Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf ·...
Transcript of Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf ·...
![Page 1: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/1.jpg)
Sistema de Gestão de Segurança da Informação
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma NBR ISO/IEC 27001:2006
Curso e Learning
![Page 2: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/2.jpg)
Conceitos Riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, Sistema de Gestão de Segurança da Informação
Módulo 3
![Page 3: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/3.jpg)
Riscos de segurança
§ Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos.
§ Exemplos...?
Nem sempre TI! Os riscos podem ser técnicos, de equipamentos, de pessoas e de
procedimentos.
![Page 4: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/4.jpg)
Exemplos de riscos de segurança
§ Interrupção da continuidade do negócio
§ Indisponibilidade da informação
§ Perda da integridade dos dados
§ Perda ou roubo de informação
§ Perda do controle do serviço
§ Perda de credibilidade e imagem
§ Perda da confidencialidade de dados
§ Etc.
![Page 5: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/5.jpg)
§ Evitar o risco
§ Transferir o risco (por exemplo: seguro)
§ Reduzir as vulnerabilidades
§ Reduzir as ameaças
§ Reduzir os possíveis impactos
§ Detectar eventos indesejados, reagir e recuperar
§ Aceitar o risco (residual)
Processo de tratamento do risco
![Page 6: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/6.jpg)
Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu ponto de vista, para os três ativos para os quais você identificou vulnerabilidades, ameaças e probabilidades das ameaças atingirem as vulnerabilidades.
As respostas dependem de critérios pessoais. Portanto é importante que o profissional que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o tratamento de riscos.
Exercício
![Page 7: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/7.jpg)
Resposta
Antivírus, desatualizado
Backup inadequado
Patches desatualizados
Peçachave do processo
Servidor
Contamina ção por vírus, ataque de hacker
Roubo, divulgação
Ameaças
Antivírus desatualizado
Backup inadequado
Patches desatualizados
Não há pessoal de segurança
Não há critérios de contratação para o pessoal de apoio
Vulnerabilidade
Peçachave do processo
Acarreta dano, mas o processo pode ser executado
Comentário Valor
Servidor
Metodologia
Probabilidade Confidencialidade Integridade Disponibilidade Descrição
![Page 8: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/8.jpg)
Controles
A segurança eficaz normalmente requer a combinação das seguintes ações:
§ Detecção
§ Desencorajamento
§ Prevenção
§ Limitação
§ Correção
§ Recuperação
§ Monitoramento
§ Conscientização
![Page 9: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/9.jpg)
Controles
Após a identificação dos riscos, é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável. E só então devese avaliar a necessidade de novos controles. A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização pode implementar, mas a organização não deve se restringir a estes. Outros controles podem ser identificados. Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A:
A.11.5 – Controle de acesso ao sistema operacional
à Procedimentos seguros de entrada no sistema (log on) à Identificação e autenticação de usuário à Sistema de gerenciamento de senha à Uso de utilitários de sistema à Desconexão de terminal por inatividade à Limitação de horário de conexão
Login
![Page 10: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/10.jpg)
Avaliação de risco e controles
Ameaças
Vulneráveis
Controles Riscos
Ativos
Requisitos de Segurança
Valor
Impacto potencial no negócio
Têm
Por ter valor são
E por isso podem ser atacados por
E correm
E
Portanto é necessário que se defina
Podendo provocar
![Page 11: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/11.jpg)
Processos de avaliação e tratamento do risco
Avaliação de risco § Identificação e valorização dos ativos § Identificação das vulnerabilidades § Identificação das ameaças § Avaliação de impactos que a perda de confidencialidade, integridade e disponibilidade nos ativos pode causar
§ Análise e avaliação dos riscos § Priorização dos riscos
Tratamento de risco § Definição do grau de garantia § Revisão de controles existentes § Identificação de novos controles § Implementação dos novos controles § Aceitação do risco residual
A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de risco seja realizada para identificar ameaças aos ativos.
![Page 12: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/12.jpg)
Exercício
Continuando o exercício anterior onde foram identificados os riscos, para um destes ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou eliminar cada um destes riscos.
![Page 13: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/13.jpg)
Resposta
Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior teremos:
E alguns controles possíveis serão apresentados no próximo slide.
