Académique Documents
Professionnel Documents
Culture Documents
Marcos Smola
Consultor em Gesto de Segurana da Informao marcos@semola.com.br
Apresentao
Consultor em Gesto de Segurana da Informao 12 anos de experincia em projetos de Tecnologia da Informao 05 anos de experincia como Consultor Snior e Gerente Nacional de Servios de Segurana da Informao (ex-Mdulo) Professor da Fundao Getlio Vargas Gesto de Segurana da Informao para os cursos MBA MBA em Tecnologia Aplicada/FGV Mestrando em Economia Empresarial Ps Graduado em Marketing e Estratgia de Negcios Ps Graduado em Redes Locais Bacharel em Cincia da Computao Autor do livro Gesto da Segurana da Informao uma viso executiva, Ed. Campus 2003 Articulista em publicaes do especializadas Escritor da coluna Firewall da IDGNow Palestrante em congressos no Brasil Integrante da comisso de estudos CB-21/ISO17799
Agenda
Conceitos fundamentais A importncia da informao Informao vs Segurana Respondendo as perguntas: QUE informaes proteger POR QUE proteger QUANDO proteger ONDE proteger O QUE proteger DO QUE proteger COMO proteger
Conceitos
Por que falar de Informao e Segurana? Informao
1 Ato ou efeito de informar. 2 Transmisso de notcias. 3 Instruo, ensinamento. 4 Transmisso de conhecimentos. 5 Opinio sobre o procedimento de algum. 6 Investigao. 7 Inqurito.
Seguro (Segurana)
1 Livre de inquietaes. 2 Sossegado. 3 Confiado. 4 Livre de perigo ou no exposto a ele. 5 Que oferece segurana contra ataques, acidentes, desastres ou danos de qualquer outra natureza...
Informao
Possuir Informao ganhar agilidade, competitividade, previsibilidade, dinamismo. Informao um diferencial! atividade de um indivduo comum
aumento da gasolina aumento da inflao precipitao de chuvas promoo da passagem area limite salarial para um cargo queda da Bovespa planos do seu chefe para voc abandono da sua empregada mudana no Cdigo Civil ...
discurso do presidente Lula conflito no Oriente Mdio valorizao do Petrleo tendncias tecnolgicas planos do concorrente oscilao da taxa de juros plano de greve funcionrios falncia de uma parceira resultados do ltimo exerccio ...
Informaes teis que podem ser usadas a seu favor ou contra voc e sua empresa.
Informao vs Segurana
Crebro Processo de Negcio 4
Sangue
Informao
Corao
Ativo Tecnolgico
Processo de Negcio 3 Ativo Fsico Ativo Fsico Processo de Negcio 2 Ativo Tecnolgico Processo de Negcio 1 Ativo Fsico Ativo Humano
Traquea
Corpo Humano
Negcio
Informao vs Segurana
CASE
Informao vs Segurana
QUE informaes precisam de segurana?
Identidade atividade de CPF um indivduo Endereo residencial comum Telefone celular Cdigo da maleta INFORMAES Senha da agenda eletrnica Informaes bancrias e senhas Senhas de acesso da empresa Nmero do Carto de Crdito $ espcie na carteira $ patrimnio $ saldo bancrio $ prmio do seguro de vida e beneficirios Rotina e horrios de trabalho
Informao vs Segurana
POR QUE proteger as informaes?
atividade de um indivduo comum Por seu valor Pelo impacto de sua ausncia Pelo impacto resultante de seu uso por terceiros Pela importncia de sua existncia Pela relao de dependncia com a sua atividade ...
INFORMAES
Informao vs Segurana
QUANDO proteger as informaes?
Durante seu ciclo de vida Manuseio Armazenamento Transporte Descarte atividade de um indivduo comum
Manuseio
Armazenamento
Transporte
Descarte
INFORMAES
Informao vs Segurana
ONDE proteger as informaes?
Nos ativos que as custodiam: Fsicos Tecnolgicos Humanos atividade de um indivduo comum
ATIVOS
Miopia do Iceberg
Miopia do Iceberg
Miopia do Iceberg
Bug de software Servio crtico FTP habilitado Desatualizao do sistema operacional Firewall sem configurao
...
Alarme e tranca de porta frgil Sistema de combate a incndio inoperante Cabeamento desestruturado Ausncia de controle de acesso fsico ... Email enviado pessoa errada Relatrio crtico descartado sem cuidado Segredo de negcio falado no elevador Arquivo eletrnico apagado distraidamente ...
Informao vs Segurana
O QUE proteger nas informaes?
