Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação



Documentos relacionados
Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão de Configuração

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Modelos de analise

A falha em alguns destes pontos pode resultar num excessivo e desnecessário investimento/despesa

GESTÃO de PROJECTOS. Gestor de Projectos Informáticos. Luís Manuel Borges Gouveia 1

NP EN ISO 9001:2000 LISTA DE COMPROVAÇÃO

Procedimento de Gestão PG 02 Controlo de Documentos e Registos

TELEDIAGNÓSTICO DO CASINO ONLINE UNIBET

ISO 9000:2000 Sistemas de Gestão da Qualidade Fundamentos e Vocabulário. As Normas da família ISO As Normas da família ISO 9000

. evolução do conceito. Inspecção 3. Controlo da qualidade 4. Controlo da Qualidade Aula 05. Gestão da qualidade:

Gerenciamento de Níveis de Serviço

Apresentação de Solução

Índice Descrição Valor

Medidas de Controlo de Incidentes de Segurança Informática

Controlo da Qualidade Aula 05

Manual de Gestão da Qualidade

Certificação da Qualidade dos Serviços Sociais. Procedimentos

ESTATUTOS DO CENTRO DE FILOSOFIA DA UNIVERSIDADE DE LISBOA. Artigo 1.º (Natureza, Membros)

Como elaborar um Plano de Negócios de Sucesso

CEF/0910/26436 Relatório final da CAE (Univ) - Ciclo de estudos em funcionamento

C I R C U L A R D E I N F O R M A Ç Ã O A E R O N Á U T I C A PORTUGAL

Gestão por Processos ISO 9001: 2000

Apresentação da Solução. Divisão Área Saúde. Solução: Gestão de Camas

O modelo de balanced scorecard

REGULAMENTO DO SISTEMA INTEGRADO DE GESTÃO DA QUALIDADE DO INSTITUTO SUPERIOR TÉCNICO

Requisitos de controlo de fornecedor externo

AUDITORIA DE DIAGNÓSTICO

PHC dcrm. Aumente o potencial da força de vendas da sua empresa, ao aceder remotamente à informação comercial necessária à sua actividade

Conselho Geral e de Supervisão REGULAMENTO INTERNO COMISSÃO DE GOVERNO SOCIETÁRIO E SUSTENTABILIDADE

Gestão dos Níveis de Serviço

Aumente o potencial da força de vendas da empresa ao fornecer-lhe o acesso em local remoto à informação comercial necessária á à sua actividade.


Controlo e gestão da ocupação dia-a-dia

Estudo de Remuneração 2015

PHC dteamcontrol Interno

O que esperar do SVE KIT INFORMATIVO PARTE 1 O QUE ESPERAR DO SVE. Programa Juventude em Acção

Escola Secundária/3 da Maia Cursos em funcionamento Técnico de Electrónica, Automação e Comando

O aumento da força de vendas da empresa

Procedimento de Gestão PG 01 Gestão do SGQ

Requisitos do Sistema de Gestão de Segurança para a Prevenção de Acidentes Graves (SGSPAG)

Norma ISO Norma ISO Norma ISO 9004 SISTEMA DE GESTÃO DA QUALIDADE REQUISITOS FUNDAMENTOS E VOCABULÁRIO

Computadores Portáteis. Regulamento de utilização

PROJECTO DE CARTA-CIRCULAR SOBRE POLÍTICA DE REMUNERAÇÃO DAS INSTITUIÇÕES FINANCEIRAS

Certificação ISO/IEC SGSI - Sistema de Gestão de Segurança da Informação. A Experiência da DATAPREV

Documento de apresentação Software de Gestão e Avaliação da Formação

A Gestão de Configurações suporte dos Sistemas de Informação

20000 Lead Implementer

O aumento da força de vendas da empresa

ORGANIZAÇÃO DO TRABALHO

TRANSIÇÃO DA ISO 9001:2000 PARA ISO 9001:2008 DOCUMENTO SUMÁRIO DE ALTERAÇÕES ALTERAÇÕES QUE PODEM AFECTAR O SISTEMA

Gerenciamento de Incidentes

Planeamento e Controlo de Gestão Parte I

Caixa Mais - Gestão de Atuação Comercial Política de Sustentabilidade

POLÍTICA ANTI-CORRUPÇÃO. Política Anti-corrupção Versão 02 1/9

Certificação de Sistemas de Gestão. ACIB Associação Comercial e Industrial de Barcelos Barcelos, 29 de Novembro de 2010

