Pós-graduação: UniBH: Políticas, práticas e procedimentos em Segurança da Informação
Políticas, práticas e procedimentos em Segurança da Informação
-
Upload
roberto-dias-duarte -
Category
Business
-
view
3.514 -
download
0
Transcript of Políticas, práticas e procedimentos em Segurança da Informação
![Page 1: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/1.jpg)
prof. Roberto Dias Duarte
Melhor prevenir, que remediar!
Esta obra foi licenciada com uma Licença Creative Commons - Atribuição - Uso Não-Comercial - Partilha nos Mesmos Termos 3.0 Não Adaptada.
prof. Roberto Dias Duarte
Photographer: Reuters
Políticas, práticas e
procedimentos em Segurança da Informação
![Page 2: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/2.jpg)
prof. Roberto Dias Duarte
Com licença, sou o Roberto
“Conheço apenas minha ignorância”
![Page 3: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/3.jpg)
1a Parte: Sensibilização
![Page 4: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/4.jpg)
Trabalhos• 07.12 - Diagnóstico de segurança da empresa:
contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” de segurança. (30 pontos)
• 14.12 - Ante-projeto Prática de Segurança: diagnóstico, problema, solução, custo, beneficios, análise de riscos, macro-cronograma. (30 pontos)
• 15.12 - Elaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos)
![Page 5: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/5.jpg)
prof. Roberto Dias Duarte
Visão executiva
![Page 6: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/6.jpg)
1o TrabalhoDiagnóstico de segurança da empresa: contexto empresarial, visão, missão, estratégias, indicadores, normas reguladoras e “lacunas” (Gap’s) de segurança.
Prazo: 7.12.2011
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
![Page 7: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/7.jpg)
TrabalhosTodo o projeto deve ser alinhado à estratégia empresarial e/ou marcos regulatórios de uma empresa, apontando custos e benefícios• 1. Lembrem-se dos indicadores de desempenho da empresa: receita,
rentabilidade, retenção de clientes, etc.• 2. Toda organização está inserida em um ecossistema onde há diversos
marcos regulatórios: SOX, Basiléia, legislação tributária, trabalhista, ANEEL, ANAC, consumidor, SAC, etc.
• 3. Derivem os indicadores de GSI a partir dos indicadores empresariais (ou marcos legais).
• 4. Determinem o planejamento de implantação da política de segurança para um indicador ou marco legal - se fizerem para mais de um, não há problema, mas o esforço de trabalho é proporcional à quantidade de métricas.
• 5. Derivem os processos de segurança e as atividades a partir das políticas.
• Lembrem-se, por fim, que o alinhamento estratégico é fator crítico de sucesso para este trabalho. Ou seja, indicadores de GSI devem ajudar a empresa a melhorar algum indicador de desempenho ou manter a compatibilidade legal regulatória do setor.
![Page 8: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/8.jpg)
1. Contexto empresarial1.2.Visão
É o sonho da organização, é o futuro do negocio e onde a organização espera estar nesse futuro.
•1.1. Missão
–É a razão de existência de uma organização.
•1.3. Estratégia
•“Forma de pensar no futuro, integrada no processo decisório, com base em um procedimento formalizado e articulador de resultados” (Mintzberg).
![Page 9: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/9.jpg)
2. Públicos
Consumidores Clientes
Parceiros
Investidores
![Page 10: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/10.jpg)
3. Indicadores
![Page 11: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/11.jpg)
4. Normas reguladoras1. Em quais ecossistemas a empresa está inserida?
2. Quais os agentes reguladores e normas?
ANATELANACANEELCMVBACEN
SOXBasiléia
IFRSSPEDNF-eRFBSEFAZ
SindicatosConsumidorClientesFranqueadoresParceirosContratos
![Page 12: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/12.jpg)
5. Lacunas de segurança da informação
1.Liste 7 lacunas de segurança da empresa
2. Relacione as lacunas com os indicadores ou normas
3. Estabeleça as 3 de maior relevância, explicando os motivos
![Page 13: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/13.jpg)
2a Parte: Conceitos Básicos
![Page 14: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/14.jpg)
prof. Roberto Dias Duarte
Situação das empresas
![Page 15: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/15.jpg)
prof. Roberto Dias Duarte
Quer tentar?
![Page 16: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/16.jpg)
prof. Roberto Dias Duarte
Fraude?
![Page 17: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/17.jpg)
prof. Roberto Dias Duarte
O que é fraude?
É um esquema ilícito ou de má fé criado para obter ganhos pessoais.
![Page 18: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/18.jpg)
prof. Roberto Dias Duarte
Fatores primários1 - Existência de golpistas motivados.
• Ineficiência das leis;
• incerteza da pena;
• incerteza jurídica;
• existência de oportunidades;
• pouca fiscalização.
