Apresentação Ricardo Brito do Nascimento Orientadora: Profa. Dra. Maristela Terto de Holanda
Título Fortificando a Segurança da Informação em Rede Corporativa considerando a Segurança em Recursos Humanos e seus Aspectos Legais
Problema Controlar o vazamento de informações em redes corporativas governamentais Observação inicial: tecnologia
Objetivo Geral O objetivo geral deste trabalho é apresentar uma proposição para aplicar treinamentos e controles referentes a Segurança em Recursos Humanos, seção 8.2.2 da Norma ABNT NBR ISO/IEC 17799 : 2005 sob titulação de Conscientização, Educação e Treinamento em Segurança da Informação; como forma de mitigar consideravelmente o risco relacionado ao vazamento de informação aplicando os recursos legais e tecnológicos disponíveis para Administração Pública Federal (APF), relacionado à informação descentralizada, distribuída nas estações de trabalho, impressas, copiadas para dispositivos de armazenamento removíveis ou disseminada pela atividade funcional na prerrogativa da necessidade de conhecer.
Objetivos específicos Os objetivos específicos deste trabalho são parametrizar as orientações da ABNT NBR ISO/IEC 17799:2005 ou 27002:2005, referentes a segurança em recursos humanos e seus controles focando técnicas que garantam a irretratabilidade das ações dos usuários da rede interna e seus respectivos treinamentos e soluções;
Objetivos específicos Controle de vazamento da informação descentralizada; Controle da informação que tramita ou reside na estação de trabalho do usuário; Prevenção contra a ação de insiders; Contra inteligência na ação de engenheiros sociais;
Considerações atuais Foco nos aspectos relacionados a segurança, que devem ser incorporados à PSI para introduzir uma maior eficácia em seus processos, relacionado a segurança da informação, segurança física, segurança lógica, segurança relacionada aos recursos humanos, os aspectos legais em segurança da informação, e também com utilização dos certificados digitais para garantir a irretratabilidade nas ações digitais.
Estrutura Capítulo 1: Introdução; Capítulo 2: Onde é apresentado os conceitos necessários de segurança de dados envolvendo criptografia, padrões de chave pública, certificados de chaves pública; Capítulo 3: Onde é definido Segurança da Informação, apresentado seus principais oponentes, alertando para importância da classificação de documentos e à ação da engenharia social contra a segurança da informação; Capítulo 4: Elucida a importância da Política de Segurança da Informação (PSI) e as etapas Gestão de Risco, Gestão de Continuidade e Controles, abordando também as Normas e metodologias aplicáveis;
Estrutura Capítulo 5: Apresenta as Legislações Brasileiras que implicam diretamente à segurança da informação, que devem ser tratadas em treinamento corporativo; Capítulo 6: Detalha as etapas complementares a NBR, apresentando o foco em segurança relacionada as pessoas com destaque em treinamento contra imperícia na guarda do sigilo e preparo contra engenharia social. E por fim no Capítulo 7, São apresentadas as Conclusões.
NBR ISO/IEC 17799:2005 Análise/avaliação e tratamento de Riscos Segundo a norma, as análise e avaliação de risco, objetiva identificar e priorizar os riscos, considerando os critérios de aceitação de riscos e dos objetivos da organização.
NBR ISO/IEC 17799:2005 Política de Segurança da Informação Definição de escopo para prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
NBR ISO/IEC 17799:2005 Segurança organizacional Aborda a estrutura de uma gerência para segurança da informação, define as responsabilidades dos usuários pela segurança da informação, incluindo agentes externos e fornecedores de serviços.
NBR ISO/IEC 17799:2005 Gestão de ativos Define a classificação, o registro e o controle das informações da organização.
NBR ISO/IEC 17799:2005 Segurança em recursos humanos Reduz os riscos de falha humana, roubo, fraude ou uso impróprio das instalações; assegura que os usuários, de acordo com seus cargos, estejam cientes das ameaças à segurança da informação.
NBR ISO/IEC 17799:2005 Segurança física e ambiental Segurança das áreas de circulação restrita e à necessidade de se protegerem os equipamentos e a infraestrutura de um Ambiente Computacional Complexo.
NBR ISO/IEC 17799:2005 Gerenciamento das operações e comunicações Aborda as principais áreas físicas e operacionais que devem ser objeto de especial atenção da segurança.
NBR ISO/IEC 17799:2005 Controle de acesso Controla o acesso a informação, prevenindo contra acesso não autorizado a sistemas, equipamentos e rede;
NBR ISO/IEC 17799:2005 Desenvolvimento de sistemas e manutenção Aborda os requisitos de segurança dos sistemas. Assegurando que projetos de tecnologia da informação e suporte de atividades sejam conduzidos de maneira segura.
NBR ISO/IEC 17799:2005 Gestão de incidentes de segurança da informação Trata da notificação das fragilidades e eventos, atribuição de procedimentos, definição de responsabilidades, aprendizagem com o histórico de eventos e coleta de evidências.
NBR ISO/IEC 17799:2005 Gestão de continuidade do negócio Previne para que não ocorram interrupções nas atividades e processos críticos do negócio devido às falhas e desastres.
NBR ISO/IEC 17799:2005 Conformidade Evita, por parte da organização, as seguintes violações: às leis civis ou criminais; às obrigações legais ou contratuais de propriedade intelectual; de segurança a sistemas e informações de terceiros. Também visa a maximizar a efetividade e minimizar a interferência em sistema de auditagem.
Confecção e manutenção de um SGSI Figura 6.1 - Fluxograma Página 92
Confecção e manutenção de um SGSI Figura 6.1 - Fluxograma Página 92
Escopo Para proporcionar um controle eficaz do SGSI deve-se envolver não apenas a tecnologia, mas também as outras áreas de ciências afins, como ciências psicológicas e jurídicas para posicionar a Segurança da Informação a frente dos seus riscos iminentes.
Controles para o fator humano Criptografia corporativa; Certificados digitais; GED Gestão Eletrônica de Documentos; DLP Data Lost Prevention; Treinamento na legislação brasileira; Treinamento de Segurança; Treinamento na Execução do PCN; Entrosamento corporativo; Treinamento para atualização de PSI;
Conclusão A segurança da informação não pode ser garantida apenas com recursos tecnológicos, pois além das máquinas a segurança também envolve pessoas, e o amplo direito de defesa perante a sociedade civil. Por este motivo os recursos humanos devem ser treinados exaustivamente com respaldo na PSI, para mitigar ao máximo a possibilidade de falha humana, seja na execução de tarefas fins, ou na divulgação de informação sigilosa. Através dessa monografia, foi possível observar que o treinamento de recursos humanos na APF é possível e as ferramentas de controles são viáveis para manter a sigilosidade das informações de governo, de acordo com a necessidade apurada na analise de risco à segurança da informação e comunicações em cada elo que compõe a APF.
Obrigado! Ricardo Brito do Nascimento rbrito1978-pos@yahoo.com.br