boas praticas de seguranca da informacao
DESCRIPTION
Boas Praticas Segurança InformacaoTRANSCRIPT
![Page 1: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/1.jpg)
BOAS PRÁTICAS DE SEGURANÇA DA
INFORMAÇÃO
![Page 2: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/2.jpg)
CONTEÚDO
I. Introdução à Segurança da Informação
II. Cenário da Segurança da Informação
1. Segurança Física
2. Pessoas
3. Tecnologia da Informação
4. Aspectos Legais
III. Boas Práticas de Segurança da Informação
1. Série ABNT NBR ISO/IEC 27000
2. Política de Segurança da Informação
3. Organização
4. Classificação da Informação
5. Gestão de Risco
6. PCN
7. Desenvolvimento de Pessoas
IV. Gestão da Segurança - Ciclo PDCA2
![Page 3: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/3.jpg)
INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Parte I
3
![Page 4: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/4.jpg)
4
Informação e Segurança
“Em um mundo onde existe uma riqueza de
informação, existe freqüentemente uma
pobreza de atenção.”
Ken Mehlman
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 5: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/5.jpg)
O bem mais valioso de uma organização pode não ser o produzido
pela sua linha de produção ou pelo serviço prestado, mas as
informações relacionadas com esse bem de consumo ou serviço.
Exemplos:
nº de casos de dengue por município
Cadastro de servidores (agentes públicos)
Mapeamento e descrição dos processos de negócio
Censo escolar
Indicadores da segurança pública
Imagens de satélite
5
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 6: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/6.jpg)
6
Uma informação pode ser armazenada sob diversos meios:
• Papel (escrita)
• Dispositivos digitais
• Memória Humana (volátil)
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 7: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/7.jpg)
7
Uma informação pode se transmitida por diversos meios:
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 8: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/8.jpg)
8
É fato:
Uma organização pode ter prejuízos incalculáveis ou até mesmo ser
descontinuada por um incidente envolvendo informações.
Não existe 100% de segurança.
É preciso cercar o ambiente de informações com medidas que
garantam sua segurança efetiva a um custo aceitável.
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 9: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/9.jpg)
9
Segurança da informação é a proteção da informação
contra vários tipos de ameaças para garantir a
continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos
e as oportunidades de negócio.
O que é segurança da informação?
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 10: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/10.jpg)
10
Segurança da informações na administração pública
Fraudes marcam a distribuição de ações.
Gaeco apura vazamento de informação
sobre operação em MT
Vazamento de informação prejudicou
operação no Rio, diz delegado
Prejuízo com o vazamento da prova do
Enem pode chegar a R$ 34 milhões
FRAUDE NA PREVIDÊNCIA
CHEGA A R$ 1,6 BILHÃO - MEIO
MILHÃO DE MORTOS-VIVOS
MPF/AP denuncia servidor público por fraude ao sistema
de Dívida Ativa da União - Os prejuízos aos cofres públicos
foram estimados em R$ 11 milhões.
Confirmada fraude no concurso público do
Governo do Mato Grosso.
Polícia investiga fraude no sistema
da Nota Fiscal Paulista
Autoescolas corrompem sistema
digital e oferecem esquema para
renovar CNH em SP
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 11: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/11.jpg)
11
Dimensões de proteção da informação
Con
fiden
cia
lidade
Segurança da
InformaçãoIn
tegri
dade
Dis
pon
ibil
idade
Autenticidade
Não Repúdio
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 12: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/12.jpg)
12
É uma característica da informação que diz respeito ao
direito de acesso.
Medidas de segurança devem garantir que a informação
esteja acessível apenas para quem tem permissão de
acesso, evitando, assim, revelação não autorizada.
• Confidencialidade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 13: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/13.jpg)
13
• Confidencialidade
Balancete contábil Secretaria (pública – acesso a todos os interessados)
Informações táticas de operação policial a ser realizada (apenas os
envolvidos no plano)
Senha da conta bancária (somente o correntista)
Gabarito de Prova não realizada (apenas os elaboradores da prova)
Lista dos aprovados em concurso público (pública - todos os interessados)
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 14: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/14.jpg)
14
É uma característica da informação que diz respeito à sua
exatidão.
Medidas de segurança devem garantir que a informação seja
alterada somente por pessoas e/ou ativos associados
autorizados e em situações que efetivamente demandem a
alteração legítima.
• Integridade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 15: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/15.jpg)
15
• Integridade
Plano de Vôo
Dados preenchidos em cheque
Conteúdo de um Edital a ser publicado
Prescrição médica para paciente internado
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 16: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/16.jpg)
16
Medidas de segurança devem garantir que a informação esteja
disponível, sempre que necessário, aos usuários e/ou sistemas
associados que tenham direito de acesso a ela.
• Disponibilidade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 17: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/17.jpg)
17
• Disponibilidade
Extrato bancário
Dados gerenciais para tomada de decisão
índice de mortalidade infantil por município
tamanho das áreas devastadas por queimadas
nº de aposentadorias previstas para 2013
Dados para operacionalização de procedimentos
ramal de telefones atualizado na recepção
declaração de rendimentos para IRPF
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 18: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/18.jpg)
18
Diz respeito à certeza da origem da informação.
Medidas de segurança devem garantir que a informação provem
da fonte anunciada e que não foi alvo de mutação ao longo de
sua transmissão.