![Page 19: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/19.jpg)
prof. Roberto Dias Duarte
Mas principalmente porque...
o desrespeito às leis é considerado comportamento “normal”.
![Page 20: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/20.jpg)
prof. Roberto Dias Duarte
Quem é a vítima?
![Page 21: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/21.jpg)
prof. Roberto Dias Duarte
• Pouca informação e divulgação preventivas;
• ignorância e ingenuidade;
• ganância;
• o desrespeito às leis é considerado comportamento “normal”.
Fatores primários2 - Existência de vítimas vulneráveis
![Page 22: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/22.jpg)
prof. Roberto Dias Duarte
• percepção do problema como não prioritário;
• despreparo das autoridades;
• escassa coordenação de ações contra fraudadores;
• falta de leis específicas e pouca clareza em algumas das existentes.
Fatores primários3 - Falta de controle ou fiscalização
![Page 23: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/23.jpg)
prof. Roberto Dias Duarte
Quem fiscaliza?
![Page 24: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/24.jpg)
prof. Roberto Dias Duarte
Vítima ou golpista?
![Page 25: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/25.jpg)
prof. Roberto Dias Duarte
Segurança da Informação?
![Page 26: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/26.jpg)
prof. Roberto Dias Duarte
Causa potencial de um incidente, que caso se concretize pode resultar em dano
Ameaça?
![Page 27: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/27.jpg)
prof. Roberto Dias Duarte
Falha (ou conjunto) que pode ser explorada por ameaças
Vulnerabilidade?
![Page 28: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/28.jpg)
prof. Roberto Dias Duarte
Evento que comprometa a operação do negócio ou cause dano aos ativos da organização
Incidente?
![Page 29: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/29.jpg)
prof. Roberto Dias Duarte
Resultados de incidentes
Impacto?
![Page 30: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/30.jpg)
prof. Roberto Dias Duarte
Análise de risco
Impacto
Transfere
Probabilidades
Aceita Reduz
Mitiga
![Page 31: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/31.jpg)
prof. Roberto Dias Duarte
Análise de risco
![Page 32: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/32.jpg)
prof. Roberto Dias Duarte
Ativo digital?
![Page 33: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/33.jpg)
prof. Roberto Dias Duarte
Ativo? Intangível?
“Um ativo intangível é um ativo não monetário identificável sem substância física ou, então, o ágio pago por expectativa de rentabilidade futura (goodwill)”
Fonte: http://www.cpc.org.br
![Page 34: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/34.jpg)
prof. Roberto Dias Duarte
É um método de autenticação de informação digital
Assinatura Digital
Não é Assinatura Digitalizada!
Não é Assinatura Eletrônica!
![Page 35: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/35.jpg)
prof. Roberto Dias Duarte
Como funciona?HASH é gerado a partir da chave pública
HASH é armazenado na mensagem
Autor assina a com sua chave privada
Novo HASH é gerado
O HASH é descriptografado partir da chave pública
Novo HASH é comparado com o original
![Page 36: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/36.jpg)
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001“As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela
I C P - B r a s i l p r e s u m e m - s e verdadeiros em relação aos signatários”
(Artigo 10o § 1o)
Documentos Digitais
![Page 37: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/37.jpg)
prof. Roberto Dias Duarte
MP 2.200-2 de Agosto/2001
“O disposto nesta Medida Provisória não obsta a utilização de outro meio de comprovação da autoria e integridade de documentos em forma eletrônica, inclusive os que utilizem certificados não emitidos pela ICP-Brasil, desde que admitido pelas partes como válido ou aceito pela pessoa a quem for oposto o documento.”
(Artigo 10o § 2o)
Documentos Digitais
![Page 38: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/38.jpg)
prof. Roberto Dias Duarte
IntegridadeAutenticidadeNão repudioDisponibilidadeConfidencialidadeAuditabilidade
Caso real
![Page 39: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/39.jpg)
prof. Roberto Dias Duarte
Certifica a autenticidade temporal (data e hora) de arquivos eletrônicos
Sincronizado a “Hora Legal Brasileira”
Carimbo do tempo
![Page 40: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/40.jpg)
prof. Roberto Dias Duarte
Qualquer alteração da mensagem faz com que a assinatura não corresponda mais ao documento
Integridade
![Page 41: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/41.jpg)
prof. Roberto Dias Duarte
Autenticidade
O receptor pode confirmar se a assinatura foi feita pelo emissor
![Page 42: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/42.jpg)
prof. Roberto Dias Duarte
O emissor não pode negar a autenticidade da mensagem
Não repúdio
![Page 43: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/43.jpg)
prof. Roberto Dias Duarte
Confidencialidade
Passo 1: Alice envia sua chave pública para Bob
Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada
![Page 44: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/44.jpg)
prof. Roberto Dias Duarte
Disponibilidade
A informação deve estar disponível apenas para seu uso legítimo
![Page 45: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/45.jpg)
prof. Roberto Dias Duarte
Auditabilidade
Deve haver informação relativa às ações de alteração ou consulta de dados Quem?
