Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura...
-
Upload
alana-aldeia-dias -
Category
Documents
-
view
219 -
download
5
Transcript of Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura...
![Page 1: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/1.jpg)
Faculdade de Tecnologia SENAI Porto Alegre
Segurança em Desenvolvimento de SI
Aula 1
Prof. Me. Humberto [email protected]
![Page 2: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/2.jpg)
Evolução da TI
![Page 3: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/3.jpg)
![Page 4: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/4.jpg)
Postura TI
![Page 5: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/5.jpg)
![Page 6: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/6.jpg)
![Page 7: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/7.jpg)
![Page 8: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/8.jpg)
Princípios de TI (papel da TI perante o negócio) Arquitetura de TI (definição de requisitos de padronização e
integração) Infraestrutura de TI (parte física, entregue em forma de serviços para
prover suporte aos sistemas), Necessidades de aplicações de negócio (preocupação com as
aplicações empresariais que devem ser adquiridas ou desenvolvidas internamente)
Investimentos em TI (decisões de como e onde investir em TI).
Níveis de TI
![Page 9: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/9.jpg)
Grupos de decisões: Monarquia de negócio (altos gestores)Monarquia de TI (especialistas em TI) Feudalismo (cada unidade de negócio toma suas decisões) Federalismo (combinação entre o centro corporativo e as unidades de negócios)Duopólio de TI (o grupo de TI e algum outro grupo)Anarquia (tomada de decisão individual ou em pequenos grupos de forma isolada).
![Page 10: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/10.jpg)
![Page 11: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/11.jpg)
Resumo - Família ISO 27000
ISO 27000:2012 Termos, definições e vocabulário utilizados ao longo da série 27000ISO 27001:2006 Estabelecer, implementar, operar, manter, monitorar, melhorar um SGSIISO 27002:2005 Controle de segurança da Informação e boas práticasISO 27003:2011 Especificação e projeto do SGSI.ISO 27004:2010 Medir, informar e melhorar a eficiência e a eficácia de um SGSIISO 27005:2011 Diretrizes para a gestão de riscos (análise, avaliação, tratamento, aceitação...)ISO 27006:2011 Requisitos Gerais para serem creditadas em certificar SGSIISO 27007:2011 Gerenciamento e Execução de Auditorias de um SGSI
![Page 12: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/12.jpg)
Vantagem do Uso de Normas
Metodologia estruturada de segurança que está alcançando reconhecimento internacional
Maior confiança mútua entre parceiros comerciais
Custos possivelmente menores para seguros de riscos computacionais
Melhores práticas de privacidade e conformidade com leis de privacidade.
![Page 13: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/13.jpg)
Informação
"É um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida”. Tipos:
Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou por meios eletronicos Exibida em vídeos Verbal – falada em conversações
![Page 14: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/14.jpg)
Informação
Internas a companhia informação que você não gostaria que a concorrência soubesse
Clientes e fornecedores informação que eles não gostariam que você divulgasse
Parceiros informação que necessita ser compartilhada com outros parceiros comerciais
![Page 15: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/15.jpg)
A Informação Pode ser:
Criada; Transmitida; Processada; Usada; Armazenada; Corrompida; Perdida; Destruída.
![Page 16: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/16.jpg)
Segurança da Informação
"É a proteção da informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos aos
negócios e maximizar o retorno dos investimentos e as oportunidades de negócio".
![Page 17: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/17.jpg)
![Page 18: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/18.jpg)
![Page 19: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/19.jpg)
Obter Segurança da Informação
Implementando Controles para garantir que os objetivos de segurança sejam alcançados."
Políticas Práticas
![Page 20: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/20.jpg)
Aspectos da Informação Confidencialidade: assegurar que a informação é acessível
somente as pessoas autorizadas Integridade: proteger a exatidão e a completude da
informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados
tenham acesso a informação e ativos associados quando necessário.
![Page 21: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/21.jpg)
Ativos
Devem ser aqueles relevantes ao escopo do Sistema de Gestão de Segurança da Informação;
Um ativo é algo a que a organização atribui valor, por exemplo: Informação eletronica, Documentos em papel, Software, hardware, Instalações, Pessoas, imagem e reputação da companhia, Serviços.
![Page 22: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/22.jpg)
Exercícios
Considere-se um consultor na área de SI que deseja implantar o SGSI na sua empresa conforme a norma ISO27001.
Reunam-se em grupo de até 5 colegas e desenvolvam as seguintes tarefas:
![Page 23: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/23.jpg)
Exercícios
1) Identifique, do seu ponto de vista os possíveis ativos da informação dentro do processo principal de sua empresa, considere: informações de entrada, informações de saída, equipamentos, registros, recursos humanos, comunicação, software básico e utilitário e outros, conforme o modelo 1.