• Autenticidade
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 19: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/19.jpg)
19
• Autenticidade
Página web do banco para digitar nº da conta e senha
Certificado de Registro de Veículo para transferência de proprietário
Atestado médico para justificar falta de funcionário
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 20: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/20.jpg)
20
Ou irretratabilidade, diz respeito à garantia de que o autor de
determinada ação não possa negar tal ação.
Medidas de segurança devem garantir meios que identifique
inequivocamente o autor de uma ação.
• Não repúdio
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 21: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/21.jpg)
21
• Não repúdio
Notificação judicial (entrega em mãos por alguém de fé
pública)
Notificação extrajudicial (registradas)
Posse de um processo (controle de assinatura do
receptor, data e hora do recebimento).
Acesso a determinado ambiente crítico (sistema por
biometria).
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 22: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/22.jpg)
22
Confidencialidade Integridade Disponibilidade
Autenticidade Não Repúdio
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Dimensões da segurança da informação:
![Page 23: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/23.jpg)
24
Segurança da Informação Proteção
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
Ativos:
A própria informação
Infraestrutura física
Tecnologia da Informação
Pessoas
Negócio
Informações
Ativos
suportam
manipuladas
![Page 24: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/24.jpg)
25
Proteção: Medidas / Controles de Segurança da Informação
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 25: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/25.jpg)
26
“ Segurança da Informação é como uma corrente cuja força é medida pelo
seu elo mais fraco.”
Nenhuma corrente é tão forte quanto o seu elo mais fraco.
I. INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO
![Page 26: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/26.jpg)
II. CENÁRIO
27
Segurança Física
![Page 27: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/27.jpg)
CENÁRIO SEGURANÇA FÍSICA
Pouca consideração com a localização das
Instalações
28
![Page 28: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/28.jpg)
29
![Page 29: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/29.jpg)
30
Uma mega explosão no depósito de, umgrande terminal de distribuição decombustível, que armazena óleo, gasolina equerosene, foi ouvida a 322 km de distância.A interrupção dos negócios foi sentida portodas as empresas de Maylands 48 horasapós o incidente, sendo que a maioria foiafetada por longo tempo e muitas ainda estãosofrendo dos efeitos pós-incidente.Cerca de 90 empresas foram severamenteafetadas pelo incidente com destruição totalou parcial de suas instalações e outros ativos.A maioria delas ainda está sofrendo os efeitos do incidente.
Mega explosão do depósito de combustíveis de Buncefield
![Page 30: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/30.jpg)
Barreiras e Controle de Acesso Físico
31
CENÁRIO SEGURANÇA FÍSICA
![Page 31: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/31.jpg)
CENÁRIO SEGURANÇA FÍSICA
32
![Page 32: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/32.jpg)
33
CENÁRIO SEGURANÇA FÍSICA
![Page 33: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/33.jpg)
Infraestrutura de Utilidades :
Energia elétrica,
Abastecimento de água,
Sistema de climatização
34
CENÁRIO SEGURANÇA FÍSICA
![Page 34: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/34.jpg)
35
CENÁRIO SEGURANÇA FÍSICA
![Page 35: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/35.jpg)
Equipamentos
36
CENÁRIO SEGURANÇA FÍSICA
![Page 36: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/36.jpg)
37
CENÁRIO SEGURANÇA FÍSICA
![Page 37: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/37.jpg)
Prevenção e combate a incêndio
CENÁRIO SEGURANÇA FÍSICA
38
![Page 38: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/38.jpg)
CENÁRIO SEGURANÇA FÍSICA
39
![Page 39: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/39.jpg)
CENÁRIO SEGURANÇA FÍSICA
40
![Page 40: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/40.jpg)
II. CENÁRIO
41
PESSOAS
![Page 41: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/41.jpg)
42
CENÁRIO PESSOAS
Ignorância
Má-féNegligência
Incidentes de Segurança provocados por Pessoas
![Page 42: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/42.jpg)
CENÁRIO PESSOAS
44
![Page 43: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/43.jpg)
CENÁRIO PESSOAS
45
![Page 44: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/44.jpg)
46
A Engenharia Social
CENÁRIO PESSOAS
![Page 45: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/45.jpg)
47
A Engenharia Social
"É a ciência que estuda como o conhecimento do comportamento
humano pode ser utilizado para induzir uma pessoa a atuar
segundo seu desejo. Não se trata de hipnose ou controle da mente,
as técnicas de Engenharia Social são amplamente utilizadas por
detetives (para obter informação) e magistrados (para comprovar se
um declarante fala a verdade).
Também é utilizada para lograr todo tipo de fraudes, inclusive
invasão de sistemas eletrônicos."
Mário Peixoto em Engenharia Social e Segurança da Informação na Gestão Corporativa. Rio de Janeiro: Brasport, 2006.
CENÁRIO PESSOAS
![Page 46: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/46.jpg)
Espionagem industrial,
Obter informações privilegiadas para obter vantagem,
Obter informações confidenciais para cometer alguma fraude ou
extorsão,
Roubo de senhas de bancos ou cartões de crédito,
Invadir sistemas por pura diversão o suficiente.
48
Objetivos do Engenheiro Social
CENÁRIO PESSOAS
![Page 47: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/47.jpg)
http://pharma.msc.edu.eg/ATC.asp
Egito
CENÁRIO PESSOAS
49
![Page 48: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/48.jpg)
Subject: Parabéns você ganhou uma TV LCD Philips
Grátis.
From: [email protected]
Date: Mon, 21 Mar 2011 21:31:20 -0700
CENÁRIO PESSOAS
50
![Page 49: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/49.jpg)
51
Por que as pessoas são vulneráveis a manipulações?
