ISO unicamente com ferramentas livres é possível?

Transcrição

1 ISO unicamente com

2 DEPENDE!

3

4 O que é a ISO 27001? E como é que eu faço? Quem já fez? Devo ou não devo fazer?

5

6 Tópicos: Sistema de Gestao da Seguranca da Informacao Responsabilidades da Direcao Audtorias Internas do SGSI Analise critica do SGSI pela direcao Melhoria do SGSI

7 $ Controles $ Danos

8 Fatores críticos de sucesso: Política de Segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; Comprometimento e apoio visível de todos os níveis gerenciais; Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; Provisão de recursos financeiros para as atividades da gestão da informação; Provisão de Conscientização, treinamento e educação adequados;

9 PDCA

10 Do básico Sincronização dos relógios NTP Controle contra softwares maliciosos Antí-vírus Cópias de Segurança Back-up 11.5 Controle de acesso ao sistema operacional Login Monitoramento do uso do sistema Logs

11 ...ao avançado! 11.4 Controle de acesso a rede Firewall Autenticação para conexão externa do usuário VPN Segregação de redes DMZ Controle de conexão de rede Layer Controles Criptográficos

12 Só uma curiosidade Limitação de horário de conexão Uso de utilitários de sistema Proteção das informações dos dos registros (log) Gerenciamento de privilégios

13 Más Notícias: Para Nós: g : Conduzir verificações para que somente produtos de software autorizados e licenciados sejam instalados; : Prevenção de mau uso de recursos de processamento da informação

14

15

16 Más Notícias: Para Eles: : Procedimentos seguros de entrada no sistema (log-on)

17

18 Palavrinhas Mágicas

19 Cases Área:Indústria Nicho: Ferramentaria 100 Estações 10 Servidores 1 Storage EMC 120 Funcionários Principais Pontos: : Gerenciamento de mídias removíveis : Acordos para a troca de informações

20 Cases Área: Serviços Nicho: Clipping para Advogados 30 Estações 8 Servidores 40 Funcionários Principais Pontos: 11.4: Controle de acesso a rede 14: Gestão da continuidade do negócio 13: Gestão de incidentes de segurança da informação

21 How-to Projeto de Segurança - Preparação: Conseguir Normas, pesquisar... - Escopo - Politica de Segurança - Defina os Controles - Plano de implementação - Implemente o plano - Planos de Contingência - Sistema de Gerenciamento de Segurança - Auditoria - Ultimos Ajustes - Tome Doril, Maracujina e submeta-se a certificação

22 Dicas Preciosas 1. Não seja 100% técnico. Resolva conceitualmente 2. Use as pessoas - Conscientização 3. Primeiro vem o treino, depois a pancadaria! 4. Navegar Planejar é preciso, viver não é preciso! 5. Segurança da Informação!= Segurança da Computação 6. Segurança não é o negócio da empresa. 7. Não se faz um omelete sem se quebrar alguns ovos 8. Tenha um EXCELENTE/MARAVILHOSO/ESPETACULAR relacionamento com a Diretoria 9. Seja Honesto (Na medida do possível!)

23 Referências / Links: ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC BS Da tática a prática em servidores Linux

24 :wq! cat perguntas.sh #!/bin/bash echo -ne Alguma Pergunta? read pergunta if [ $pergunta!= 0 ]; then answer.sh else shutdown -h now fi root@server:~#

25 Muitíssimo Obrigado pela atenção! Alberto J. Azevedo Consultor de Segurança Projeto Security Experts