Quando?O que fez?
![Page 46: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/46.jpg)
prof. Roberto Dias Duarte
Por que preciso saber disso?
![Page 47: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/47.jpg)
prof. Roberto Dias Duarte
Ecosistema Fiscal
Vendeu?
Comprou?
Produziu?
Entregou?
Cliente
Fornecedor
Recebeu?
Pagou?
Contador
Fisco
Tem nota?
EFD ICMS/IPIEFD/CIAP
EFD PIS/COFINSEFD/FOLHA
Estoque?
SPED ContábilEFD Contábil
NF-eNFS-eCF-eCC-e
CT-eBrasil-id
Siniav
NF-eNFS-eCF-eCC-e
NF-eNFS-eCF-eCC-e
![Page 48: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/48.jpg)
prof. Roberto Dias Duarte
Vamos entender as principais
vulnerabilidades das empresas no mundo do
pós-SPED?
![Page 49: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/49.jpg)
prof. Roberto Dias Duarte
“Podemos conceituar a Nota Fiscal Eletrônica como sendo um documento de existência apenas digital, emitido e armazenado eletronicamente, (...)
Sua validade jurídica é garantida pela assinatura digital do remetente (garantia de autoria e de integridade) e pela recepção, pelo Fisco, do documento eletrônico, antes da ocorrência do fato gerador.”
O que é a Nota Eletrônica?
![Page 50: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/50.jpg)
prof. Roberto Dias Duarte
Documento Fiscal Digital
![Page 51: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/51.jpg)
prof. Roberto Dias Duarte
Livro Contábil Digital
![Page 52: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/52.jpg)
prof. Roberto Dias Duarte
Livro Fiscal Digital (ICMS/IPI)
![Page 53: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/53.jpg)
prof. Roberto Dias Duarte
Mas, nada muda na minha empresa, certo?
![Page 54: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/54.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #1
Tenho que verificar o arquivo XML
Ajuste SINIEF 07/2005
Cláusula décima
§ 1º O destinatário deverá ver ificar a v a l i d a d e e autenticidade da NF-e e a exi s tência de Autorização de Uso da NF-e.
![Page 55: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/55.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #2
Nota autorizada não me livra do "passivo fiscal"
![Page 56: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/56.jpg)
prof. Roberto Dias Duarte
Ainda que formalmente regular, n ã o s e r á c o n s i d e r a d o documento fiscal idôneo a NF-e que t iver sido emit ida ou utilizada com dolo, fraude, s i m u l a ç ã o o u e r r o , q u e possibilite, mesmo que a terceiro, o não-pagamento do imposto ou q u al q u e r o u t r a vant ag em indevida.
Vulnerabilidade #2
Ajuste SINIEF 07/2005
Cláusula quarta
![Page 57: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/57.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #3
Só posso cancelar NF-e se a mercadoria não circulou....
![Page 58: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/58.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #3ATO COTEPE/ICMS Nº 33 /2008
Efeitos a partir de 01.01.12:
Art. 1º Poderá o emitente solicitar o cancelamento da NF-e, em prazo não superior a 24 horas, contado do momento em que foi concedida a respectiva Autorização de Uso da NF-e, desde que não tenha ocorrido a circulação da mercadoria ou a prestação de serviço e observadas às demais normas constantes do AJUSTE SINIEF 07/05, de 5 de outubro de 2005.
![Page 59: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/59.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #4
Tenho que enviar o arquivo XML ao destinatário e ao transportador
![Page 60: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/60.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #4Cláusula Sétima
§ 7º O emitente da NF-e deverá, obrigatoriamente, encaminhar ou disponibilizar download do arquivo da NF-e e seu respectivo Protocolo de Autorização de Uso ao destinatário e a o t r a n s p o r t ado r co nt r at ado, imediatamente após o recebimento da autorização de uso da NF-e.
Ajuste SINIEF 07/2005
![Page 61: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/61.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #5
Tenho que guardar o arquivo XML
![Page 62: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/62.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #5
Ajuste SINIEF 07/2005
Cláusula décimaO emitente e o destinatário deverão manter a NF-e em arquivo digital, sob sua guarda e responsabilidade, pelo prazo estabelecido na legislação tributária, mesmo que fora da empresa, devendo ser disponibilizado para a Administração Tributária quando solicitado. (...)
§ 2º Caso o destinatário não seja contribuinte credenciado para a emissão de NF-e, alternativamente ao disposto no “caput”, o destinatário deverá manter em arquivo o DANFE relativo a NF-e da operação, devendo ser apresentado à administração tributária, quando solicitado.
