Edison Fontes, CISM, CISA edison@pobox.com Consultor Núcleo Consultoria Brasil 28 a 30 de Setembro de 2010 Centro de Convenções Frei Caneca São Paulo BRASIL
Edison Fontes, CISM,CISA Segurança da informação desde 1989 - Banco BANORTE, - PricewaterhouseCoopers, - GTECH Brasil, - CPM Braxis, - Núcleo Consultoria.
Livros Edison Fontes, CISM,CISA Praticando a segurança da informação, Editora Brasport, 2008. Segurança da Informação: o usuário faz a diferença, Editora Saraiva, 2005. Vivendo a Segurança da Informação, Editora Sicurezza, 2000. Colunista Portal ITWEB www.itweb.com.br
Ter Eficiência Existência de Controles Evitar Perdas Ter Medição
A informação é um ativo da organização
A m e a ç a s Objetivos de Negócio / Ações Operacionais Para serem alcançados precisam utilizar Informação A m e a ç a s 6
Requisitos para a Informação Ser confiável - não estar corrompida Estar disponível ao longo do tempo Ter apenas acesso autorizado Estar de acordo com a legislação Ser passível de auditoria 7
Possíveis Impactos Financeiros Operacionais De Imagem
Ambiente da Informação P e s s o a s Ambiente de tecnologia INFORMAÇÃO Ambiente convencional C o n c o r r e n t e s Contingências Crime organizado
Processo de segurança da informação Maior Risco É o não tratamento profissional das ameaças existentes em relação à informação. Negócio e Objetivos da Organização 10
Gestão de riscos Regulamentação e regras de negócio Processo de Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Pessoas Conscientização e Treinamento Continuidade do negócio Tratamento de incidentes de segurança Modelo operativo da SI Ambiente Físico e infra-estrutura Requisitos para Forense computacional Fonte: Livro Praticando a segurança da informação, Edison Fontes, Editora BRASPORT, 2008.
Processo de segurança da informação Maior Desafio Alcançar o nível adequado de proteção da informação. Negócio e Objetivos da Organização 12
Gestão da Segurança da Informação
Estrutura de Políticas e Normas de Segurança da Informação Convém que a direção estabeleça uma clara orientação da política alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. NBR 27002:2005.
Acesso à Informação Identificação - Identidade usuário - Ciclo de vida da identidade - Criação - Bloqueio - Retirada - Outras ações Autenticação - Verificação da veracidade do usuário - Utilização de senha, biometria, tokens Autorização - Verificação se usuário está autorizado - Acesso ao recurso - Modelo de autorização (perfil, unitário, grupo) Gestão de Identidade Gestão de Autenticação Gestão de Autorização
Gestão de riscos Regulamentação e regras de negócio Processo de Segurança da Informação POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO Acesso à Informação Classificação da Informação Proteção técnica Recursos de informação Flexibilidade Operacional Desenvolvimento de aplicativos Pessoas Conscientização e Treinamento Continuidade do negócio Tratamento de incidentes de segurança Modelo operativo da SI Ambiente Físico e infra-estrutura Requisitos para Forense computacional Fonte: Livro Praticando a segurança da informação, Edison Fontes, Editora BRASPORT, 2008.
FIM Edison Fontes, CISM, CISA Cel. 11-9132-5526 edison@pobox.com edison.fontes@uol.com.br