Este sistema é sustentado por 14 pilares: Elemento 1 Liderança, Responsabilidade e Gestão

Solução de Dashboard. Monitorização e Alarmistica IT (Networking e Sistemas) ALL IN ONE SOLUTION SCALABILITY TECHNICAL SUPPORT

Empenhamo-nos no que fazemos e fazemos bem

MINISTÉRIO DAS OBRAS PÚBLICAS, TRANSPORTES E COMUNICAÇÕES AVISO

DESENVOLVER E GERIR COMPETÊNCIAS EM CONTEXTO DE MUDANÇA (Publicado na Revista Hotéis de Portugal Julho/Agosto 2004)

Comunicação durante o processo de auto-avaliação

Manual do Revisor Oficial de Contas. Directriz de Revisão/Auditoria 300 ÍNDICE

PHC Serviços CS. A gestão de processos de prestação de serviços

LEVANTAMENTO DE REQUISITOS. Lílian Simão Oliveira

Certificação. Segurança e Saúde no Trabalho. Soluções para a Gestão da Segurança e Saúde no Trabalho

NCE/10/01121 Relatório preliminar da CAE - Novo ciclo de estudos

Benefícios Aumento de produtividade; Sincronização directa e sem problemas; Muito fácil de utilizar.

Base de Dados para Administrações de Condomínios

AUDITORIAS DE VALOR FN-HOTELARIA, S.A.

Perguntas mais frequentes

PHC dcrm. Aumente o potencial da força de vendas da sua empresa ao aceder remotamente à informação comercial necessária à sua actividade

POLÍTICA DE PRIVACIDADE. Site

PHC dteamcontrol Interno

Transcrição:

Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão da Segurança da Informação Fernando Correia Capitão-de-fragata EN-AEL 30 de Novembro de 2013 Fernando Correia (Ph.D Eng. Informática) 1/25

Índice 1 Criar um programa de Gestão da Informação 2 Administrando a Segurança da Informação Fernando Correia (Ph.D Eng. Informática) 2/25

Objectivos Compreender a necessidade de apoio da administração. Identificar as características da gestão efectiva da Segurança da Informação. Determinar as aproximação à segurança da Informação. Identificar as métricas para quantificar o nível de segurança. Fernando Correia (Ph.D Eng. Informática) 3/25

Gestão da Segurança da Informação Criar um programa de Gestão da Informação Fernando Correia (Ph.D Eng. Informática) 4/25

Segurança como elemento integral da Gestão A segurança não é um fim, mas fornece um serviço critico à organização. A segurança é um elemento integral da gestão e carece o apoio da Gestão ao mais alto nível. A gestão de uma organização precisa de compreender que a Segurança da Informação tem um preço. O investimento na segurança tem sempre retorno. Fernando Correia (Ph.D Eng. Informática) 5/25

Desafios (1) Desafios da Segurança da Informação: Aumento da complexidade dos sistemas, das redes e da conectividade. Confiança na informação e nos sistemas de informação. Lidar com as exigências do sistema. Indisponibilidade de recursos. Redução de activos. Falta de experiência. Falta de disponibilidade de formação. Falta de apoio da direcção. Fernando Correia (Ph.D Eng. Informática) 6/25

Desafios (2) As pessoas são resistentes à mudança, excepto quando está em causa uma falha na segurança. O apoio da Gestão da organização é imperativo para o sucesso do programa de segurança. O exemplo deve vir de cima O gestor do programa de segurança não tem autoridade explicita. a autoridade é derivada de outras fontes. carece de apoio superior. Sem apoio superior não é possível fazer cumprir as politicas de segurança. Fernando Correia (Ph.D Eng. Informática) 7/25

A arte de servir diversos Mestres Equilíbrio entre Chefia Organizacional e Chefia Funcional. Organização da rede Quem reporta a quem? Quem define as regras de segurança? Quando existe alterações na cadeia de comando, é importante perceber o lugar do Gestor da Segurança da Informação. O Gestor da Segurança da Informação deve ter: linhas de orientação da autoridade de certificação. atender aos objectivos da organização e de segurança. apoio da gestão da organização para implementar politicas de segurança. Fernando Correia (Ph.D Eng. Informática) 8/25

