Segurança da Informação e

Proteção ao Conhecimento

Douglas Farias Cordeiro

ABNT NBR ISO/IEC 27002Gestão de incidentes de segurança da

informação

Objetivo

Os incidentes de segurança da informação precisam ser

gerenciados de forma consistente e efetiva!– É importante que as fragilidades e eventos sejam

comunicadas.

Responsabilidades e procedimentos

É necessário estabelecer as responsabilidades e

procedimentos de gestão:– Respostas rápidas, efetivas e ordenadas;

– Procedimentos para preparação e planejamento de respostas a incidentes;

– Monitoramento, detecção, análise e notificação de incidentes;

– Tratamento para evidências forenses;

Responsabilidades e procedimentos

Assegurar:– Tratamento de incidentes feito por pessoal

competente;

– Manter contatos apropriados com autoridades, grupos de interesse ou fóruns de segurança da informação;

Responsabilidades e procedimentos

Procedimentos de notificação:– Preparar formulários para notificação de eventos:

• Apoiar o notificador;• Mostrar o que, como e para onde relatar;

– Referência a processos disciplinares formais;

– Processos de realimentação adequado para informar os notificadores sobre os resultados obtidos.

Notificação de eventos de segurança da informação

É importante estabelecer canais apropriados para relatar

os eventos de segurança da informação;– Controle de segurança ineficaz;

– Erros humanos;

– Não-conformidade com políticas de segurança;

– Mau funcionamento de software ou hardware;

– Violação de acesso;

– Violação de disponibilidade, confidencialidade e integridade da informação.

Notificação de fragilidade de segurança da informação

Funcionários e partes externas devem ser instruídos a

registrar e notificar quaisquer fragilidades de segurança

da informação;– Prevenção de incidentes;

– Notificação rápida, fácil e acessível.

Respostas aos incidentes

– Coleta de evidências;

– Realização de análise forense de segurança da informação;

– Comunicação e tratamento;

– Encerramento e registro.

ABNT NBR ISO/IEC 27002Segurança da informação na

continuidade do negócio

Planejando a continuidade de segurança da informação

Durante uma crise ou desastre, a segurança da

informação não pode ser perdida!– Avaliar se a continuidade de segurança faz parte

da política de continuidade de negócio;

Na falta de um planejamento formal de continuidade:– Assumir que requisitos de segurança não sejam

modificados;

– Realizar uma análise de impacto de negócio.

Redundâncias

O principal foco é assegurar a disponibilidade dos recursos

de processamento de informação;– Os recursos devem ser implementados com

redundância suficiente para atender os requisitos de disponibilidade;

• Identificar requisitos de negócio;• Identificar situação quando a disponibilidade

não pode ser assegurada por arquitetura ou componentes redundantes;

• Testar a redundância.

ABNT NBR ISO/IEC 27002Conformidade

Conformidade com requisitos legais e contratuais

Deve-se evitar violação de quaisquer obrigações legais,

estatuárias, regulamentares ou contratuais;– Explicitar todos os requisitos relacionados;

– Definir controles e responsabilidades específicos;

– Os gestores devem identificar toda a legislação aplicável!

Direitos de propriedade intelectual

O que é propriedade intelectual?

“É um conjunto de direitos que incidem sobre a criação do intelecto humano.”

– “É o conjunto de princípios e de normas que regulam a aquisição, o exercício e a perda de direitos e de interesses sobre ativos intangíveis diferenciadores suscetíveis de serem utilizados na produção econômica de bens e de serviços.”

Arcabouço legal no Brasil

– Lei da Propriedade Industrial, no 9279/96 - em vigor desde maio de 1997, substituiu o antigo Código da Propriedade Industrial (Lei no 5.772/71).

– Lei de Cultivares, no 9456/97 - em vigor desde abril de 1997. Instituiu a proteção para plantas.

– Lei de Programa de Computador, no 9609/98 - em vigor desde fevereiro de 1998.

– Lei de Direitos Autorais, no 9610/98 - em vigor desde junho de 1998, substituiu a Lei 5988/73.

Direito Autoral

Direito do autor:– Conjunto de normas jurídicas que visam regular as

relações oriundas da criação e da utilização de obras artísticas.

– Perduram por setenta anos contados a partir do ano de falecimento do autor.

Plágio

O plágio: assinar ou apresentar uma obra intelectual de

qualquer natureza contendo partes de uma obra que

pertença a outra pessoa sem colocar os créditos para o

autor original.– No Brasil, plágio é crime!

Direito Autoral

Direitos conexos:– Interpretações, execuções, execuções, fonogramas

e emissões de radiodifusão;

– Perduram por setenta anos a partir do ano de sua execução.

Direito Autoral

Programa de computador:– Conjunto de instruções que, quando incorporada a

um suporte legível por máquina, pode realizar uma tarefa ou alcançar um resultado.

– Órgão de registro: INPI (Instituto Nacional de Propriedade Industrial).

Propriedade Industrial

Patente:– Título de propriedade temporária outorgado pelo

Estado ao inventor ou pessoa legitimada.

– Classificação:

• Invenção: vinte anos;• Modelo de utilidade: quinze anos.

Propriedade Industrial

Desenho industrial:– Forma ornamental de um objeto que possa ser

aplicada a um produto, proporcionando resultado novo e original.

– Proteção:

• Dez anos, prorrogáveis por três períodos de cinco anos.

Propriedade Industrial

Marcas:– Sinais distintos

visualmente;

– Proteção:

• Dez anos, prorrogável por períodos iguais e sucessivos.

Identificações Geográficas

Identificação de um produto ou serviço como originário de

um local, região ou país:– Reputação;

– Característica;

– Qualidade.

– Não há tempo definido para a proteção.

– Exemplo: o caso da rapadura.

Proteção Sui Generis

Sui Generis (de seu próprio gênero);

Topografia de Circuito Integrado:– Série de imagens relacionadas representando a

configuração tridimensional das camadas de um circuito integrado;

Proteção Sui Generis

Cultivar:– Variedade de qualquer espécie ou gênero que seja

claramente distinguível de outras conhecidas;

– Quinze anos para plantas;

– Dezoito anos para árvores.

– Registro no Ministério da Agricultura.

Sistema de Propriedade Intelectual no Brasil

E o que diz a norma?

A norma diz que:– As conformidades com os direitos de propriedade

relacionados à informação devem ser definidos e divulgados;

– Softwares devem ser adquiridos de fontes conhecidas e de reputação;

– Deve-se garantir conscientização para proteção dos direitos autorais;

– Manter provas de propriedades de licenças, discos-mestres, manuais, etc.;

– Usar somente software autorizado e licenciado.

E o que a norma diz?

– Definir uma política para transferência de software;

– Não duplicar, copiar ou converter registros, livros, relatórios ou outros documentos, além do que é permitido em Lei.