• Seis tendências básicas da natureza humana facilitam ataques de
engenharia social:
Autoridade
Afabilidade
Reciprocidade
Validação Social
Escassez
CENÁRIO PESSOAS
![Page 50: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/50.jpg)
52
Por que as pessoas são vulneráveis a manipulações?
• Outros aspectos humanos também devem ser considerados, como
Ambição
Vaidade
Carência afetiva
Curiosidade
Etc
CENÁRIO PESSOAS
![Page 51: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/51.jpg)
53
“Eu consegui porque entrei e ninguém
me perguntou nada e nem pediu
nenhuma identificação…”.
CENÁRIO PESSOAS
![Page 52: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/52.jpg)
54
CENÁRIO PESSOAS
“As pessoas acabam caindo nas minhas
mentiras porque eu mexo com a ambição
delas. Sou quem eles quiserem que eu
seja”. Marcelo Rocha
![Page 53: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/53.jpg)
55
CENÁRIO PESSOAS
![Page 54: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/54.jpg)
II. CENÁRIO
56
Segurança na Tecnologia da Informação
![Page 55: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/55.jpg)
57
CENÁRIO DAS ORGANIZAÇÕES
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 56: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/56.jpg)
58
• Negócios dependentes cada vez mais dos sistemas de informação e da
Internet
• Problemas:
Infecção por vírus,
Acesso não autorizado,
Ataques denial of service contra redes e sistemas,
Furto de informação proprietária,
Invasão de sistemas, fraudes internas e externas,
Espionagem sobre as redes,
entre outras.
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 57: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/57.jpg)
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
59
![Page 58: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/58.jpg)
60
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 59: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/59.jpg)
61
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 60: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/60.jpg)
62
Motivadores
• A difusão da Internet
• O aumento do número de vulnerabilidades nos sistemas existentes
• Esforço e custo para mitigar tais vulnerabilidades com a aplicação
de correções do sistema
•A complexidade e a sofisticação dos ataques também contribuem de
maneira direta para o aumento dos incidentes.
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 61: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/61.jpg)
63
Quem são os atacantes?
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 62: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/62.jpg)
64
Hacker e Cracker
Fascínio pelo poder do controle;
Alto conhecimento técnico de protocolos de redes
e de sistemas operacionais;
Cracker são os maiores responsáveis pelos danos de dados roubados e
de fraudes em sistemas;
Muitas organizações contratam hackers (“éticos”) para testarem a
segurança de suas organizações.
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
hacker britânico
Gary McKinnon
![Page 63: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/63.jpg)
65
• Crackers inexperientes (geralmente das camadas etárias mais novas);
• Utilizam o trabalho intelectual dos verdadeiros especialistas técnicos;
• Almejam fama ou outros tipos de lucros pessoais.
• Utilizam exploits, trojans e ferramentas de cracking construídos por terceiros
para alcançar seus objetivos.
• Ações mais comuns: defacement (alteração do
conteúdo original de páginas web), fraudes
com cartões de crédito e fraudes bancárias.
Script Kiddie
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 64: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/64.jpg)
66
• Possuem autorização legítima para
acesso e uso de informação, sistema, rede.
• Fazem mau uso dos privilégios que possuem
Legitimamente.
• Tentam obter de maneira ilícita acessos com mais poderes.
• Motivações: vingança ((ex)funcionário insatisfeito), ganho financeiro (fraude,
roubo de informação privilegiada), desafio.
Atacantes Internos
Ex-servidora da Previdência Jorgina de
Freitas
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
80% dos incidentes de segurança em uma organização são causados por usuários internos.
![Page 65: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/65.jpg)
67
![Page 66: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/66.jpg)
68
SOFISTICAÇÃO DOS ATAQUES
Código auto-replicáveis
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Alta
Baixa
1985 1990 1995 200520001980 2002
Advinhação de senhas
Programas password cracking
Exploração de vulnerabilidades conhecidas
Desativação de
auditoria
Overflow / Worm
Backdoors
Sniffers
Port Scanners
Spoofing de pacotes IP
Scanners de vulnerabilidades
DoS /DDoS
Ataques Web
Rootkits Exploits
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 67: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/67.jpg)
69Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Conhecimento Técnico
Alto
Baixo
1985 1990 1995 200520001980 2002
Especialistas, estudiosos
Script Kiddies
Richard Skrenta
Criador 1º virus
PERFIL DOS ATACANTES
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 68: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/68.jpg)
70
Fonte: Artigo: Improving the Security of Networked Systems ; revista: CrossTalk - The journal of defense software
engineering; outubro 2000; disponível em http://www.stsc.hill.af.mil/crosstalk/2000/10/allen.html.
Alto
Baixo
1985 1990 1995 200520001980 2002
Sofisticação das ferramentas
Nível de Conhecimento
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 69: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/69.jpg)
71
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
Ambientes mais complexos e heterogêneos
Diversos fornecedores
Necessidade de pessoal com formações especializadas
Complexidade na administração dos ambientes
Muita demanda de serviços via TI e urgências
Problemática dos ambientes de TI
![Page 70: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/70.jpg)
72
CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 71: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/71.jpg)
73
2. CENÁRIO TECNOLOGIA DA INFORMAÇÃO
![Page 72: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/72.jpg)
II. CENÁRIO
74
ASPECTOS LEGAIS
![Page 73: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/73.jpg)
Cenário no ambiente de trabalho
Problemas mais comuns:
• Uso dos recursos de Tecnologia da Informação (TI) da
organização para interesses pessoais
• Uso malicioso ou negligente dos recursos de Tecnologia da
Informação (TI) da organização
ASPECTOS LEGAIS
![Page 74: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/74.jpg)
76
ASPECTOS LEGAIS
Pesquisa com 1,6 mil pessoas realizada por empresa de consultoria em produtividade:
80% gastam até três horas do tempo de trabalho com atividades que
não contribuem para o serviço, e boa parte está ligada à internet;
36% afirmam que acessam Internet sem o foco do trabalho;
40% dizem repassar correntes e também piadas por email;
20% curtem joguinhos online;
56% fazem compras pela internet e;
11% veem pornografia no computador.