§ 3º O emitente de NF-e deverá guardar pelo prazo estabelecido na legislação tributária o DANFE que acompanhou o retorno de mercadoria não recebida pelo destinatário e que contenha o motivo da recusa em seu verso.
![Page 63: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/63.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #6Troca de identidade
![Page 64: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/64.jpg)
prof. Roberto Dias Duarte
Vulnerabilidade #6“Empréstimo”de senha e a r m a z e n a m e n t o d e certificados digitais
eCPF, eCNPJ, ePJ
A1, A3, HSM
![Page 65: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/65.jpg)
prof. Roberto Dias Duarte
O que causa vulnerabilidade?
![Page 66: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/66.jpg)
prof. Roberto Dias Duarte
Causas das vulnerabilidades
Falta de conhecimento Ganância: preços abaixo do
mercado Desrespeito as leis encarado
como comportamento comum
Tecnologia precária
![Page 67: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/67.jpg)
prof. Roberto Dias Duarte
Consequências
![Page 68: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/68.jpg)
prof. Roberto Dias Duarte
Consequências
Mercadorias sem documento idôneo
Mercadorias de origem ilícita Problemas fiscais: documentos
inidôneos Sigilo fiscal e comercial violados Assinatura de contratos e
outros documentos
![Page 69: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/69.jpg)
prof. Roberto Dias Duarte
Tenho como evitar?
![Page 70: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/70.jpg)
prof. Roberto Dias Duarte
Solução: Paradigma do século XXI
Conhecimento
Comportamento
Tecnologia
![Page 71: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/71.jpg)
prof. Roberto Dias Duarte
Ação preventivas básicas
![Page 72: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/72.jpg)
prof. Roberto Dias Duarte
O dono da bola Quem é o responsável pela gestão da informação?
Definições:
políticas de segurança
políticas de backup
políticas de contingência
![Page 73: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/73.jpg)
prof. Roberto Dias Duarte
Termo de compromisso
Formaliza responsabilidades:
Sigilo de informações;
Cumprimento de normas de segurança;
Conduta ética.
![Page 74: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/74.jpg)
prof. Roberto Dias Duarte
Autenticação individual
Identifica as pessoas:
Senha;
Cartão ou token;
Biometria;
Certificado Digital.
![Page 75: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/75.jpg)
prof. Roberto Dias Duarte
“Empréstimo” de senha
![Page 76: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/76.jpg)
prof. Roberto Dias Duarte
Cópias de segurançaQual a política definida?
Qual a cópia mais antiga?
Os arquivos das estações têm cópias?
Os servidores têm cópias?
Onde são armazenadas?
Em que tipo de mídia?
![Page 77: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/77.jpg)
prof. Roberto Dias Duarte
Software homologadoItens de verificação:
manutenção
treinamento
suporte
condições comerciais
capacidade do fabricante
tendências
![Page 78: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/78.jpg)
prof. Roberto Dias Duarte
Uso de antivírusPrevenção além do software:
Anexos
Executável? No way!
Download? Só de sites confiáveis
Backup, sempre
Educação
![Page 79: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/79.jpg)
prof. Roberto Dias Duarte
O CaronaPrevenção contra
“sessões abertas” em sua ausência:
Conduta: Suspensão ou encerramento da sessão;
Mecanismo: Suspensão ou encerramento da sessão.
![Page 80: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/80.jpg)
prof. Roberto Dias Duarte
Correio eletrônico Pishing
Muitos golpes:
Notícias falsas
Propostas “irresistíveis”
Seu CPF foi...
Atualize sua senha...
blá, blá, blá...
![Page 81: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/81.jpg)
prof. Roberto Dias Duarte
Informações pessoais Cuidado com informação de:
Funcionários
Clientes
Parceiros
Quem pode acessar?
Parceiros?
Uso comercial?
![Page 82: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/82.jpg)
prof. Roberto Dias Duarte
Ambiente FísicoAhhh, reuniões rápidas:
no elevador
na festa
no avião
Quadros, flip chart, relatórios, etc
Lixão, de novo?
Quem entra, quem sai?
![Page 83: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/83.jpg)
prof. Roberto Dias Duarte
Engenharia socialProcedimentos para obtenção de informações
através de contatos falsos
“Conversa de malandro”
Lixão
Habilidades do farsante:
fala com conhecimento
adquire confiança
presta “favor”
![Page 84: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/84.jpg)
prof. Roberto Dias Duarte
Uso da Internet & Redes Sociais
Qual a sua opinião?
![Page 85: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/85.jpg)
prof. Roberto Dias Duarte
Uso da Internet & Redes Sociais
![Page 86: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/86.jpg)
prof. Roberto Dias Duarte
Uso da Internet & Redes Sociais
![Page 87: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/87.jpg)
prof. Roberto Dias Duarte
Ações preventivas
Conhecimento
Análise
Planejamento
Investimento
Educação.
