Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Transcrição

1 Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro

2 ABNT NBR ISO/IEC Introdução

3 Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma de gerenciar o risco; Diretriz: Descrição sobre o que deve ser feito e como deve ser feito;

4 Contexto Norma projetada para organizações implementarem controles dentro do Sistema de Gestão de Segurança da Informação (SGSI); De acordo com a norma, um SGSI: Está embasado em uma visão holística e coordenada dos riscos de segurança da informação; Tem o objetivo de implementar um conjunto de controles de segurança de segurança.

5 Contexto A realidade: A maioria dos sistemas de informação não são projetados para serem seguros! Quando há segurança, esta é limitada e não é bem gerenciada.

6 Contexto O que fazer? É necessária uma análise detalhada para identificar e planejar os controles de segurança necessários; É fundamental a participação de todos os funcionários da organização; Em determinados casos, é importante também a participação de acionistas, fornecedores ou outras partes externas.

7 Contexto Quando se alcança uma segurança da informação eficaz, consequentemente se alcança um ambiente de negócios mais favorável; Os ativos da organização estão seguros!

8 Requisitos de Segurança da Informação O que são requisitos?... Fontes de requisitos de segurança da informação: Avaliação dos riscos da organização; Legislação, estatutos, regulamentações e cláusulas contratuais; Conjuntos específicos de princípios, objetivos e requisitos de negócio.

9 Requisitos de Segurança da Informação É necessário balancear os recursos para implementação de controles de segurança da informação com referência aos danos de negócio Para isso, realiza-se uma análise de risco do negócio; A norma fornece diretrizes para a gestão de riscos da segurança da informação: Avaliação, tratamento, aceitação, comunicação, análise e monitoramento de riscos.

10 Seleção de controle Controle: Averiguar se atividades estão de acordo com o que foram planejadas, com base em seu plano de segurança; Os controles podem ser selecionadas da Norma ou de outros conjuntos de controles, conforme necessidades.

11 Desenvolvendo diretrizes próprias A norma é considerada um ponto de partida para definição de diretrizes da organização; Nem todos controles contidos na norma serão aplicados; Alguns controles adicionais podem ser utilizados; Ao se incluir controles adicionais, recomenda-se fazer um cruzamento com os contidos na norma.

12 Ciclo de vida Ciclo de vida natural da informação: Origem Armazenagem Processamento Uso Transmissão Descarte; Valores e riscos podem variar ao longo do ciclo de vida; É importante se analisar e manter o nível correto de segurança; Ciclo de desenvolvimento de Sistemas de Informação: A segurança da informação deve ser mantida em cada estágio!

13 Família de Normas Norma 27001: principal norma para obtenção de certificação empresarial em gestão da segurança da informação; Define requisitos necessários para um SGSI.

14 Família de Normas Norma 27002: Código de práticas e controles que auxiliam a aplicação de um SGSI; É recomendável utilizá-la em conjunto com a 27001; Única norma para qual existem certificações profissionais;

15 Família de Normas Norma 27003: Conjunto de diretrizes para implementação de um SGSI. Norma 27004: Métricas para medições relativas aos SGSI; Bastante útil na definição de metas.

16 Família de Normas Norma 27005: Procedimentos relativos à gestão de riscos da segurança da informação. Norma 27006: Requisitos para organizações que trabalham com auditorias e certificação de sistemas de segurança da informação.

17 ABNT NBR ISO/IEC Escopo

18 Escopo Para quais organizações esta norma é recomendada? Organizações interessadas em: Selecionar controles a serem implementados em um SGSI baseado na norma 27001; Implementar controles comumente aceitos; Desenvolver seus próprios princípios de gestão da segurança da informação.

19 ABNT NBR ISO/IEC Estrutura da Norma

20 Estrutura Como a norma é organizada? A norma contém: 14 seções de controles de segurança da informação; 35 objetivos de controle; 144 controles Cada seção é disposta da seguinte maneira: Controle: declaração específica do controle; Diretrizes de implementação: informações detalhadas para implementar e alcançar o objetivo do controle; Informações adicionais: dados extras, como questões legais e normativas.

21 ABNT NBR ISO/IEC Políticas de Segurança da Informação

22 Objetivo e Controle Objetivo: Orientar a segurança da informação com base nos requisitos de negócio, leis e regulamentações. Controle: Convém que um conjunto de políticas de segurança da informação seja: Definido; Aprovado pela direção; Publicado; Comunicado (internamente e externamente).

23 Diretrizes Definição de uma política de segurança da informação pelo nível mais alto de uma organização; Estabelecimento de uma abordagem para gerir os objetivos de segurança da informação;

24 Diretrizes Quais requisitos devem ser contemplados? Aqueles provindos de: Estratégia do negócio; Regulamentações, legislação e contratos; Ambiente de ameaça (atual e futuro).

25 Diretrizes Que tipos de declarações deve conter? Definição da segurança da informação, objetivos e princípios; Atribuição de responsabilidades (gerais e específicas); Processos para o tratamento de desvios e exceções.

26 Diretrizes Em um nível mais baixo, sugere-se utilizar tratamento se apoiar em tópicos específicos da norma: Controle de acesso (item 9); Classificação e tratamento de informação (item 8); Segurança física e do ambiente (item 11); Backup (item 12), etc. (ver norma item 5.1.1).

27 Informações adicionais As necessidades de políticas de segurança da informação serão distintas de organização para organização; As políticas podem ser emitidas em um documento único ou em conjunto de documentos; Se houver uma distribuição externa, deve-se tomar cuidado com a não divulgação de informações confidenciais.