Tudo em plena hora de trabalho!
Cenário no ambiente de trabalho
![Page 75: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/75.jpg)
77
ASPECTOS LEGAIS
Quem paga a conta?
Salário + encargos;
Banda Internet;
Armazenamento dos downloads;
Trabalho dos administradores de TI;
Atrasos nas entregas do trabalho e desdobramentos;
Ataques de códigos maliciosos na rede da organização;
Outros custos diretos e indiretos
É um problema ético do empregado e da organização permissiva.
Cenário no ambiente de trabalho
![Page 76: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/76.jpg)
Responsabilidade Civil dos Executivos , Gestores e Profissionais
em geral
• Executivos, gestores e profissionais de TI respondem legalmente pelos
danos causados através dos meios eletrônicos.
• O Código Civil prevê que o empregador é responsável por tudo o que os
trabalhadores fazem usando as conexões e os equipamentos da empresa.
78
Isso significa que, se um funcionário cometer um crime por meio
do computador do trabalho, a empresa responde judicialmente
pelo caso. O funcionário também poderá responder pelo crime,
mas os prejudicados costumam processar as empresas por conta
de elas terem mais poder e dinheiro em caso de indenizações.
ASPECTOS LEGAIS
![Page 77: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/77.jpg)
79
Art. 186. Aquele que, por ação ou omissão
voluntária, negligência ou imprudência, violar direito
e causar dano a outrem, ainda que exclusivamente
moral, comete ato ilícito.
Por ter praticado oudeixado como estava
Não ter tomado os devidos cuidados
ASPECTOS LEGAIS
![Page 78: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/78.jpg)
80
ASPECTOS LEGAIS
STJ - Demissão que ocorre por empregado ceder sua senha eletrônica para burlar sistema eletrônico é legal
TRT-SP: Empregado que assediava colegas por e-mail é demitido por justa causa
Para TRT-SP, copiar documento sigiloso sem autorização dá justa causa
TST admite que banco investigue e-mail de trabalho do empregado
TRT-RS: ao deixar de tomar providências para apuração de envio de e-mails de conteúdo ofensivo, o empregador é responsável pela indenização dos danos morais.
TJ-SC: Banco Itaú indenizará correntista que foi vítima da ação de hackers
TRT-MG: Advogado acusa escritório de monitorar empregados e indenização é rejeitada
![Page 79: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/79.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
84
SÉRIE NBR ISO/IEC 27000
Para que reinventar a roda?
![Page 80: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/80.jpg)
SÉRIE NBR ISO/IEC 27000
85
ISO 27001
Define os requisitos para um sistemas de
gestão de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
![Page 81: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/81.jpg)
SÉRIE NBR ISO/IEC 27000
86
ISO 27001
Boas práticas para a gestão de segurança da
informaçãoISO 27002
ISO 27003
ISO 27004
ISO 27005
![Page 82: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/82.jpg)
SÉRIE NBR ISO/IEC 27000
87
ISO 27001
Guia para a implantação de um sistema de
gestão de segurança da informação
(metodologia)
ISO 27002
ISO 27003
ISO 27004
ISO 27005
![Page 83: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/83.jpg)
SÉRIE NBR ISO/IEC 27000
88
ISO 27001
Define métricas e meios de medição para
avaliar a eficácia de um sistema de gestão
de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
![Page 84: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/84.jpg)
SÉRIE NBR ISO/IEC 27000
89
ISO 27001
Fornece as diretrizes para o processo de
gestão de riscos de segurança da informação
ISO 27002
ISO 27003
ISO 27004
ISO 27005
![Page 85: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/85.jpg)
SÉRIE NBR ISO/IEC 27000
ISO 27002 – Código de práticas para a gestão de segurança da informação
Política de Segurança da Informação
Organizando a Segurança da
Informação
Gestão de Ativos
Classificação da Informação
Segurança em Recursos Humanos
Segurança Física e do Ambiente
Gestão das Operações e Comunicações
Controle de Acesso
Aquisição, Desenvolvimento e
Manutenção de Sistemas de Informação
Gestão de Incidentes de Segurança da
Informação
Gestão da Continuidade do Negócio
Conformidade
90
![Page 86: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/86.jpg)
SÉRIE NBR ISO/IEC 27000
Segurança em Recursos Humanos
Antes da contratação
papéis e responsabilidades definidos e documentados
seleção (referências, verificação das informações do currículo, qualificações
acadêmicas e profissionais, verificações financeiras e criminais)
Termos e condições
Durante a contratação
Responsabilidades da direção
conscientização, educação e treinamento
Processo disciplinar
Encerramento ou mudança de contratação
Encerramento de atividades
Devolução de ativos
Retirada de direitos de acesso91
![Page 87: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/87.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
92
Política de Segurança da Informação
Gosto não se discute, mas política de segurança se
deve discutir, e muito!
![Page 88: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/88.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
O que são políticas de segurança da informação?
