Universidade Federal do Rio de Janeiro Centro de Ciências Jurídicas e Econômicas Faculdade de Administração e Ciências Contábeis Biblioteconomia e Gestão de Unidades de Informação Segurança da Informação Fabrícia Sobral fabricia.protic@gmail.com
AULA 6 Política de Segurança da Informação 11:35 2
Política de Segurança da Informação (PSI) Política é um conjunto de regras e práticas que regulam como gerenciar, proteger e distribuir suas informações e recursos. Deve-se estabelecer comprometimento entre gerências e atividades organizacionais. A política de segurança deve ser devidamente documentada Através da PSI, a empresa formaliza suas estratégias e abordagens para a proteção e preservação dos ativos. 11:35 3
Política de Segurança da Informação Exemplos: (PSI) http://www.sp.senac.br/normasadministrativas/psi _normas_administrativas.pdf http://www.fieb.org.br/adm/fckimagens/file/fieb/ 2014/PSI%20.pdf 11:35 4
Política de Segurança da Informação (PSI) 11:35 5
Política de Segurança da Informação (PSI) A PSI deve estar alinhada com os objetivos de negócio da organização. Geralmente ela está estruturada em diretrizes, normas e procedimentos! 11:35 6
Política de Segurança da Informação (PSI) 11:35 7
Premissas de uma PSI Deve ser implementável Deve ser exigida Deve definir claramente as áreas de responsabilidade para todos na organização. 11:35 8
Componentes de uma PSI Normas para aquisição de tecnologia Políticas de privacidade Política de autenticação Políticas de responsabilidade Política de invasões Políticas de acesso Política de manutenção Divulgação das informações Parâmetros de disponibilidade 11:35 9
Componentes de uma PSI Normas para aquisição de tecnologia Especifica características de segurança necessárias para aquisição de dispositivos de hardware e software. Política de privacidade Definição das expectativas em relação a privacidade do tráfego de emails, logs e arquivos de usuários Política de responsabilidade Definição das responsabilidades de todos os usuários, que serão usados em auditorias Envolve normas para agir no caso de incidentes de invasão 11:35 10
Componentes de uma PSI Política de acesso Definição dos direitos de acesso e privilégios para proteger as informações, especificando as normas para as operações, conexões externas, comunicação de dados, dispositivos da rede, etc. Parâmetros de disponibilidade Indica qual a disponibilidade dos recursos, incluindo horas de operação, períodos fora do ar, informações sobre falhas no sistemas, etc. Política de invasões Definições de quais tipos de invasões (interna ou externa) são informadas e quem Segurança deve da Informação ter conhecimento Material a respeito 11:35 11
Componentes de uma PSI Política de autenticação Estabelece a confiança do sistema em termos de uma efetiva política de senhas, normas de autenticação de usuários ou dispositivos remotos e a utilização de dispositivos específicos Divulgação de informações Informa aos usuários como agir, quando questionados por pessoas extra empresa sobre: incidentes de segurança, informações confidenciais ou proprietárias, entre outros Política de manutenção Estabelece normas para o uso pessoal (interno ou externo) para acesso e execução das tarefas de manutenção (corretiva ou preventiva) do Segurança sistema da Informação Material 11:35 12
ISO 27001 Esta norma é aplicável a qualquer organização, independente do seu ramo de atuação, e define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é a norma usada para fins de certificação. Portanto, uma organização que deseje implantar um Sistema de Gestão de Segurança da Informação (SGSI) deve adotar como base a ISO IEC 27001. 11:35 13
Sistema de Gestão de Segurança da Informação - SGSI Ao estatístico Walter Shewhart é creditada a invenção do Ciclo PDCA (Plan, Do, Check, Act), por volta de 1930. O ciclo PDCA é a metodologia proposta pela ISO 27001 para melhoria contínua de um SGSI. A ideia central do ciclo PDCA é simples: nós aprendemos fazendo. 11:35 14
Sistema de Gestão de Segurança da Informação - SGSI No contexto de um problema particular, o ciclo PDCA refere-se à ideia de que o ato de criar uma solução para um problema leva a uma melhor compreensão desse problema, que pode levar à construção de uma solução nova e melhor, e assim em diante. 11:35 15
Sistema de Gestão de Segurança da Informação - SGSI Aplicado ao SGSI isso quer dizer que conforme estruturamos o SGSI e conhecemos melhor a empresa podem surgir novas necessidades e requisitos que podem demandar mudanças no planejamento e na operação do SGSI. 11:35 16
Sistema de Gestão de Segurança da Informação - SGSI Plan - Estabelecimento do SGSI - São planejadas as estratégias e planos para o atendimento aos requisitos previstos na norma ISO 27001 perante o cenário e os problemas encontrados. Do Implantação e Operação do SGSI - Nesta fase começam as atividades para avaliar e tratar os pontos identificados como críticos pela organização. São adquiridas ferramentas, a conscientização é feita e as análises e ações necessárias são tomadas conforme o aval dos responsáveis. 11:35 17
Sistema de Gestão de Segurança da Informação - SGSI Check Monitoração e Análise Crítica - A organização percebe a maturidade de seu sistema de segurança analisando os efeitos e resultados da suas ações tomadas. Analisa criticamente os dados e verifica desvios e inconformidades. Verifica-se: O problema foi solucionado? Houve melhora? Podemos aperfeiçoar? Act Manutenção e Melhoria - Atitudes são tomadas para corrigir possíveis desvios indesejados para diminuir a diferença entre o planejado (desejado) e o realizado. 11:35 18
Sistema de Gestão de Segurança da Recomendações: Informação - SGSI 1. Defina claramente os ativos (bens que serão protegido) 2. Valore os ativos 3. Defina claramente qual a estratégia de tratamento de riscos para cada ameaça para cada ativo 4. Defina como medir a eficiência dos controles 5. Obtenha o aval da alta gerência 6. Treine os usuários, divulgue a política de segurança 7. Faça auditorias (interna e externa) 11:35 19
Universidade Federal do Rio de Janeiro Centro de Ciências Jurídicas e Econômicas Faculdade de Administração e Ciências Contábeis Biblioteconomia e Gestão de Unidades de Informação Segurança da Informação Fabrícia Sobral fabricia.protic@gmail.com