Física
Software
Humana
![Page 88: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/88.jpg)
prof. Roberto Dias Duarte
Ações detectivas
Quanto antes, melhor
Monitoramento de eventos
O que monitorar?
Conhecimento
Análise
Planejamento
Investimento
![Page 89: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/89.jpg)
prof. Roberto Dias Duarte
Ações corretivas
Minimizar o problema
Quanto mais rápido, melhor
![Page 90: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/90.jpg)
prof. Roberto Dias Duarte
Plano de continuidade
Conhecimento
Análise
Planejamento
Investimento
Educação
Simulação
Contexto empresarial
Mapeamento de riscos
![Page 91: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/91.jpg)
prof. Roberto Dias Duarte
Direitos do usuário
Acesso individual
Informações para trabalhar
Saber o que é rastreado
Conhecer as políticas e normas
Ser avisado sobre tentativas de invasão
Treinamento sobre segurança
Comunicar ocorrências de segurança
Garantia de privacidade
Ser mais importante que a tecnologia
![Page 92: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/92.jpg)
prof. Roberto Dias Duarte
Mensagem sobre o segurança
![Page 93: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/93.jpg)
2o TrabalhoAnte-projeto Prática de Segurança: diagnóstico, análise de riscos, problema, solução, custo, beneficios, macro-cronograma.
Prazo: 14.5.2011 às 07:40
Pode ser em grupo
Escolha uma empresa para o estudo de caso real
![Page 94: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/94.jpg)
2o Trabalho1. Ajustar o diagnóstico reavaliando as lacunas2. Análise de risco considerando as 7 lacunas relacionadas3. Definir estratégia para cada lacuna: mitigar, transferir, reduzir,aceitar4. Identificar problema, solução, custo, beneficios, macro-cronograma para 3 lacunas.
![Page 95: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/95.jpg)
Apresentação do 2o trabalho
Data: 14/12/2011
Prazo para ajustes: de 19:00 às 19:30
Apresentações: de 19:30 às 20:30
![Page 96: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/96.jpg)
3a Parte:Visão de Gestão
![Page 97: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/97.jpg)
![Page 98: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/98.jpg)
Qual é a estrutura da sua organização?
![Page 99: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/99.jpg)
Governaça“É o conjunto de processos, costumes, políticas, leis, regulamentos e instituições que regulam a maneira como uma empresa é dirigida, administrada ou controlada” (fonte: Wikipedia)
![Page 100: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/100.jpg)
Governaça•Visão–É o sonho da organização, é o
futuro do negocio e onde a organização espera estar nesse futuro.
•Missão–É a razão de existência de
uma organização.
![Page 101: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/101.jpg)
Governaça
•Transparência–Mais do que "a
obrigação de informar", a administração deve cultivar o "desejo de informar"
![Page 102: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/102.jpg)
Governaça•Equidade–Tratamento justo e
igualitário de todos os grupos minoritários (stakeholdres).
![Page 103: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/103.jpg)
Stakeholders & Shareholders
•Equilíbrio:– Regulamentações– Forças corporativas
Qual a relação entre equilíbrio e segurança?
![Page 104: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/104.jpg)
Balanceando pressões
![Page 105: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/105.jpg)
Balanceando pressões
![Page 106: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/106.jpg)
Balanceando pressões• Compliance: “conjunto
de disciplinas para fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer” (Fonte: Wikipedia)
![Page 107: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/107.jpg)
Balanceando pressões
•Risco x Conformidade:
–100% de conformidade garante 100% de segurança?
![Page 108: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/108.jpg)
Desafios da Governança
Gerenciar riscos x investimentos adequados
Manter organização segura
Seguir padrões Atender às exigências
regulatórias
Quais&são&os&principais&
desafios&de&sua&organização?
![Page 109: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/109.jpg)
Desafios da Governança
Gerenciar riscos x investimentos adequados
Manter organização segura
Seguir padrões Atender às exigências
regulatórias
Quais&são&os&principais&
desafios&de&sua&organização?
![Page 110: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/110.jpg)
Sucesso na GSI
Qual&a&realidade&de&
sua&organização?
Comunicação: direção, gerências e operação
Planejamento alinhado à estratégia
Políticas aderentes aos requisitos legais
Nível de maturidade coerente com contexto de riscos
Estruturar controles de segurança (frameworks)
Monitorar a eficácia e eficiência
![Page 111: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/111.jpg)
Melhores Práticas
Qual&as&prá6cas&de&sua&organização?