93
“Uma Política de Segurança da Informação é um documento que deve
descrever as práticas que a organização espera que sejam seguidas
por todos os empregados para proteger seus ativos de informação.”
Scott Barman
![Page 89: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/89.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Políticas são importantes para:
Comunicar os objetivos e as diretrizes da segurança da informação;
Garantir a implementação apropriada de controles de segurança;
Demonstrar o compromisso e apoio da alta administração;
Evitar problemas legais (indenizações, multas);
Alcançar um nível de segurança consistente evitando esforços
segmentados.
94
![Page 90: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/90.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Desafio
95
![Page 91: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/91.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Motivos de resistência
Pessoas, naturalmente, não gostam de regras e vêem políticas como
controles;
Consideram um impedimento à produtividade;
Diferentes visões sobre necessidades de segurança;
Dificuldades de seguir e implementar.
96
![Page 92: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/92.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Objetivo – ISO 27002
Uma política de segurança da informação tem como objetivo
prover uma orientação e apoio da alta administração para a
segurança da informação de acordo com os requisitos do negócio
e com as leis e regulamentações pertinentes.
• Pesquisa e clínica média
• Administração pública
• Indústria Alimentícia
• Seguradora
• Financeiras
• Telefonia ...
• ANVISA
• CRM
• Sarbane-Oxley
• Banco Central
• ANATEL
• ANAC
![Page 93: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/93.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Fatores Críticos de Sucesso
Implementável e aplicável
Concisa e de fácil entendimento por todos
Equilibrar proteção e produtividade
Revisada periodicamente
COMUNICADA, DIVULGADA, DISSEMINADA
98
???
![Page 94: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/94.jpg)
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
Documentos que compõem um Política de Segurança
Os documentos que compõem uma política de segurança de informação
variam bastante em cada organização, porém a grande maioria segue a
estrutura:
Carta de comprometimento da alta administração
Diretrizes ou Política de Segurança
Normas de Segurança
Procedimentos e Instruções
99
![Page 95: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/95.jpg)
100
Fonte: Segurança e Auditoria de Sistemas – UNIBAN - Thiago
Bordini
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
![Page 96: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/96.jpg)
102
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
No Poder Executivo da Administração Pública do Estado de Mato Grosso, através de resoluções do COSINT:
Políticas e Diretrizes da Segurança da Informação Estadual (Res. 003/2010)
Norma de Segurança Estadual para Acesso à Informação (Res. 008/2010)
Procedimento para concessão e bloqueio de acesso
Procedimento para manter Termo de Responsabilidade e Sigilo
Norma de Segurança para Uso do Correio Eletrônico Corporativo (Res. 009/2011)
Norma de Segurança de Acesso à Internet (Res. 010/2011)
Norma de Segurança para Administração de Senhas (Res. 011/2011)
![Page 97: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/97.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
103
Organização da Segurança da Informação
![Page 98: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/98.jpg)
104
Em que nível se enquadra a segurança da informação em uma organização?
Estratégico
Tático
Operacional
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
![Page 99: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/99.jpg)
105
Alta Administração
Comitê Multi-disciplinar
Gestores
Colaboradores
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Um modelo ...
Gestor SegurançaInformação
![Page 100: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/100.jpg)
106
ComitêMultidisciplinar
Exemplo de formação de um Comitê de Segurança
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
Asse
sso
ria
Ju
ríd
ica
Re
cu
rso
sH
um
an
os
![Page 101: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/101.jpg)
107
Alta Administração
ComitêMultidisciplinar
Gestores
Gestor Segurança daInformação
Gestores Gestores
Colaboradores Colaboradores Colaboradores
A ORGANIZAÇÃO DA SEGURANÇA DA INFORMAÇÃO
![Page 102: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/102.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
108
Classificação da Informação
![Page 103: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/103.jpg)
109
CLASSIFICAÇÃO DA INFORMAÇÃO
“A informação sempre tem valor.
Se você não o souber, sempre há
alguém que imagina o quanto ela
vale; e você pode ficar sabendo
somente quando for tarde demais.”
Caruso&Steffen
![Page 104: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/104.jpg)
110
• A Classificação da Informação permite identificar o grau de proteção
necessário baseado no valor da informação.
•Tal proteção designa-se a evitar destruição, modificação e/ou revelação
não autorizada.
CLASSIFICAÇÃO DA INFORMAÇÃO
DisponibilidadeIntegridade
Confidencialidade
![Page 105: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/105.jpg)
CLASSIFICAÇÃO DA INFORMAÇÃO
111
O que é?
É o processo de identificar os níveis apropriados de proteção à
informação, a partir de critérios bem definidos, garantindo a sua
confidencialidade, integridade e disponibilidade.
Por que?
Permite a proteção adequada às informações. A Classificação da
informação formalizada e instituída evita equívocos por subjetividade nas
medidas de proteção das informações de uma organização.
![Page 106: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/106.jpg)
CLASSIFICAÇÃO DA INFORMAÇÃO
112
Exemplo
Níveis de Confidencialidade ou Sensibilidade:
Nível Critérios
Confidencial informações que, em razão de lei, interesse público ou
para a preservação de direitos individuais, devam ser de
conhecimento reservado e, portanto, requeiram medidas
especiais de segurança e salvaguarda.
Restrita informações que, por sua natureza, só podem ser
divulgadas a grupo restrito de pessoas;
Uso interno informações que, por sua natureza, são de interesse
exclusivo da organização;
Pública Todas as demais informações.