Requisitos de um Gestor de Segurança da Informação (1) O Gestor de Segurança dever estar habilitado e equipado com ferramentas que permitem a realização do seu trabalho. Não queremos curiosos na gestão. Quem é o Gestor da Informação? Deve ser uma pessoa com formação na área, não aquele colaborador que foi o último a comparecer na reunião e colocou a mão no ar. Fernando Correia (Ph.D Eng. Informática) 9/25

Requisitos de um Gestor de Segurança da Informação (2) O Gestor de Segurança de Informação deve: conhecer os aspectos técnicos dos sistemas e saber fazer as perguntas certas quando é requerido mais informação, ou seja, saber a linguagem técnica. ter experiência em segurança, e capacidade de interpretar e aplicar as directivas, normas, regulamentos e politicas. ter conhecimento institucional da organização e conhecer a missão, objectivos, e modelo de negócios a fim de garantir que o nível de segurança é o adequado. Fernando Correia (Ph.D Eng. Informática) 10/25

Aproximações à Gestão da Segurança da Informação Aproximação Definição Vantagem Desvantagem Centralizado Equipa dedicada e todos os assuntos tratados pelo serviço Integridade, especialização controlo, Limitação de recursos, área de implementação DescentralizadoDepende de equipa diferenciada para executar as funções de SegInf Híbrido Equipa pequena e especializada, mas depende dos gestores locais de sistema Não tem limitação de recursos, área de implementação maior, não existe problemas de gestão de pessoal Fácil gestão de recursos, garante integridade do sistema Depende de terceiros, competição de recursos e prioridades, escolha do pessoal técnico Continua a depender de terceiros Fernando Correia (Ph.D Eng. Informática) 11/25

Equipa de manutenção O número de elementos da equipa de manutenção deve estar directamente relacionado com a dimensão da organização. Factores a considerar na construção da equipa: modelo de negócio dependência da Internet tipos de recursos Outsourcing A segurança da rede é a componente de gestão mais negligenciada. Garantir a segurança de uma rede de qualquer dimensão é difícil. Muitas organizações não conseguem manter uma equipa especializada nos seus quadros. Fernando Correia (Ph.D Eng. Informática) 12/25

Coordenação O Gestor da Segurança de Informação deve ser capaz de dialogar com diversas entidades, numa linguagem que possa ser compreendida por técnicos e por leigos. Deve ser capaz de coordenar as acções com: Autoridades de acreditação e certificação. Departamento jurídico. Investigadores criminais. Integradores. Gestores de configuração. Administradores de Sistemas / Redes. Departamento de auditoria. Equipa de recuperação de dados. Fernando Correia (Ph.D Eng. Informática) 13/25

Orçamentação A manutenção anual dos sistemas de segurança carece de orçamentação. Métricas A justificação de um orçamente está relacionado com o Retorno do Investimento (RdI) feito. É necessário quantificar os ganhos de uma organização face a um investimento pode em segurança, e quais as perdas potenciais de informação caso este processo não se realize. Acções a considerar Ferramentas de segurança. Acções de formação. Pessoal especializado. Fernando Correia (Ph.D Eng. Informática) 14/25

Métricas Métricas podem ser: medir o que não se consegue fazer. usar estatísticas para medir o impacto negativo da falta de segurança. Usar o histórico da organização ou comparar o desempenho com organizações semelhantes. métricas podem quantificar coisas (utilizadores, sistemas, contas), mas não reflecte necessariamente o nível de esforço ou impacto. as métricas normalmente não consideram o conhecimento institucional. Fernando Correia (Ph.D Eng. Informática) 15/25

Métricas - Sistemas e rede Numero de redes (LANs) Numero total de sistemas Numero de sistemas certificados Tempo médio necessário para certificar um sistema Numero de novos sistemas versus sistemas legados Numero de sistemas remotos ou sites Numero de colaboradores que acedem aos recursos da rede Numero de politicas e respectivas actualizações Numero de colaboradores responsáveis pela manutenção dos sistemas a tempo inteiro versus colaboradores temporários. Fernando Correia (Ph.D Eng. Informática) 16/25