•Personalizar as práticas ao negócio
–“O grande diferencial não está em utilizar apenas um guia, ma sim em combinar o que cada um possui de melhor”
![Page 112: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/112.jpg)
Melhores PráticasCuidado com:
OrçamentoPessoas
![Page 113: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/113.jpg)
Fundamentos de ITIL
![Page 114: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/114.jpg)
Cobit: parte 1
![Page 115: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/115.jpg)
Cobit: parte 2
![Page 116: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/116.jpg)
Cobit: parte 3
![Page 117: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/117.jpg)
Cobit: parte 4
![Page 118: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/118.jpg)
Cobit
![Page 119: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/119.jpg)
Cobit: Alinhamento
![Page 120: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/120.jpg)
Cobit: metas e medidas
![Page 121: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/121.jpg)
Cobit: framework
![Page 122: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/122.jpg)
Cobit: framework
![Page 123: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/123.jpg)
3o Trabalho - parte I
![Page 124: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/124.jpg)
3o Trabalho - parte IElaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 28.05
1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio.2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma
![Page 125: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/125.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 17799
• “A ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico (BS) 7799-1:1999.” (Fonte: Wikipedia)
![Page 126: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/126.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 27000
• ISO 27000 - Vocabulário de Gestão da Segurança da Informação;• ISO 27001 - Esta norma foi publicada em Outubro de 2005 e
substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
• ISO 27002 - Substitui ISO 17799:2005 (Código de Boas Práticas);• ISO 27003 - Aborda a gestão de risco;• ISO 27004 - Mecanismos de mediação e de relatório de um
sistema de gestão de segurança da informação;• ISO 27005 - Esta norma será constituída por indicações para
implementação, monitoramento e melhoria contínua do sistema de controles;
• ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio.
![Page 127: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/127.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 27001
![Page 128: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/128.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)ISO/IEC 17799/27002
• Framework –Políticas de segurança–Segurança organizacional–Segurança das pessoas–Segurança física e do ambiente–Gerenciamento das operações–Controle de acesso–Desenvolvimento e manutenção de sistemas–Gestão da continuidade do negócio–Conformidade
![Page 129: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/129.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Metodologia Octave
• Origem: Software Engineering Institute (SEI) da Carnigie Mellon University
• Antes de avaliar o risco: entender o negócio, cenário e contexto
• Octave Method (grandes organizações) e Octave-S (pequenas)
![Page 130: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/130.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Use Octave-S, se:
• Hierarquia simples• Menos de 300 funcionários• Metodologia estruturada com pouca
customização• Há muita terceirização na TI• Infraestrutura simples
![Page 131: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/131.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos–Processo 1: Conhecimento da alta gerência:
Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–Processo 2: Conhecimento da gerência operacional: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–
![Page 132: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/132.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 1a Fase: Obtendo informações e definindo os perfis de ameaças aos ativos–Processo 3: Conhecimento de cada
departamento: Equipe coleta informações sobre recursos importantes, exigências de segurança, ameaças e vulnerabilidades
–Processo 4: Criar perfis de ameaças para 3 a 5 ativos críticos
![Page 133: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/133.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 2a Fase: Identificar vulnerabilidades da infraestrutura–Processo 5: Identificar e definir padrão de
avaliação dos componentes-chave dos recursos–Processo 6: Avaliar componentes-chave dos
recursos
![Page 134: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/134.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave Method
• 3a Fase: Desenvolver estratégias e planos de segurança–Processo 7: Definir critérios de avaliação de
impactos (alto, médio, baixo)–Processo 8: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
![Page 135: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/135.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 1a Fase: Identifica ativos com base nos perfis de ameaça–Processo S1: Identificar ativos, definir critérios de
avaliação dos impactos e situação atual das práticas de segurança
–Processo S2: Criar perfis de ameaças e definir exigências de segurança
![Page 136: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/136.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 2a Fase: Identificar vulnerabilidades da infraestrutura–Processo S3: Analisar o fluxo de acesso aos
sisteas que suportam os ativos e determinar o quanto os processos tecnológicos os protegem
![Page 137: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/137.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 3a Fase: Desenvolver estratégias e planos de segurança–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
![Page 138: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/138.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave-S
• 3a Fase: Desenvolver estratégias e planos de segurança–Processo S4: Identificar e analisar os riscos,
impactos e probabilidades de cada ativo crítico–Processo S5: Desenvolver estratégias de proteção
para melhorar as práticas de segurança
![Page 139: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/139.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Octave: Atividades para Gestão de Riscos• Identificação dos riscos• Análise e classificação quanto à criticidade• Criação de plano estratégico para proteção• Criação de plano para tratamento de riscos • Planejamento da implantação • Implantação• Monitoramento da execução dos planos• Controle das variações
![Page 140: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/140.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão ampla
DESEMPENHO: Metas de Negócio
CONFORMIDADE Basel II, Sarbanes-
Oxley Act, etc.
Governança Corporativa
Governança de TI
ISO 9001:2000
ISO 17799
ISO 20000
Melhores práticas
Procedimentos de QA
Processos e procedimentos
Direcionadores
COBIT
COSO
Princípios de Segurança ITIL
BSC
Where Does COBIT Fit?