![Page 107: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/107.jpg)
113
A proteção da informação deve considerar todos os aspectos de
manipulação, tais como:
Controle de cópia
Armazenamento
Transporte interno
Transporte externo
Transmissão via linha telefônica ou fax
Transmissão por redes de comunicação
Descarte
CLASSIFICAÇÃO DA INFORMAÇÃO
![Page 108: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/108.jpg)
CLASSIFICAÇÃO DA INFORMAÇÃO
É BOM LEMBRAR .....
Valor da
InformaçãoCusto da Proteção
Custo X Benefício114
![Page 109: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/109.jpg)
Diretrizes
Normas
Procedimentos
CLASSIFICAÇÃO DA INFORMAÇÃO
115
Instrumentos para instituição da Classificação da Informação:
• Política e Diretrizes para Classificação da
Informação
• Norma de Segurança para Classificação da
Informação
• Instruções para Proteção da
Informação
![Page 110: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/110.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
116
Gestão de Risco
![Page 111: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/111.jpg)
GESTÃO DE RISCOS
117
“O maior risco é crer
que não há riscos.”
Caruso&Steffen
![Page 112: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/112.jpg)
Prática preventiva;
Consiste em:
Reconhecer os potenciais riscos sobre determinado objeto (contexto)
que se quer proteger,
Mensurar a capacidade desses riscos em causar danos e a severidade
dos possíveis danos,
Tratar esses riscos preventivamente, modificando-o para um nível
aceitável.
Referência: ABNT NBR ISO 31000 Gestão de riscos – Princípios e
diretrizes
118
GESTÃO DE RISCOS
![Page 113: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/113.jpg)
Determinar o contexto
Analisar os riscos
Avaliar os riscosTratar os riscos
Acompanhamento dos riscos
Ambiente,
Sistema,
Projeto,
Serviço
Ameaças,
Vulnerabilidades,
Controles,
Impactos,
Probabilidade
• Grandeza
(Quantitativa ou Qualitativa)
• Urgência
• Aceitar
• Evitar
• Minimizar o impacto
• Diminuir a probabilidade
• Transferir ou compartilhar
GESTÃO DE RISCOS
119
![Page 114: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/114.jpg)
120carpete
![Page 115: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/115.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
121
Plano de Continuidade do Negócio
![Page 116: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/116.jpg)
122
“… depois, não adianta chorar o leite desrramado”.
PLANO DE CONTINUIDADE DO NEGÓCIO
![Page 117: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/117.jpg)
FATOS ...
Dentre as empresas que sofrem grandes incidentes sem possuir um
plano:
40% não sobrevivem
40% encerram suas atividades em 18 meses
12% encerram suas atividades em 5 anos
8 % sobrevivem
Fonte: Safetynet/Guardian IT
123
PLANO DE CONTINUIDADE DO NEGÓCIO
![Page 118: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/118.jpg)
124
PCN é um conjunto de planos que se complementam,
oferecendo uma solução completa para a continuidade dos
negócios essenciais numa situaçao de falha ou interupção nos
componentes que suportam os principais processos.
Modulo Security
Tem o foco na continuidade das funções vitais do negócio;
Geralmente contém o plano de recuperação de desastres e o plano
de contingência TI;
Convém ter o plano de gerenciamento de crise
Fonte: ABNT NBR 15999-1 e 2 Gestão de Continuidade de Negócio
PLANO DE CONTINUIDADE DO NEGÓCIO
![Page 119: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/119.jpg)
Garante a continuidade
Operacional dos Processos
de Negócios Vitais
Recupera / restaura os
componentes que suportam os
Processos de Negócios
Plano de
Contingência
Plano de
Recuperação de
Desastre
Gerenciamento de
Crise
Coordena ações,
minimiza perdas, salva
vidas, estabelece porta-
voz, ...
PLANO DE CONTINUIDADE DO NEGÓCIO
125
![Page 120: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/120.jpg)
126
PLANO DE CONTINUIDADE DO NEGÓCIO
![Page 121: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/121.jpg)
127
PLANO DE CONTINUIDADE DO NEGÓCIO
Tinha PCN ???
![Page 122: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/122.jpg)
128
Um bom PCN evita a falsa sensação de segurança.
PLANO DE CONTINUIDADE DO NEGÓCIO
![Page 123: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/123.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
129
Desenvolvimento de Pessoas
Segurança da Informação começa e
termina em pessoas.
![Page 124: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/124.jpg)
130
DESENVOLVIMENTO DE PESSOAS
![Page 125: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/125.jpg)
131
Só existe uma maneira de manter seguros os negócios de uma organização:
Ter uma força de trabalho consciente e treinada.
COMO?
Desenvolvendo uma estratégia para aumentar o nível de consciência
da segurança da informação e a habilidade de aplicar os princípios e
conceitos às atividades funcionais
É crítico empreender os dois princípios de aprendizagem:
CONSCIÊNCIA e CAPACITAÇÃO.
DESENVOLVIMENTO DE PESSOAS
![Page 126: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/126.jpg)
132
Que comportamento a organizaçãoespera dos colaboradores ?
Que habilidade(s) a organização querque seja desenvolvida?
CONSCIENTIZAÇÃO
CAPACITAÇÃO
DESENVOLVIMENTO DE PESSOAS
![Page 127: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/127.jpg)
133
Um profissional que, envolvido com a segurança da
informação, se comporta de maneira a proteger
informações e ativos e planeja e aplica técnicas de
proteção adequadas.
Tudo isso seguindo os princípios e diretrizes de
segurança estabelecidos pela organização.