Os conceitos principais: Confidencialidade Integridade Disponibilidade Os aspectos: Legalidade Autenticidade Que podem ser atingidos pela explorao de uma falha ou vulnerabilidade presente em um ativo. VULNERABILIDADES atividade de um indivduo comum
Informao vs Segurana
DO QUE proteger as informaes?
De ameaas: Fsicas Tecnolgicas Humanas atividade de um indivduo comum
AMEAAS
Informao vs Segurana
Viso Geral
Manuseio
INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS
VULNERABILIDADES
FSICAS incndio inundao curto circuito apago TECNOLGICAS vrus bug software defeito tcnico invaso web HUMANAS sabotagem fraude erro humano descuido AMEAAS
Informao vs Segurana
atividade de um indivduo comum negcio de uma empresa
Heterogeneidade tecnolgica Volume de informaes disponibilizadas Volume de relacionamentos com terceiros Volume de ativos fsicos, tecnolgicos e humanos Altos ndices de conectividade e compartilhamento Presso por competitividade e lucratividade Manuteno da credibilidade da imagem ...
Risco
AMEAAS exploram VULNERABILIDADES presentes nos ATIVOS que mantm informaes, causando IMPACTOS no Negcio
INDISPONIBILIDADE
R= risco
Ameaas
X Vulnerab. X Impactos
Medidas de Segurana
Segurana da Informao adotar controles fsicos, tecnolgicos e humanos personalizados, que viabilizem a reduo e administrao dos riscos, levando a empresa a atingir o nvel de segurana adequado ao seu negcio.
Informao vs Segurana
negcio de uma empresa
Manuseio Armazenamento Transporte Descarte
INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS
VULNERABILIDADES
Informao vs Segurana
Viso Geral
Manuseio
INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS
VULNERABILIDADES
FSICAS incndio inundao curto circuito apago TECNOLGICAS vrus bug software defeito tcnico invaso web HUMANAS sabotagem fraude erro humano descuido AMEAAS
Informao vs Segurana
COMO proteger as informaes?
Aplicando controles que eliminem e administrem as vulnerabilidades, reduzindo assim os riscos Segmentando-as pela importncia (relevncia) Definindo nveis de segurana compatveis Avaliando o valor da informao e o custo da proteo DESENCORAJAR DIAGNOSTICAR
DISCRIMINAR
DIFICULTAR
DETECTAR
CONTROLES
DETER
Informao vs Segurana
negcio de uma empresa
Manuseio Armazenamento Transporte Descarte
INFORMAES
FSICOS agenda sala arquivo cofre TECNOLGICAS sistema e-mail servidor CONTROLES notebook HUMANOS funcionrio parceiro secretria porteiro ATIVOS
VULNERABILIDADES
FSICAS incndio inundao curto circuito apago TECNOLGICAS vrus bug software defeito tcnico invaso web HUMANAS sabotagem fraude erro humano descuido AMEAAS
INFORMAES
ATIVOS FSICOS arquivo de papel TECNOLGICAS HUMANOS
Cadeado, alarme, guarda Arquivo sem chave FSICAS xerox (cpia) ilegal, fraude, vazamento de informaes AMEAAS
CONTROLES VULNERABILIDADES
HUMANAS
TECNOLGICAS
INFORMAES
ATIVOS FSICOS TECNOLGICAS e-mail HUMANOS
CONTROLES VULNERABILIDADES
HUMANAS
TECNOLGICAS Vrus
INFORMAES
ATIVOS FSICOS TECNOLGICAS HUMANOS secretria
Hoje xx:xxh
Conceitos
J falamos de Informao e Segurana. Por que falar de Gesto?
Gesto (Administrao)
Gerir
Gesto de Riscos
POR QUE um processo de gesto de riscos?
Velocidade das mudanas Fsicas Tecnolgicas Humanas Provocam o surgimento de novas vulnerabilidades
Velocidade de criao de novas ameaas que estaro aptas a explorar as tambm novas vulnerabilidades.