Contaminação por vírus, ataque de hacker
Antivírus desatualizado
Backup inadequado
Patches desatualizados
Peça chave do processo
Servidor
Desc rição
Probabil idade
Ameaças Vulnerabilidade Comentári o
Valor Confidenci alidade
Integridad e
Disponibilidad e
Descrição
![Page 14: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/14.jpg)
Resposta
Controle Aplicação do Controle
Criar procedimento automático para atualização Criar política adequada para tratar o problema Terceirizar a manutenção e atualização do sistema anti vírus Criar procedimento de backup Controlar a disponibilidade de espaço Terceirizar procedimento de backup Criar procedimento para atualização de patches Terceirizar a informação e atualização dos softwares Adquirir software IDS
Controle contra software malicioso
Housekeeping
Desenvolvimento e manutenção de sistema
![Page 15: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/15.jpg)
O que é um sistema de gestão?
![Page 16: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/16.jpg)
O que é monitorado pode ser medido, e o que é medido pode ser gerenciado.
Definição de sistema de gestão
Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir estes objetivos utilizando:
§ A estrutura organizacional
§ Processos sistemáticos e recursos associados
§ Metodologia de medição e avaliação
§ Processo de análise crítica para assegurar que os problemas são corrigidos e as oportunidades de melhoria são identificadas e implementadas quando necessário
![Page 17: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/17.jpg)
Elementos de um sistema de gestão
§ Política (demonstração de compromisso e princípios para ação)
§ Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades)
§ Implementação e operação (construção da consciência organizacional e treinamento)
§ Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não conformidades)
§ Melhoria (ação preventiva e corretiva, melhoria contínua)
§ Análise crítica pela direção
![Page 18: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/18.jpg)
Normas de sistemas de gestão
§ ISO/IEC 27001 – Segurança da Informação
§ ISO/IEC 20000 – Gestão em TI
§ ISO 9001 – Qualidade
§ ISO 14001 – Ambiental
§ OHSAS 18001 – Segurança e Saúde Ocupacional
§ TL 9000 – Telecomunicações
§ TS 16949 – Automotiva
§ SAE AS 9100 – Aeroespacial
§ ISO 22001 – Alimentos
![Page 19: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/19.jpg)
Sistema de Gestão de Segurança da Informação
SGSI
§ Parte do sistema de gestão, baseado no enfoque de risco nos negócios, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.
Projeto e implementação
§ Influenciados pelas necessidades e objetivos dos negócios, resultando em requisitos de segurança, processos utilizados, tamanho e estrutura da organização. Esperase que o SGSI e os sistemas de apoio mudem com o tempo.
![Page 20: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/20.jpg)
Fatores críticos do sucesso
§ Comprometimento e apoio visível de todos os níveis da direção
§ Provisão de recursos para as atividades de Gerenciamento de Segurança da Informação
§ Divulgação, conscientização, educação e treinamento adequados
§ Política de segurança da informação, objetivos e atividades refletindo os objetivos do negócio
§ Bom entendimento dos requisitos de segurança da informação, avaliação de risco e gerenciamento de risco
![Page 21: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/21.jpg)
Fatores críticos do sucesso
§ Implementação, manutenção, monitoramento e melhoria da segurança da informação consistente com a cultura organizacional
§ Estabelecer um processo eficaz de gestão de incidentes de segurança da informação
§ Implementação de um sistema de medição que seja usado para avaliar o desempenho da Gestão de Segurança da Informação e obtenção de sugestões para melhoria
![Page 22: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/22.jpg)
Exercício
Indique se é verdadeiro ou falso:
1) ( ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos.
2) ( ) Análise crítica não é um elemento de um sistema de gestão.
3) ( ) Um SGSI não deve mudar com o tempo.
4) ( ) A estrutura da ISO 27001 está baseada no PDCA.
5) ( ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001.
6) ( ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.
7) ( ) O SGSI é parte do sistema de gestão global da organização.
![Page 23: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/23.jpg)
Resposta
Indique se é verdadeiro ou falso:
1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para atingir estes objetivos.
2) ( F ) Análise crítica não é um elemento de um sistema de gestão.
3) ( F ) Um SGSI não deve mudar com o tempo.
4) ( V ) A estrutura da ISO 27001 está baseada no PDCA.
5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação escrita, falada e eletrônica é o objetivo da ISO 27001.
6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.
7) ( V ) O SGSI é parte do sistema de gestão global da organização.
![Page 24: Gestão de Segurança da Informação - TI Examestiexames.com.br/ISO27001/ISO_27000_MODULO3.pdf · 4) ( ) A estrutura da ISO 27001 está baseada no PDCA. 5) ( ) Salvaguardar a confidencialidade,](https://reader033.fdocumentos.tips/reader033/viewer/2022041721/5e4e782da4045f35cf6e3338/html5/thumbnails/24.jpg)
Conceitos Riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, Sistema de Gestão de Segurança da Informação
Fim do módulo 3