Conscientização
Capacitação
RESULTADO …
Políticas de Segurança
DESENVOLVIMENTO DE PESSOAS
![Page 128: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/128.jpg)
134
Alguns recursos úteis para programas de Conscientização:
• Identificação visual (mascote, lema)
•Palestras
• Gincanas com premiações
• Banners (físicos e digitais)
• E-mails
• Cartilhas
• Faixas
• Brindes com mensagens
• e-Boletins…
DESENVOLVIMENTO DE PESSOAS
![Page 129: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/129.jpg)
135
“Uma boa ação pode gerar uma reação em
cadeia até que … uma má ação a anule.”
“A segurança da informação começa e termina
em PESSOAS.”
DESENVOLVIMENTO DE PESSOAS
![Page 130: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/130.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
136
Ferramentas de Segurança
“Segurança não é um produto que se pode
comprar de prateleira, mas que consiste de
políticas, pessoas, processos e tecnologia“
(Kevin Mitinik)
![Page 131: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/131.jpg)
Tecnologias de Apoio
Autenticação
Criptografia
Tecnologias Preventivas e
Detectivas
Firewall
Anti-Malwares
IDS
VPN
137
FERRAMENTAS DE SEGURANÇA
![Page 132: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/132.jpg)
Autenticação
138
É um processo que verifica, a partir de uma identidade digital, se
o usuário possui o direito de acesso a um sistema, um
computador ou um ambiente.
FERRAMENTAS DE SEGURANÇA
Pode ser baseada em um ou na combinação dos seguintes fatores:
Algo que o usuário conhece.
Algo que o usuário tem
Algo que o usuário é
Onde o usuário está
![Page 133: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/133.jpg)
139
Algumas recomendações para uma boa senha (ISO/IEC 27001):
manter a confidencialidade das senhas;
evitar anotar senhas;
alterar senha sempre que existir qualquer indicação de comprometimento
de sua confidencialidade;
Selecionar senhas de qualidade
FERRAMENTAS DE SEGURANÇA
![Page 134: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/134.jpg)
140
FERRAMENTAS DE SEGURANÇA
![Page 135: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/135.jpg)
141
FERRAMENTAS DE SEGURANÇA
As forças armadas dos Estados Unidos utilizaram a senha
„00000000‟ para proteger esses computadores
durante oito anos (de 1968 a 1976).
Para a sorte dos norte-americanos, na época não havia
nenhum hacker esperto o bastante para utilizar um robô
de força bruta para quebrar os códigos e causar uma
catástrofe.
![Page 136: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/136.jpg)
Outras Ferramentas de Autenticação
142
Biometria
FERRAMENTAS DE SEGURANÇA
![Page 137: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/137.jpg)
Criptografia
143
• Usada para ”embaralhar” uma determinada informação que deve
ser mantida em segredo, protegendo-a do acesso por terceiros não
autorizados.
• Somente as pessoas autorizadas conseguirão ”desembaralha-la”
para ter o conhecimento de seu teor.
FERRAMENTAS DE SEGURANÇA
![Page 138: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/138.jpg)
144
• Uso da tecnologia de criptografia
Cifragem / Decifragem ou criptografia/decriptografia
Certificação digital
Assinatura Digital
FERRAMENTAS DE SEGURANÇA
![Page 139: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/139.jpg)
• Cifragem / Decifragem ou criptografia/decriptografia
• dados no computador
• dados em pendrive
• conteúdos e anexos em e-mails
• dados a serem trafegados em redes inseguras (internet)
FERRAMENTAS DE SEGURANÇA
145
confidencialidade
![Page 140: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/140.jpg)
146
FERRAMENTAS DE SEGURANÇA
http://www.com.br
![Page 141: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/141.jpg)
147
FERRAMENTAS DE SEGURANÇA
https://www2.bancobrasil.com.br
![Page 142: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/142.jpg)
148
Identidade digital de pessoa, organização, equipamento;
Emitido por instituição reconhecida como confiável entre as partes;
Utilizado para autenticar a identidade das partes em um transação
digital
• Certificação Digital
FERRAMENTAS DE SEGURANÇA
autenticidade
![Page 143: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/143.jpg)
149
• Assinatura Digital
• Utiliza o certificado digital do signatário
• A assinatura digital garantia a integridade do conteúdo e autenticidade
do signatário.
Vincula o conteúdo do arquivo com a assinatura.
• A assinatura digital gerada através de certificado digital emitido por
entidade da ICP-Brasil tem validade legal.
FERRAMENTAS DE SEGURANÇA
Autenticidade e integridade
![Page 144: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/144.jpg)
150
Indicador deAssinatura
Digital
Para Criptografar basta clicar
FERRAMENTAS DE SEGURANÇA
![Page 145: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/145.jpg)
151
Firewall
Anti-malware
IDS – Sistema de Detecção de Intrusão
VPN – Virtual Private Network
Outras ferramentas de segurança:
FERRAMENTAS DE SEGURANÇA
![Page 146: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/146.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
152
Segurança Física
![Page 147: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/147.jpg)
Perímetros de Segurança
Consiste em isolar áreas com diferentes níveis de risco e
criticidade
Segurança em camadas
Deve-se considerar os riscos de fora para dentro
Controle de Acesso Físico
Prover segurança de acesso a áreas delimitadas
salas de computadores, almoxarifado, sala de máquinas,
arquivo geral, ...