![Page 141: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/141.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Então?
• ITIL• Cobit• ISO• Octave• BSC
O&que&devo&adotar&em&minha&
empresa?
![Page 142: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/142.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Paradigmas
• “A equipe de TI deve gerenciar e conduzir suas ações para influenciar as
partes interessadas e garantir o sucesso do
projeto, sempre focada no negócio”
![Page 143: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/143.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Partes interessadas
Quais&são&os&principais&
stakeholders&de&sua&
organização?
![Page 144: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/144.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Riscos
• Desafio: conhecer os riscos
• Riscos determinam os processos de segurança da metodologia/framework
Por que adotar o gerenciamento de
riscos de segurança da informação em sua organização?
![Page 145: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/145.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Tipos de Riscos
• Estratégico e empresarial (negócios)• Humano• Tecnológico• Imagem• Legal
Quais&são&os&principais&
riscos&de&sua&organização?
![Page 146: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/146.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão executiva
![Page 147: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/147.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão executiva
• Comunicação• Foco no negócio• Alinhamento estratégico• Custo x diferencial competitivo• Recursos de TI como portfólio de
investimentos
Na&sua&empresa,&TI&é&custo&ou&
diferencial?
![Page 148: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/148.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Contexto da organização• Organograma: formal x real• Sensibilização e conscientização• Linguagem• Benchmark
Você&fala&&“javanês”&com&os&
execu6vos?
![Page 149: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/149.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Conceito de processo:–sequências semi-repetitivas de eventos que,
geralmente, estão distribuídas de forma ampla pelo tempo e espaço
![Page 150: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/150.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
![Page 151: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/151.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Mapeando processos:–Enumerar atividades–Ordernar em forma sequencial–Identificar entradas e saídas
• recursos• infraestrutura• insumos• matéria-prima• fornecedores
–Estabelecer características de produtos/serviços
![Page 152: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/152.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Mapeando processos:–Definir documentação para operação e controle–Estabelecer indicadores de eficácia–Definir plano de controle
![Page 153: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/153.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governando Processos
• Nível de maturidade:–Obter conhecimento sobre os procedimentos–Otimizar processos (melhores práticas)–Comparar (benchmark)–Adotar políticas –Utilizar a TI como facilitador–Definir processos de riscos–Integrar riscos–Monitorar falhas e melhorias–Realinhar processos
![Page 154: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/154.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Cobit: níveis de maturidade
• Nível 0: inexistente
![Page 155: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/155.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 1: Inicial–Consciência mínima da necessidade de
Governança–Estruturas desorganizadas, sem padrões–Suporte e TI não integrados–Ferramentas e serviços não integrados–Serviços reativos a incidentes
Cobit: níveis de maturidade
![Page 156: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/156.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 2: Repetitivo–Consciência relativa da necessidade de
Governança–Atividades de governança e medidores em
desenvolvimento–Estruturas pouco organizadas, sem padrões–Serviços realizados sem metodologia–Repetição de incidentes–Sem controle de mudanças
Cobit: níveis de maturidade
![Page 157: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/157.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 3: Definido–Alta consciência sobre Governança –Processos padronizados, implementados e
documentodos–Controle de mudanças–Métricas e indicadores consistentes–Inexistência de SLA
Cobit: níveis de maturidade
![Page 158: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/158.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 4: Gerenciado–Consciência da importância de Governança –SLA’s e catálogos de serviços–Inexistência de gestão financeira–TI ainda não é vista como benefício para o
negócio–Início do processo de melhoria contínua
Cobit: níveis de maturidade
![Page 159: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/159.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)
• Nível 5: Otimizado–Consciência total–Gestão financeira de TI –Melhores práticas adotadas e gerenciadas–Melhoria contínua de processos–Otimização contínua de TI
Cobit: níveis de maturidade
![Page 160: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/160.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Linha do tempo
Maturidade)
2)a)5)anos)Tempo)
Ad3Hoc,)“Só)faço))Quando)preciso”))3)Rea?vo)
Felicidade)Fase)“Não)sei))de)nada”)
Fase)Rea?vo,)Implementação)Fragmentada)
Fase)da))Consolidação)
Fase)da))Excelência)Operacional)
Acelerar)projetos)Para)reagir)as)solicitações)
Criar)Inventários))Para)inicia?vas)de)
Governança)Inicia)um)abordagem)
Unificado)de))Governança)
Melhoria)con?nua))do)processo)
![Page 161: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/161.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Por que evoluir processos?• Evita desperdícios de esforços e recursos• Visão de processos e responsabilidades• Investimentos claros e alinhados ao negócio• Planejamento de longo prazo
![Page 162: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/162.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Processos de TI–Modelo de maturidade–Fatores críticos de sucesso–Indicadores de metas–Indicadores de desempenho