![Page 24: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/24.jpg)
Informações de Entrada Informações de Saída Equipamentos
- Contrato comercial- Contrato técnico
- Treinamento, Manuais, slides, Apresentações, apostilas, Metodologia, Padrões de relatório
Modem, Firewall, Router, Hub, 1 servidor, 2 desktop, 2 notebook
Registros Recursos Humanos Comunicações
- Análise crítica de projeto, - verificações de projeto,
alterações de projeto, lições aprendidas
- 5 Pessoas - 1 fax, 5 telefones, link de Internet
Outros Software Básico Software Utilitário
- Instalações físicas - Mac OSX- Windows 2000- Linux
- Anti-vírus- Lan Guard
![Page 25: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/25.jpg)
Exercícios
2) Selecione ao menos 5 destes ativos com base na perda da confidencialidade, disponibilidade e integridade e classifique cdd acordo com o impacto para a empresa: verde (baixo), amarelo (médio) e vermelho (alto).
![Page 26: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/26.jpg)
![Page 27: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/27.jpg)
Vulnerabilidades Vulnerabilidades são fraquezas associadas aos ativos da
organização Consultores: Contratação inadequada, Falta Instalação: Falta de mecanismo de
monitoramento, Proteção física inadequada, Energia elétrica instável
Banco de dados: Falta de backup, Armazenamento inadequado
![Page 28: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/28.jpg)
Ameaças
Funcionários descontentes ou desmotivados;Baixa conscientização nos assuntos de segurança; Inexistência de planos de recuperação a desastres;Desastres naturais, incêndio, inundação, terremoto, terrorismo; Falta de políticas e procedimentos implementados.
![Page 29: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/29.jpg)
Impactos
Perda de clientes e contratos;
Danos a imagem;
Perda de produtividade;
Aumento no custo do trabalho para conter, reparar e recuperar;
Aumento de seguros;
Penalidades e multas.
![Page 30: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/30.jpg)
Exercício
Para os ativos listados no exercício anterior identifique pelo menos para 3 ativos: suas vulnerabilidades, as ameaças que podem atingi-los e a probabilidade desta ocorrer.
Também considere cores para identificar a probabilidade de ocorrer verde (baixa), amarelo (média), vermelho (alta).
![Page 31: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/31.jpg)
Exemplo de Modelo
![Page 32: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/32.jpg)
Riscos de Segurança
Um risco de segurança é o potencial que uma dada ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos
![Page 33: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/33.jpg)
Definições Gerenciamento de riscos :Conjunto de atividades coordenadas para direcionar e
controlar um organização com relação a riscos de SI Análise de riscos :Uso sistemático da informação para identificar as fontes de
riscos e para estimar o risco Avaliação de riscos :Processo de comparar os riscos estimados com
determinados critérios de riscos para determinar a significancia dos riscos Estimativa de riscos :Processo global de análise e avaliação de riscos Tratamento de riscos :Processo de seleção e implementação de medidas para
modificar o risco Aceitação de riscos :Decisão de aceitar um risco
![Page 34: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/34.jpg)
`
![Page 35: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/35.jpg)
Processo Sistema de Gestão da Segurança da InformaçãiProcesso
Processo de Gerenciamento de Risco de Segurança da Informação
Plan - Estabelecer o Contexto- Avaliação de Risco- Desenvolver Plano de Tratamento de Risco- Aceite do Risco
Do Implementação do Plano de Tratamento de Risco
Check Monitoramento Contínuo e Revisão dos Riscos
Act Manter e Melhorar o Processo de Gerenciamento de Risco de segurança da Informação.
Alinhamento SGSI e Gestão de Riscos
![Page 36: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/36.jpg)
Exemplo de Riscos Interrupção da continuidade do negócio Indisponibilidade da informação Perda da integridade dos dados Perda / roubo de informação Perda do controle do serviço Perda de credibilidade / imagem Perda da confidencialidade de dados
![Page 37: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/37.jpg)
Exercício• identifique os riscos de segurança para os ativos dos quais você
identificou as vulnerabilidades, ameaças e probabilidades.
![Page 38: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/38.jpg)
Controles A segurança eficaz normalmente requer:
Detecção Desencorajamento Prevenção Limitação Correção Recuperação Monitoramento Conscientização
![Page 39: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/39.jpg)
ControlesApós a identificação dos riscos é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável e só então deve-se avaliar a necessidade de novos controles.
![Page 40: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/40.jpg)
Exemplo de Controles (ISO 27001 )A.11.5 Controle de Acesso ao sistema operacional
Procedimentos seguros de login; Identificação e autenticação de usuário; Sistema de gerenciamento de senha; Uso de utilitários de sistema; Desconexão de terminal por inatividade; Limitação de horário de conexão;
![Page 41: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/41.jpg)
Avaliação de Riscos e Controles
![Page 42: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/42.jpg)
Avaliação dos Riscos Identificação e valorização dos ativos Identificação das vulnerabilidades Identificação das ameaças Avaliação de impactos que a perda de confidencialidade,
integridade e disponibilidade nos ativos pode causar Análise e avaliação dos riscos Priorização dos riscos
![Page 43: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/43.jpg)
Tratamento do Risco Definição do grau de garantia; Revisão de controles existentes; Identificação de novos controles; Implementação dos novos controles; Aceitação do risco residual.
![Page 44: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/44.jpg)
ExercícioIdentifique controles que poderiam ser utilizados de forma a minimizar ou eliminar cada um dos riscos.
![Page 45: Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br.](https://reader035.fdocument.pub/reader035/viewer/2022062819/570638561a28abb8238fb67a/html5/thumbnails/45.jpg)