Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Transcrição

1 Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro

2 Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma?

3 ABNT NBR ISO/IEC Organização da Segurança da Informação

4 Como organizar a segurança da informação dentro de uma empresa?

5 Organização da Segurança da Informação Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar o processo de implementação da segurança da informação; Controle: É importante que todas as responsabilidades sejam definidas e atribuídas.

6 Organização da Segurança da Informação A organização da segurança da informação deve: Ter enfoque multidisciplinar; Participação de todas as áreas; Inclusão de grupos externos.

7 Direção Em que consiste a participação da direção neste processo? Assegurar que as metas de segurança da informação sejam: Identificadas; Atendam aos requisitos; E sejam integradas aos processos relevantes; Fornecer apoio e direcionamento para as iniciativas de segurança da informação;

8 Direção Em que consiste a participação da direção neste processo? Iniciar planos e programas para conscientização; Assegurar implementação dos controles.

9 Coordenação Qual o papel da coordenação de segurança da informação? Garantir a conformidade com a política de segurança; Aprovar as metodologias e processos de segurança da informação; Identificar ameaças significativas; Avaliar a adequação e coordenar a implementação de controles.

10 Atribuindo responsabilidades O processo deve estar embasado na política de segurança da informação; Pessoas com responsabilidades podem delegar tarefas, mas continuam responsáveis por elas.

11 Atribuindo responsabilidades As responsabilidades devem estar documentadas e as atribuições bem definidas; Níveis de autorização devem ser claros e bem definidos; As pessoas indicadas devem ter competência e capacidade de cumprir as responsabilidades de segurança da informação.

12 Segregação de funções Controle: Funções e/ou áreas conflitantes devem ser segregadas para reduzir possibilidades de: Modificação não autorizada ou não intencional; Uso indevido dos ativos da organização.

13 Segregação de funções Orienta-se: Evitar que um mesmo indivíduo possa acessar, modificar ou usar ativos sem devida autorização; O início de um evento deve ser separado de sua autorização;

14 Contato com autoridades Controle Manter contatos apropriados com autoridades relevantes; Diretrizes: Procedimentos especificando quando e quais autoridades serão contatadas; Exemplo: autoridades fiscalizadores, corpo de bombeiros, etc.

15 Segurança da informação no gerenciamento de projetos Independente do tipo de projeto, a segurança da informação deve ser considerada em sua gestão; Integração nos métodos de gestão de projetos; Os métodos de gestão de projetos devem requerer: Contemplação dos objetivos de segurança da informação; Avaliação dos riscos de segurança desde os estágios iniciais.

16 Dispositivos móveis O objetivo é garantir a segurança no trabalho remoto e no uso de dispositivos móveis; Deve-se adotar uma política de segurança específica para este tipo de recurso.

17 Dispositivos móveis É importante que cuidados especiais sejam tomados: Registro de dispositivos; Proteção física; Restrição quanto à instalação de softwares; Controle de acesso; Técnicas criptográficas; Desativação, bloqueio e exclusão remota; Backups.

18 Trabalho remoto Convém que uma política específica seja implementada para proteger informações acessadas, processadas ou armazenadas remotamente.

19 Trabalho remoto O que deve ser considerado? Segurança física no local de trabalho remoto; Requisitos de segurança nas comunicações; Ameças de acesso não autorizado; Restrições no uso de redes domésticas ou redes sem fio; Uso de equipamentos particulares (segurança da máquina pode não ser verificada); Requisitos de proteção contra vírus e requisitos de firewall.

20 Considerações Uma empresa que reage somente com ações reativas e emergenciais na área de segurança (quando tiver uma) está fadada a possuir prejuízos e nem se dará conta disso. Um erro comum é tratar a segurança da informação como um projeto e não como um processo.

21 ABNT NBR ISO/IEC Segurança em Recursos Humanos

22 Objetivo Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis. Reduzir o risco de roubo, fraude ou mau uso de recursos.

23 Cuidados Quando? Antes da contratação; Durante a contratação; No momento de desligamento e após.

24 Antes da contratação Deve-se definir e documentar todo o processo com base na política de segurança da informação: Papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros; As responsabilidades devem ser aceitas pelos envolvidos.

25 Durante a seleção É importante verificar o histórico com base em critérios éticos, leis e regulamentações pertinentes: Informações do currículo e referências; Antecedentes criminais; Qualificação acadêmica.

26 Termos e condições de contratação Os envolvidos devem concordar e assinar os termos de contrato; O termo deve conter as responsabilidades do envolvido para com a segurança da informação; Devem ficar claros a ciência e aceite de: Políticas de segurança; Responsabilidades; Ações em caso de violações de segurança; Punições.

27 Durante a contratação Assegurar que funcionários, fornecedores e terceiros estejam conscientes das ameças e preocupações relativas à segurança da informação e que estejam preparados para: Apoiar a política de segurança; Reduzir o risco de erros humanos.

28 Direção O que compete à direção? Solicitar que os envolvidos pratiquem a segurança da informação, de acordo com as políticas estabelecidas; Instruir os envolvidos antes de conceder acesso às informações ou aos sistemas de informação.

29 Processo disciplinar A organização deve possuir um processo disciplinar formal; O processo deve: Ter uma verificação prévia da violação de segurança da informação; Assegurar um tratamento justo e correto aos funcionários suspeitos de cometer violações.

30 Encerramento ou mudança de contrato As responsabilidades para realizar encerramento ou mudança de contrato devem ser bem definidas e atribuídas; Todos os funcionários, fornecedores e terceiros devem devolver todos os ativos da empresa; O acesso aos recursos de informação devem ser retirados.

31 Exercício Criar uma política de segurança para uso de dispositivos móveis em uma empresa: Mínimo de dez diretrizes específicas; O que deve conter: Objetivo; Conceitos e definições; Diretrizes; Responsabilidades; Vigência*.