1. 2 tecnologias de informação e risco o que esperamos das tecnologias de informação? como...
TRANSCRIPT
1
2
• Tecnologias de Informação e Risco◦ O que esperamos das tecnologias de informação?
◦ Como atingir os objectivos das tecnologias de informação?
• Segurança de Tecnologias de Informação◦ O que é a segurança da informação
◦ ITSecurity Best Practices (BS7799)
• Fontes de Informação
Agenda
3
O que esperamos das TI ?
4
Como alcançamos os objectivos das TI ?
5
O que é a Segurança das TI ?
• Meios utilizados para atingir um nível de risco residual aceitável para a organização.
• O “valor” que a informação tem para a organização tem de ser protegido. Este valor é determinado em termos da confidencialidade, integridade e disponibilidade da informação.
Confidencialidade: protecção de informação priveligiada contra a sua revelação ou intercepção não autorizada.
Integridade: protecção da exactidão da informação e do software contra a sua alteração não autorizada.
Disponibilidade: garantia de que a informação e os serviços disponibilizados pela infraestrutura de TI estão disponiveis quando solicitados.
6
ITSec Best Practices (BS7799)
• A norma BS7799 juntou várias práticas de segurança numa metodologia única que se estende desde os principios mais abrangentes da segurança até a linhas especificas para a implementação de um sistema de gestão de segurança da informação(SGSI).
• A norma BS7799 Part I (ISO/IEC 17799:2000) serve como documento de referência para a implementação de um SGSI e é composta por 10 secções com um total de 127 controlos de segurança.
BS7799 Part I (Code of Practice) ~ controlos de segurança
• A norma BS7799 Part II especifica os requisitos para estabelecer, implementar e documentar um SGSI.
BS7799 Part II (Management Standard) ~ processos de segurança
7
1- Política de Segurança
Proporcionar uma gestão directiva e de suporte à segurança da informação.
2- Organização da segurança
Gerir a segurança da informação na organização
Manter a segurança dos activos e mecanismos de processamento da informação organizacional acedidos por terceiros;
Manter a segurança da informação quando a responsabilidade pelo processamento da mesma for sub-contratado a outras organizações.
BS7799 Part I (Code of Practice)
8
3- Classificação e controlo dos activos
Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado.
4- Segurança do pessoal
Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações;
Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do seu trabalho;
Minimizar os danos provocados pelo mau funcionamento ou ocorrência de incidentes relacionados com segurança e aprender com os mesmos.
BS7799 Part I (Code of Practice)
9
5- Segurança fisíca e ambiental
Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações fisícas do negócio;
Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio;
Prevenir o comprometimento ou roubo da informação e dos mecanismos de processamento da mesma.
6 – Gestão de computadores e redes
Garantir a utilização correcta e segura dos mecanismos de processamento da informação;
Minimizar o risco de falhas nos sistemas;
BS7799 Part I (Code of Practice)
10
6 – Gestão de computadores e redes (cont.)
Proteger a integridade das aplicações e da informação;
Manter a integridade do processamento e comunicação da informação;
Garantir a salvaguarda da informação em redes e a protecção da infra-estrutura de suporte;
Prevenir danos provocados aos activos e interrupções nas actividades do negócio;
Prevenir a perda, modificação ou má utilização da informação trocada entre organizações.
BS7799 Part I (Code of Practice)
11
7- Controlo de Acesso ao sistema
Controlar o acesso á informação;
Impedir o acesso não autorizado aos sistemas de informação;
Assegurar a protecção dos serviços ligados em rede;
Impedir o acesso não autorizado a sistemas;
Detectar actividades não autorizadas;
Garantir a segurança da informação aquando da utilização de computadores protáteis ou mecanismos de acesso remoto à rede.
BS7799 Part I (Code of Practice)
12
8- Desenvolvimento e Manutenção dos sistemas
Garantir a inclusão de mecanismos de segurança nos sistemas operacionais;
Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas;
Proteger a confidencialidade, auntenticidade e integridade da informação;
Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura;
Manter a segurança dos dados e aplicações dos sistemas.
BS7799 Part I (Code of Practice)
13
9- Planeamento da continuidade do negócio
Reagir no caso de se verificarem interrupções nas actividades ou processos criticos do negócio, provocados por falhas graves ou desastres.
10 – Adequação
Evitar que sejam quebradas disposições impostas por quaisquer leis civis ou criminais, obrigações estatutárias, regulatórias ou requisitos de segurança;
Assegurar a adequação dos sistemas aos “standards” ou políticas de segurança organizacionais;
Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas.
BS7799 Part I (Code of Practice)
14
BS7799 Part II (Management Standard)
15
BS7799 Part II (Management Standard)
16
Resumo
17
Q&A