Gestão Eletrônica de Documentos; DLP Data Lost Prevention; Treinamento na legislação brasileira; Treinamento de Segurança; Treinamento na Execução do PCN; Entrosamento corporativo; Treinamento para atualização de PSI;

26 Conclusão A segurança da informação não pode ser garantida apenas com recursos tecnológicos, pois além das máquinas a segurança também envolve pessoas, e o amplo direito de defesa perante a sociedade civil. Por este motivo os recursos humanos devem ser treinados exaustivamente com respaldo na PSI, para mitigar ao máximo a possibilidade de falha humana, seja na execução de tarefas fins, ou na divulgação de informação sigilosa. Através dessa monografia, foi possível observar que o treinamento de recursos humanos na APF é possível e as ferramentas de controles são viáveis para manter a sigilosidade das informações de governo, de acordo com a necessidade apurada na analise de risco à segurança da informação e comunicações em cada elo que compõe a APF.

27 Obrigado! Ricardo Brito do Nascimento