A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Política de Segurança O que é Política de Segurança da Informação?

Apresentações semelhantes


Apresentação em tema: "Política de Segurança O que é Política de Segurança da Informação?"— Transcrição da apresentação:

1

2 Política de Segurança O que é Política de Segurança da Informação?

3 Definição de Política Política significa coisas diferentes para diferentes pessoas (Tom Peltier). Para nosso propósito, a melhor definição de Política é a arte e ciência de cuidar dos negócios. Significando que a segurança só pode ser realizada se forem considerados todos os aspectos - não somente a elaboração da sua documentação.

4 Política de Segurança Situação atual Análise Política Implementação Administração

5 Política de Segurança Modelo PDCA Plan Action Do Check

6 Informação A informação é um ativo que como qualquer outro ativo importante para os negócios, tem um valor para a organização e consequentemente necessita ser adequadamente protegida. A segurança da informação protege a informação de diversos tipos de ameaças para garantir: a continuidade dos negócios, minimizar os danos aos negócios maximizar o retorno dos investimentos e as oportunidades de negócios.

7 Segurança da Informação Preservação da confidencialidade, integridade e disponibilidade da informação. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Garantia de que os usuários autorizados tenham acesso à informação e aos ativos correspondentes sempre que necessário.

8 Ativo Tudo que manipula informação, inclusive ela própria. Tecnologia Infra-estrutura Aplicações Informações Pessoas

9 Informação

10 As formas da informação Impressa ou escrita em papel Armazenada eletronicamente Transmitida pelo correio ou através de meios eletrônicos Mostrada em filmes Falada em conversas

11 Política de segurança É importante para: Garantir a implementação de controles de segurança apropriado; Auxiliar na seleção de produtos e no desenvolvimento de processos; Disciplinar usuários sobre violações de segurança; Documentar as preocupações da alta direção sobre segurança; Transformar a segurança em um esforço comum.

12 É o conjunto de critérios e soluções para problemas tecnológicos e humanos. É o primeiro passo efetivo para resolver qualquer esforço de segurança da informação. Existe para evitar problemas. Política de Segurança Fazer Análise de Risco Problemas = Vulnerabilidades e Ameaças Deve se basear na análise de risco e visa à padronização de ambientes e processo de modo a evitar as vulnerabilidades existentes.

13 Diretrizes Normas para quem cuida para quem usa Procedimentos e Instruções ESTRATÉGICO TÁTICO OPERACIONAL Política de Segurança Modelo

14 Diretriz (exemplo) Somente será permitido o uso de recursos homologados e autorizados pela empresa, desde que sejam identificados de forma individual, inventariados, com documentação atualizada e estando de acordo com as cláusulas contratuais e a legislação em vigor.

15 Norma (exemplo) Os seguintes serviços TCP/IP são considerados recursos que podem ser disponibilizados: HTTP, para acesso a Web sites externos SSL e HTTPS, para transações seguras, com a utilização de criptografia entre o browser e o servidor Web.

16 Procedimentos (exemplo)

17 Política de Segurança Complexidade Procedimentos operacionais (5w1H). Quem? O quê? Aonde? Quando? Por quê? Como?

18 Instrução (exemplo) Selecione a opção Report/Logfile no menu localizado no alto da tela Neste ponto escolha qual report será analisado Semanal Diário Atual

19 Política de Segurança Documentação Grande volume de trabalho para: Elaborar Imprimir Distribuir Implementar Ensinar Atualizar

20 Desafio Integração entre tecnologia e negócio Tecnologia da Informação Gestão Negócio

21 Papel da Segurança Eliminar as vulnerabilidade, minimizando os riscos e reduzindo os impactos no negócio. SEGURANÇA Risco tendendo a zero

22 Uma política de segurança deve cobrir os seguintes aspectos: Aspectos preliminares abrangência e escopo de atuação da política; definições fundamentais; normas e regulamentos aos quais a política está subordinada; quem tem autoridade para sancionar, implementar e fiscalizar o cumprimento da política; meios de distribuição da política; como e com que freqüência a política é revisada.

23 Aspectos (continua) Política de senhas requisitos para formação de senhas; período de validade das senhas; normas para proteção de senhas; reuso de senhas; senhas default.

24 Aspectos (continua) Direitos e responsabilidades dos usuários utilização de contas de acesso; utilização de softwares e informações, incluindo questões de instalação, licenciamento e copyright; proteção e uso de informações (sensíveis ou não), como senhas, dados de configuração de sistemas e dados confidenciais da organização; uso aceitável de recursos como , news e Web; direito à privacidade, e condições nas quais esse direito pode ser violado pelo provedor dos recursos (a organização); uso de antivírus.

25 Aspectos (Continua) Direitos e responsabilidades do provedor dos recursos (organização): backups; diretrizes para configuração e instalação de sistemas e equipamentos de rede; autoridade para conceder e revogar autorizações de acesso, conectar e desconectar sistemas e equipamentos de rede, alocar e registrar endereços e nomes de sistemas e equipamentos; monitoramento de sistemas e equipamentos de rede; normas de segurança física.

26 Aspectos (Continua) Ações previstas em caso de violação da política: diretrizes para tratamento e resposta de incidentes de segurança; penalidades cabíveis.

27 Fatores importantes para o sucesso de uma política de segurança apoio por parte da administração superior; a política deve ser ampla, cobrindo todos os aspectos que envolvem a segurança dos recursos computacionais e da informação sob responsabilidade da organização; a política deve ser periodicamente atualizada de forma a refletir as mudanças na organização; deve haver um indivíduo ou grupo responsável por verificar se a política está sendo respeitada;

28 sucesso (continua) todos os usuários da organização devem tomar conhecimento da política e manifestar a sua concordância em submeter-se a ela antes de obter acesso aos recursos computacionais; a política deve estar disponível em um local de fácil acesso aos usuários, tal como a intranet da organização.

29 Fatores que levam a política de segurança ao fracasso a política não deve ser demasiadamente detalhada ou restritiva; o excesso de detalhes na política pode causar confusão ou dificuldades na sua implementação; não devem ser abertas exceções para indivíduos ou grupos; a política não deve estar atrelada a softwares e/ou hardwares específicos.

30 Política de Segurança da Informação Tem o propósito de elaborar critérios para o adequado manuseio, armazenamento, transporte e descarte das informações através do desenvolvimento de Diretrizes, Normas, Procedimentos e Instruções destinadas respectivamente aos níveis estratégico, tático e operacional.

31 Segurança da Informação Gestão da segurança da informação Conte-me, e eu vou esquecer. Mostre-me, e eu vou lembrar. Envolva-me, e eu vou entender. Confúcio

32 Muito Obrigado pela atenção João Carlos Soares de Alexandria (joca) Fone: (11) IPEN


Carregar ppt "Política de Segurança O que é Política de Segurança da Informação?"

Apresentações semelhantes


Anúncios Google