Gesto de Riscos
Situao ATUAL
M M A M B A B
Situao ATUAL
RISCO
TOTAL
tempo
Processo de Gesto
ACEITVEL
RISCO
NOVOS RISCOS
RISCO
Riscos do Negcio
Riscos Financeiros Riscos Fiscais Riscos de Incidente
Riscos da Informao
Negcio
Riscos de Pessoal
Riscos Jurdicos
Risco de Crdito
Norma ISO/BS7799
Norma ISO/BS7799
BS17799 (ISO17799) Parte 1: Cdigo de Prtica 10 domnios reunindo 127 controles Parte 2: Framework ISMS ou SGSI Sistema de Gesto de Segurana da Informao Posicionamento das empresas: Busca da certificao (definio de escopo) Orientao para a gesto de segurana Primeiro passo: diagnosticar Anlise de Riscos
ISO17799:1 - Objetivo
Fornecer recomendaes para a gesto da segurana da informao orientando os responsveis pela introduo, implementao e manuteno da segurana em suas organizaes Prover uma base comum para o desenvolvimento de normas de segurana e das prticas efetivas de gesto Prover confiana nos relacionamentos entre as organizaes
ISO17799:1 - Estruturao
ISO17799:1 Cdigo de Prtica (parte 1 da BS7799)
Gesto de Segurana da Informao Domnios
1O
127
Cdigo de Prtica
A norma estruturou os controles e os agrupou em 10 domnios: Poltica de Segurana da Informao Segurana Organizacional Classificao e controle dos ativos de informao Segurana em pessoas Segurana Fsica e Ambiental Gerenciamento das operaes e comunicaes Controle de Acesso Desenvolvimento de Sistemas e Manuteno Gesto da continuidade do negcio Conformidade
1 Passo
2 Passo
3 Passo Ameaas, Vulnerabilidades, Impactos 4 Passo Abordagem do Gerenciamento de Risco - Grau de confiana requerido 5 Passo Clausula 4 da BS7799-2:1999, Objetivos de controle e controles, Controles adicionais no contidos na BS7799.
6 Passo
Gesto PDCA
Comit Executivo de Segurana da Informao Security Officer
Nvel Executivo Planejar Analisar Implementar Monitorar Percepo de mudanas no negcio
P
Nvel Ttico Planejar
Analisar
Implementar
Monitorar
Planejar
Planejar
Planejar
Planejar
Analisar
Analisar
Analisar
Implementar
Implementar
Monitorar
Monitorar
Monitorar
Monitorar
Gesto PDCA
Avaliao de resultados Proposta de mudanas Proposta de aes Coordenador de Segurana Mobilizao dos gestores crticos Auditoria e monitoramento Anlise de mtricas - ndices e indicadores Controle Anlise de riscos Capacitar a funo Execuo para manuseio da mtrica Reportar ocorrncias de quebra de segurana funo Controle Feedback dos ndices e indicadores funo Controle Execuo Garantir o cumprimento da Poltica de Segurana Responder questes de auditoria Registrar ocorrncias de quebra de segurana Implementar aes Relatrios gerenciais de resultado Proposta de projetos Apoio consulivo ao coordenador Planejamento e Avaliao Palestras de conscentizao e treinamento
Fonte: 19.02.03
Nmeros da segurana
SETEMBRO 2002
Copyright Mdulo Security Solutions S.A. Todos os direitos reservados. Autorizamos a utilizao do contedo desta pesquisa, somente para fins de apresentao, desde que citada a sua fonte.
Web Site Consulta a Banco de Dados Entrada / recepo de dados Webmail Atendimento online Vendas online Internet Banking Certificao digital E-procurement Diagnstico remoto
Principais ameaas
Funcionrio insatisfeito Virus Acessos locais indevidos Vazamento de informaes Divulgao de senhas Hackers Uso de notebooks Falhas na segurana fsica Fraudes, erros e acidentes Acessos remotos indevidos
64% 55% 49% 48% 47% 36% 36% 33% 30% 29%
Prejuzos contabilizados
Acima de 1 milho 1%
De R$ 50.000 a R$ 1 milho 8%
At R$ 50 mil 19%
Principais responsveis
48%
Pontos de invaso
Outros 1%
No sabem informar 2%
Internet 55%
Obstculos
Falta de conscincia dos executivos Falta de conscincia dos usurios Falta de oramento Falta de profissionais capacitados Falta de ferramenta no mercado Custo de implantao Falta de prioridade 2% 1% 1% 10% 23% 29%
33%
Perfil EXECUTIVO
PERCEPO
AES
RISCOS
ativo FSICO
ativo TECNOL
ativo HUMANO
Perfil TCNICO
VISO INTEGRADA
CONFORMIDADE (Normas)
Livro
SMOLA, Marcos. Gesto da Segurana da Informao uma viso executiva. Ed.Campus, 2003 R$35,00
Proposta do livro
Conscientizar os diversos nveis hierrquicos Fundir as vises tcnica e de negcio Compartilhar uma viso integrada dos riscos Subsidiar um Plano Diretor de Segurana Orientar para um processo de gesto de riscos Otimizar os investimentos em segurana Criar sinergia com a norma ISO17799 Viabilizar a segurana como um elemento gerador de valor para as empresas, em prol da sua competitividade e sobrevivncia.
Viso integrada dos riscos da informao para a Viso Integrada gesto contnua da segurana