153
SEGURANÇA FÍSICA
![Page 148: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/148.jpg)
SEGURANÇA FÍSICA
154
![Page 149: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/149.jpg)
Recomendações sobre controle de Acesso Físico:
A entrada de pessoas em áreas de segurança deve ser
controlada para que apenas pessoas autorizadas tenham acesso.
Controles:
• Registro da data e hora da entrada e saída de visitantes
• As permissões de acesso devem ser concedidas somente para
finalidades específicas e autorizadas
• O acesso a áreas em que são processadas ou armazenadas informações
sensíveis deve ser restrito às pessoas autorizadas;
• Funcionários, fornecedores e terceiros, e todos os visitantes, devem
possuir alguma forma visível de identificação
155
SEGURANÇA FÍSICA
![Page 150: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/150.jpg)
Infraestrutura de Utilidades
Energia elétrica, abastecimento de água, tratamento de esgotos e ar-
condicionado;
Exige manutenções regulares para assegurar seu funcionamento correto;
Recomenda-se o uso de UPS (Uninterruptible Power Supply) para
suportar as paradas e desligamento dos equipamentos. O sistema mais
comum é o no-break.
Deve ser considerado o emprego de um gerador de emergência caso seja
necessário para o negócio.
156
SEGURANÇA FÍSICA
![Page 151: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/151.jpg)
Circuito Fechado de TV
O sistema de circuito fechado de TV mantém a vigilância constante sobre
os pontos mais críticos.
Para realização do monitoramento sem riscos legais:
Manter sempre aviso em especial na entrada do recinto
Conteúdo das filmagens só poderá ser transcrito e utilizado em face de
investigação
Conteúdo das filmagens deve ter controle de acesso rígido.
Treinamento específico aos responsáveis pela análise das imagens
Também se deve observar para que não haja exposição do colaborador
ao ridículo, tampouco gerar algum tipo de perseguição (colocar a
câmera vigiando apenas determinada pessoa e não todo o ambiente).
157
SEGURANÇA FÍSICA
![Page 152: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/152.jpg)
Segurança Física em Equipamentos
Algumas considerações:
Posicionamento do monitor de maneira a evitar visualização de informações
por pessoas não autorizadas;
Controles contra furtos e sabotagens;
Inibir comidas ou bebidas próximas a equipamentos;
Condições ambientais: temperatura, umidade, poeira, gazes;
Cabos de segurança para laptops.
158
SEGURANÇA FÍSICA
![Page 153: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/153.jpg)
Segurança contra Fogo
Precauções:
Somente equipamentos em funcionamento devem ser mantidos ligados;
Não se deve permitir qualquer atividade que produza fumaça ou qualquer
gás em recinto de instalação sensível;
Antes da saída de pessoal de instalação sensível:
Fechar todas as portas e aberturas entre os diversos compartimentos;
Papéis e sucatas de papel devem ser recolhidos e removidos;
Retirar da energia equipamentos que não necessitam ficar ligados;
Verificar se sistema de combate e prevenção de incidente está
operante;
Plano e Treinamento contra incêndio.159
SEGURANÇA FÍSICA
![Page 154: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/154.jpg)
9. Segurança contra Fogo
Classes de Incêndio:
Classe A – combustíveis sólidos
comuns; queimam em superfície e em
profundidade. Ex.: papel,madeira,
tecido, fibras.
Classe B – combustíveis inflamáveis
derivados do petróleo e outras fontes;
queimam na superfície.Ex.: gasolina,
alcool, querosene, parafina, acetileno.
Classe C – equipamentos elétricos e
eletrônicos com energia.Ex.: máquinas,
motores, instalações elétricas.
Classe D – metais pirofóricos; requerem
agentes extintores específicos; se
inflamam em contato com o ar. Ex.:
magnésio, sódio, potássio, pó de zinco.
SEGURANÇA FÍSICA
160
![Page 155: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/155.jpg)
III. BOAS PRÁTICAS DE SEGURANÇA DA INFORMAÇÃO
161
ASPECTOS LEGAIS
![Page 156: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/156.jpg)
Melhores Práticas
• Educação
• Políticas, normas e termos de responsabilidade
• Monitoramento
• Os recursos de TI são do empregador
• Deve estar claro aos empregados de que não há privacidade no uso
dos recursos da empresa (e-mails corporativos, acesso Internet)
• Os empregados devem estar cientes dos monitoramentos a que
estão submetidos (Internet, e-mails, filmagem, ...)
• Medidas disciplinares
162
ASPECTOS LEGAIS
![Page 157: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/157.jpg)
IV. GESTÃO DA SEGURANÇA DA INFORMAÇÃO
163
Ciclo PDCA
![Page 158: Boas Praticas de Seguranca Da Informacao](https://reader033.vdocuments.pub/reader033/viewer/2022052913/563dbb4b550346aa9aabf14a/html5/thumbnails/158.jpg)
164
Gestão da
Segurança
da
Informação
AGIR PLANEJAR
EXECUTARVERIFICAR
Planos de Segurança:
• Revisão Política e Normas
• Programa de educação / capacitação
• Implementação controles de segurança
• Definição das metas e indicadores
• Planejar monitoramento da
conformidade, gestão de risco e
gerenciamento dos incidentes
Execução dos
Planos
• Classificar incidentes
• Analisar e Avaliar Riscos
• Analisar medidas dos
indicadores
• Analisar desvios de
conformidade
• Novos requisitos de segurança?
• Novos requisitos legais?
• Tratar Incidentes
• Identificar
causas
• Responsabilizar
• Tratar riscos
urgentes
• Tratar desvios
nos indicadores