segurança lógica e física copyright © 2012 by john wiley & sons, inc. all rights reserved....
TRANSCRIPT
Segurança Lógica e Física
2- Elaboração das Políticas de Segurança da Coorporação
Copyright © 2012 by John Wiley & Sons, Inc. All rights reserved.
Cyber Security PolicyGuidebook Bayuk et all
Deve-se possuir normas para definição de uma política de segurança da informação na organização.
A Política de Segurança da Informação é composta por um conjunto de regras e padrões que definem o que deve ser feito para garantir às informações da organização os princípios de 1. confidencialidade, 2. Disponibilidade 3. integridade, 4. não repúdio, 5. Autenticidade 6. privacidade.
Sistema DeGestão Da Segurança Da Informação (SGSI) ISO 17799 1- Políticas de Segurança
IES - SEGURANÇA LÓGICA E FISICA
3
6 princípios da segurança
SegurançaISO/IEC
17799:2005
ConfidencialidadeDisponibilidade
IntegridadeIrretratabilidad
e ou não repúdio
Autenticidade
Privacidade
Redes Sociais, e-comerce
Princípio da “Generalidade Focada”• Cada processo a ser analisado para elaboração dos
documentos deve ser genérico, evitando marcas, nomes ou versões de sistemas.
• Ex.: Não citar “CPUs octacore” evita que você tenha que refazer os documentos com muita frequência.
• Todos os termos devem ter definições em um documento separado, quando são aplicáveis ao conjunto do projeto de políticas
• Em cada política, termos específicos devem ser definidos com clareza.
• Um documento pode fazer referência a outros.
IES - SEGURANÇA LÓGICA E FISICA
5
Conceito de segurança 1
• “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos"
Handbook of Information and Communication Security- Peter Stavroulakis,Mark Stamp (Eds.) - 2010
Como construir uma boa política de segurança fornece as bases para a implementação bem sucedida dos projetos de segurança futuros,
Esta é, sem dúvida, a primeira medida que deve ser tomada para reduzir o risco deutilização inaceitável de qualquer dos recursos de informação da empresa.
O primeiro passo para aumentar a segurança de uma empresa é a introdução de um título executivo, informando a equipe sobre os vários aspectos de suas responsabilidades, o uso geral dos recursos da empresa e explicando como informações sensíveis devem ser manuseados.
Elaboração das políticas é o primeiro passo para projetos de segurança
Pessoa, again
• A política também descrever em detalhes o significado de uso aceitável, bem como as atividades proibidas.
• O desenvolvimento (e a boa execução) de uma política de segurança é altamente benéfica, pois não só aglutina todos os funcionários para participar no esforço da empresa para proteger suas comunicações,
• mas também ajudar a reduzir o desleixo e a sensação falsa de segurança.
IES - SEGURANÇA LÓGICA E FISICA
8
Basicamente, a ISO 27001 estabelece os requisitos para a forma como uma organização pode implementar os processos/mecanismos/técnicas/dispositivos de segurança da norma ISO 17799:2005.
"Esta Norma foi preparada para fornecer um modelo para a criação, implantação, operação, monitoramento, revisão, manutenção e melhoria de um
Sistema de Gestão de Segurança da Informação (SGSI). “
Implantação
Revisão
Monitoramento
Melhoria
CriaçãoOperação
Manutenção
5 aspectos das metas de políticas deSegurança
1. Cyber Governance 2. Cyber User 3. Cyber Conflict 4. Cyber Management 5. Cyber Infrastructure
Políticas - Taxonomia
Norma de Políticas de Segurança:
ISO 70431-2“Nunca se aproxime de uma criatura Que possua esse nível de ameaça a INTEGRIDADE”
Segurança nas Pessoas
COMITÊ EXECUTIVOPresidido pelo CIO
Comitê de AuditoriasCoord: Gerente de
Auditorias
Comite de SegurançaCoord: Chief Security
Officer (CSO)
Gerente de Segurança da Informação
Administração da Segurança
Políticas e Aderências (Normas, Leis,
Padrões)
Gerência de Risco e Contingência
Operações de Segurança
Comitês Locais de Informação LSC
1 por local
Donos dos Ativos de Informação
(IAOs)
Gerentes de Segurança do Site
(SSMs)
VigilantesGerência de
suprimentos (energia, água, outros)
Comite de RiscosCoord: Gerente de
Riscos
Políticas de segurança como parte de portfólio
• Comos os Serviços (ITIL)• Os Projetos (PMBOK)• As políticas são normatizadas, e devem ser
testadas e auditadas
Processos de gerencia
Dinâmica:Elaborar, inclusive com a carta de Abertura, as políticas de segurança para os 4 campii do IES na grande Florianópolis, abrangendo as seguintes áreas:
CIO - CERUTTI
Comitê Geral de segurança
Carta de abertura e integração dos documentos
Politica para sistemas CORE Segurança Física Segurança de Email Segurança de Internet Politica de autenticação
da rede
GabrielLucasDiegoWaltencirAlex
Felipe GustavoMateus FernandesHenriqueGiovane
HernanPauloFlavioNivaldoBeletti
AlessandraGiseleSthéfanyMarianeEvandro
Bruno ximbinhaGuilherme AritanaKopplin gotinhaMatheus UrsinhoDavid boca de Havaiana
PatríciaCarlosAndréa
Gerente Projeto N-1
Gerente do Projeto 1
Coordenador
Relator Revisor
Pesquisador
Auxiliar
Gerente do Projeto N+1
Estrutura dos Comitês
Interação com Comitê Geral
Cenário• Auditoria de Pentesters em 18 meses• Auditoria externa das políticas em 12 meses
1
4 3
2
0.0.0.0RCT
10 Mbps
10 Mbps10 Mbps
40 Mbps
1. Ciência de Dados – Data Science2. Comunicação M2M3. INTELIGENCIA GEOESPACIAL4. Internet das Coisas5. Big Data – Hadoop (apache)6. Cidades Inteligentes (smart Cities)7. Video Analytics
Cerutties.wp.