Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro
Revisando Qual o objetivo da norma ISO 27002? É possível uma empresa se certificar nesta norma?
ABNT NBR ISO/IEC 27002 Organização da Segurança da Informação
Como organizar a segurança da informação dentro de uma empresa?
Organização da Segurança da Informação Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar o processo de implementação da segurança da informação; Controle: É importante que todas as responsabilidades sejam definidas e atribuídas.
Organização da Segurança da Informação A organização da segurança da informação deve: Ter enfoque multidisciplinar; Participação de todas as áreas; Inclusão de grupos externos.
Direção Em que consiste a participação da direção neste processo? Assegurar que as metas de segurança da informação sejam: Identificadas; Atendam aos requisitos; E sejam integradas aos processos relevantes; Fornecer apoio e direcionamento para as iniciativas de segurança da informação;
Direção Em que consiste a participação da direção neste processo? Iniciar planos e programas para conscientização; Assegurar implementação dos controles.
Coordenação Qual o papel da coordenação de segurança da informação? Garantir a conformidade com a política de segurança; Aprovar as metodologias e processos de segurança da informação; Identificar ameaças significativas; Avaliar a adequação e coordenar a implementação de controles.
Atribuindo responsabilidades O processo deve estar embasado na política de segurança da informação; Pessoas com responsabilidades podem delegar tarefas, mas continuam responsáveis por elas.
Atribuindo responsabilidades As responsabilidades devem estar documentadas e as atribuições bem definidas; Níveis de autorização devem ser claros e bem definidos; As pessoas indicadas devem ter competência e capacidade de cumprir as responsabilidades de segurança da informação.
Segregação de funções Controle: Funções e/ou áreas conflitantes devem ser segregadas para reduzir possibilidades de: Modificação não autorizada ou não intencional; Uso indevido dos ativos da organização.
Segregação de funções Orienta-se: Evitar que um mesmo indivíduo possa acessar, modificar ou usar ativos sem devida autorização; O início de um evento deve ser separado de sua autorização;
Contato com autoridades Controle Manter contatos apropriados com autoridades relevantes; Diretrizes: Procedimentos especificando quando e quais autoridades serão contatadas; Exemplo: autoridades fiscalizadores, corpo de bombeiros, etc.
Segurança da informação no gerenciamento de projetos Independente do tipo de projeto, a segurança da informação deve ser considerada em sua gestão; Integração nos métodos de gestão de projetos; Os métodos de gestão de projetos devem requerer: Contemplação dos objetivos de segurança da informação; Avaliação dos riscos de segurança desde os estágios iniciais.
Dispositivos móveis O objetivo é garantir a segurança no trabalho remoto e no uso de dispositivos móveis; Deve-se adotar uma política de segurança específica para este tipo de recurso.
Dispositivos móveis É importante que cuidados especiais sejam tomados: Registro de dispositivos; Proteção física; Restrição quanto à instalação de softwares; Controle de acesso; Técnicas criptográficas; Desativação, bloqueio e exclusão remota; Backups.
Trabalho remoto Convém que uma política específica seja implementada para proteger informações acessadas, processadas ou armazenadas remotamente.
Trabalho remoto O que deve ser considerado? Segurança física no local de trabalho remoto; Requisitos de segurança nas comunicações; Ameças de acesso não autorizado; Restrições no uso de redes domésticas ou redes sem fio; Uso de equipamentos particulares (segurança da máquina pode não ser verificada); Requisitos de proteção contra vírus e requisitos de firewall.
Considerações Uma empresa que reage somente com ações reativas e emergenciais na área de segurança (quando tiver uma) está fadada a possuir prejuízos e nem se dará conta disso. Um erro comum é tratar a segurança da informação como um projeto e não como um processo.
ABNT NBR ISO/IEC 27002 Segurança em Recursos Humanos
Objetivo Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com seus papéis. Reduzir o risco de roubo, fraude ou mau uso de recursos.
Cuidados Quando? Antes da contratação; Durante a contratação; No momento de desligamento e após.
Antes da contratação Deve-se definir e documentar todo o processo com base na política de segurança da informação: Papéis e responsabilidades pela segurança da informação de funcionários, fornecedores e terceiros; As responsabilidades devem ser aceitas pelos envolvidos.
Durante a seleção É importante verificar o histórico com base em critérios éticos, leis e regulamentações pertinentes: Informações do currículo e referências; Antecedentes criminais; Qualificação acadêmica.
Termos e condições de contratação Os envolvidos devem concordar e assinar os termos de contrato; O termo deve conter as responsabilidades do envolvido para com a segurança da informação; Devem ficar claros a ciência e aceite de: Políticas de segurança; Responsabilidades; Ações em caso de violações de segurança; Punições.
Durante a contratação Assegurar que funcionários, fornecedores e terceiros estejam conscientes das ameças e preocupações relativas à segurança da informação e que estejam preparados para: Apoiar a política de segurança; Reduzir o risco de erros humanos.
Direção O que compete à direção? Solicitar que os envolvidos pratiquem a segurança da informação, de acordo com as políticas estabelecidas; Instruir os envolvidos antes de conceder acesso às informações ou aos sistemas de informação.
Processo disciplinar A organização deve possuir um processo disciplinar formal; O processo deve: Ter uma verificação prévia da violação de segurança da informação; Assegurar um tratamento justo e correto aos funcionários suspeitos de cometer violações.
Encerramento ou mudança de contrato As responsabilidades para realizar encerramento ou mudança de contrato devem ser bem definidas e atribuídas; Todos os funcionários, fornecedores e terceiros devem devolver todos os ativos da empresa; O acesso aos recursos de informação devem ser retirados.
Exercício Criar uma política de segurança para uso de dispositivos móveis em uma empresa: Mínimo de dez diretrizes específicas; O que deve conter: Objetivo; Conceitos e definições; Diretrizes; Responsabilidades; Vigência*.