![Page 163: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/163.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Fatores críticos de sucesso (CFS)–importância estratégica–expressos em termos de processos–mensuráveis
![Page 164: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/164.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Indicadores de metas (KGI)–verificam se os processos alcançaram as metas–“O que atingir?”–indicadores imediatos de sucesso–mensuráveis
![Page 165: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/165.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Métricas para GSI
• Indicadores de desempenho (KPI)–orientados a processos–definem o desempenho dos processos–mensuráveis
![Page 166: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/166.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Integrando Medidores
• Security Scorecard–CFS definidos para um processo–São monitorados por KPI’s–Devem atingir os KGI’s
![Page 167: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/167.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Integrando Medidores
• Implantando–1a etapa: Definir indicadores–2a etapa: Sensibilizar pessoas e planejar
mensuração–3a etapa: Treinar pessoas, coletar e validar dados–4a etapa: Corrigir e previnir
![Page 168: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/168.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Governança de SI
• Visão e missão estratégicas:–Governança Corporativa:
• Governança de TI• Governança de SI
![Page 169: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/169.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)4a parte: Implantando políticas de SI
![Page 170: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/170.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Políticas de SI
• Informações são ativos• Envolvimento da alta gestão• Responsabilidade formal dos colaboradores• Estabelecimento de padrões
![Page 171: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/171.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Políticas de SI: Características• Simples• Compreensíveis• Homologadas e assinadas pela alta gestão• Estruturada para implantação em fases• Alinhadas com o negócio• Orientadas aos riscos• Flexíveis• Protetoras de ativos (Pareto)• Positivas (não apenas proibitivas)
![Page 172: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/172.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Visão geral da metodologia
![Page 173: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/173.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase I - Levantamento de informações
–Obtenção dos padrões e normas atuais–Entendimento do uso da TI nos processos–Obtenção de informações sobre o negócio–Obtenção de informações sobre ambiente de TI
![Page 174: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/174.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase II - Desenvolvimento do Conteúdo e
Normas– Gerenciamento da politica de segurança–Atribuição de regras e responsabilidades–Critérios para classificação de informações–Procedimentos de SI
![Page 175: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/175.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Gerenciamento da politica de segurança
–Definição da SI–Objetivos–CFS–Gerenciamento da versão–Referências a outras políticas
![Page 176: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/176.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Atribuição de regras e responsabilidades:
–Comitê de SI–Proprietário das informações–Área de SI–Usuários de informações–RH–Auditoria
![Page 177: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/177.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Critérios de classificação das informações:
–Introdução–Classificação–Níveis de classificação–Reclassificação–Armazenamento e descarte–Armazenamento e saídas
![Page 178: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/178.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:
–Classificação e tratamento da informação–Notificação e gerenciamento de incidentes–Processo disciplinar–Aquisição e uso de hardware e software–Proteção contra software malicioso–Segurança e tratamento de mídias–Uso de internet–Uso de e-mail–Uso de recursos de TI
![Page 179: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/179.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:
–Backup–Manutenção e teste de equipamentos–Coleta e registro de falhas–Gerenciamento e controle de rede–Monitoramento do uso e acesso aos sistemas–Uso de controles de criptografia–Controle de mudanças–Inventário de ativos de informação–Controle de acesso físico
![Page 180: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/180.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Fase II: Desenvolvimentode políticas e normas:• Procedimentos de SI:
–Segurança física–Supervisão de visitantes e prestadores de
serviços
![Page 181: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/181.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase III - Elaboração de Procedimentos de
SI–Pesquisa sobre melhores práticas–Desenvolvimento de procedimentos e padrões–Formalização dos procedimentos
![Page 182: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/182.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento• Fase IV - Revisão, aprovação e implantação
–Revisão e aprovação–Implantação
• Preparação de material de divulgação• Divulgação das responsabilidades• Palestras executivas• Palestras e treinamentos operacionais
![Page 183: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/183.jpg)
Pós
-Gra
duaç
ão e
m G
estã
o da
Seg
uran
ça d
e T.
I. (G
STI
)Etapas para o desenvolvimento
![Page 184: Políticas, práticas e procedimentos em Segurança da Informação](https://reader036.fdocument.pub/reader036/viewer/2022062319/55736f25d8b42a40208b51e9/html5/thumbnails/184.jpg)
3o Trabalho - parte IIElaborar um plano de implantação de política de segurança e o manual se segurança da informação. (30 pontos). Entrega final em: 15.12
1. Reavaliar o Diagnóstico & lacunas, considerando as metas de negócio.2. Através da análise de risco, estabelecer as metas de TI (relativas à segurança).3. Definir estratégia para cada lacuna, estabelecendo metas de processos e metas de atividades.4. Definir resumo do projeto, contendo: problema, solução, custo, beneficios, macro-cronograma5. Elaborar um plano de implantação de política de segurança e o manual se segurança da informação.