Métricas - Segurança administrativa Tempo médio para criar contas de utilizadores Número de novas contas e passwords criadas Percentagem de utilizadores com acesso privilegiado versus acesso geral Numero de contas suspensas ou apagadas Numero de contas de convidados que são pedidas Numero de equipamentos portáteis em áreas seguras Numero de certificados digitais emitidos Numero de sistemas que usam fortes sistemas de autenticação versus password estática Numero de pedidos de helpdesk Tempo gasto em monitorização activa da rede etc Fernando Correia (Ph.D Eng. Informática) 17/25

Métricas - Controlo de Incidentes Numero de incidentes identificados ou reportados Numero de investigações pendentes de acção Percentagem de violações de segurança que terminam em acções administrativas Percentagem de colaboradores identificados por usar o sistema de forma impropria Numero de acessos às páginas web publicas da organização Numero de falsos positivos versus intrusões detectadas Numero de sondas detectadas Numero de eventos de negação de serviço Numero de vírus ou código malicioso identificado ou reportado etc Fernando Correia (Ph.D Eng. Informática) 18/25

Métricas - Outras Treino e consciencialização Numero total de colaboradores com formação no sistema Numero de administradores de sistema certificados Métodos usados para consciencialização de segurança Planos de contingência e destruição Numero de exercícios de treino realizados Numero de sistemas com cópia diária, semanal, mensal Numero de sistemas designados para destruição Numero de discos rígidos para reciclagem ou destruição Fernando Correia (Ph.D Eng. Informática) 19/25

Gestão da Segurança da Informação Administrando a Segurança da Informação Fernando Correia (Ph.D Eng. Informática) 20/25

Importância do Conhecimento Situacional Diário A maior fonte de má segurança é a má gestão. A origem da má gestão é não saber o que se está a passar O gestor do sistema é suposto ser também o gestor de risco. A consciencialização do estado do sistema, permite que o gestor do sistema tenha uma noção do estado do sistema, num determinado dia. O conhecimento do sistema não pode estar dependente de formulas cientificas (estatísticas) ou pressentimentos. Conhecer o sistema é fundamental para fazer uma analise de risco, de modo a avaliar as alterações necessárias a fim de garantir as linhas de orientação definidas para a segurança do sistema. Fernando Correia (Ph.D Eng. Informática) 21/25

Orientação técnica O gestor de segurança investe muito do seu tempo à procura de orientação técnica de segurança, face às decisões que tem que tomar. O gestor deve ser capaz de escrever: Importante: regulamentos; directivas; As complexidades técnicas tornam mais difícil politicas; saber o que questionar. Capacidade de decidir... Quando bem. um regulamento não existe, os precedentes históricos podem ser considerados, mas o uso de precedente não é necessariamente uma boa prática de segurança Cada decisão de segurança deve ser documentada para evitar interpretações erradas da solução preconizada. Fernando Correia (Ph.D Eng. Informática) 22/25

Assuntos legais É imperativo que o gestor de segurança estar familiarizado com os procedimentos de ordem legal para garantir a segurança do sistemas e os direitos do colaboradores. O gestor deve conhecer o limite das suas fronteiras de actuação: privacidade, patentes, direitos intelectuais, licenciamento de software, etc; conhecer os procedimentos legais para investigar incidentes; conhecer as formas de actuação das policias e quais os seus limites de actuação; conhecer as suas limitações técnicas na obtenção de provas forenses. Fernando Correia (Ph.D Eng. Informática) 23/25

Essencial da Gestão de Segurança Determinar o que é necessário ser protegido e identificar as ameaças; Definir quais são as prioridades; Conhecer qual é a informação crítica, identificar os sistemas e processos e saber porque é que se deve proteger a informação; Promulgar politicas e procedimentos que sejam realizáveis, por forma que todos compreendam e conheçam as suas responsabilidades; Rever regularmente as politicas e procedimentos de acordo com a sua relevância; Seguir as melhores práticas identificadas nos negócios de sucesso. Fernando Correia (Ph.D Eng. Informática) 24/25

Dúvidas? Fernando Correia (Ph.D Eng. Informática) 25/25

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback