segurança da informação - políticas de segurança
DESCRIPTION
Gerenciando estrategicamente a segurança da informação baseado nas ISO 27000 e 27001TRANSCRIPT
#SegurancaDaInformacao
Prof. Natanael Simões
natanaelsimoes
Políticas de SegurançaGerenciando estrategicamente a segurança da informação baseado na ISO 27000 e 27001
2
• Deriva do grego politeía• Indicava todos os procedimentos
relativos à pólis (cidade-Estado)• Então o que é “Política de
Segurança”?
O que é “política”?
3
O que é “Política de Segurança”?
+
“Política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos
recursos tecnológicos da empresa.”
4
Por que ter uma?
5
• Atribuir responsabilidades aos usuários, grupo e gerentes
• Oferecer um ponto de partida para:– Adquirir– Configurar– Auditar
Qual o propósito?
6
• Identificar o que você está tentando proteger• Determinar do que você está tentando se
proteger• Determinar o quanto provável são as ameaças• Implementar medidas de proteção aos recursos
mais importantes de maneira efetiva• Revisar o processo continuamente• Fazer melhorias quando uma vulnerabilidade é
encontrada
Qual o propósito?
7
• Administradores de segurança• Pessoal técnico de TI• Administradores de grandes grupos de usuários• Equipe de reação de incidentes de segurança• Representantes de grupos de usuários
Os envolvidos na formulação
8
9
10
11
• Guia de compra de tecnologia computacionalSwitch de camada 3 para averiguação de pacotes
• Expectativas razoáveis de privacidadeMonitoramento de e-mail? Log de atividades? Quem acessará o arquivo X? Quem usará a impressora Y?
• Especificação de conduta para os usuáriosUsuário pode acessar a internet? Pode acessar outros dispositivos na rede? Pode instalar software?
• Especificação de conduta no caso de incidentesQuem contatar? Que procedimento executar?
• Autenticação confiávelQue tipo de senha? Biometria? Reconhecimento de voz? Reconhecimento facial? Cartão magnético?
Componentes da boa política
12
• Definição de disponibilidade de recursosQual a frequência do Backup? Quais os horários de disponibilidade? Quais os horários de manutenção? Como relatar uma falha?
• ManutençãoQuem faz a manutenção? Terceirizado? Atendimento local ou remoto? Se remoto, como conectam?
• Relatório de violaçõesQue tipos de violações devem ser relatados? A quem?
• Conduta quanto a informações confidenciais• Outras políticas da companhia• Leis e regulamentações governamentais
Componentes da boa política
13
• Revisão da política de segurança com assistência jurídica antes de cada aprovação
• Criar um documento de ciência e comprometimento
• Revise periodicamente a política• Escreva a política independe de arquitetura ou
software específico, torne-o flexível
Cuidados no desenvolvimento