A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação.

Apresentações semelhantes


Apresentação em tema: "Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação."— Transcrição da apresentação:

1 Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação e Comunicações 30/6/2010 Ana Rosa Carvalho de Abreu1

2 - Há milhões e milhões de anos que as flores fabricam espinhos. Há milhões e milhões de anos que os carneiros as comem, apesar de tudo. E não será sério procurar compreender por que perdem tanto tempo fabricando espinhos inúteis? Não terá importância a guerra dos carneiros e das flores? (Antoine de Saint-Exupery) 30/6/2010 Ana Rosa Carvalho de Abreu2

3 Se, apesar de todo um aparato de equipamentos de segurança física, para proteger os seus bens, os bancos continuam sendo alvo de furtos, não seria importante descobrir porque eles continuam a se comportar do mesmo modo? Onde estarão falhando? Quais as relações de causa e efeito entre as variáveis que influenciam a concretização de um evento negativo? 30/6/2010 Ana Rosa Carvalho de Abreu3

4 Verificar a aplicabilidade e a efetividade das normas de segurança da informação da ABNT, no que concerne aos aspectos de segurança física, na Administração Pública Federal. 30/6/2010 Ana Rosa Carvalho de Abreu4

5 Análise das normas técnicas: NBR ISO/IEC 27001:2006,NBR ISO/IEC 27002:2005 e NBR ISO/IEC 27005:2008 Análise de variáveis de segurança apontadas nas normas. Validar a utilização dos requisitos de segurança apontados na NBR ISO/IEC 27001:2006, junto a especialistas em Gestão da Segurança da Informação. Identificadas inter-relações e relações causais entre as variáveis estudadas. 30/6/2010 Ana Rosa Carvalho de Abreu5

6 Descrição de Situação Problema Revisão da Literatura especializada sobre o assunto Estudo de normas pertinentes. Coleta de Dados com utilização da Técnica Delphi com especialistas em Gestão da Segurança da Informação Entrevista semi-estruturada com Gerente da Área de Segurança do BCB. 30/6/2010 Ana Rosa Carvalho de Abreu6

7 A) Uma visão sistêmica, não somente de dentro da organização, mas do macro-sistema que a envolve, torna- se necessária, para se definir a política de segurança de uma instituição; B) Seguir todos os itens de segurança física, de forma isolada, não garante a segurança física das organizações; 30/6/2010 Ana Rosa Carvalho de Abreu7

8 C) Funcionários treinados em normas de segurança são necessários para diminuir a vulnerabilidade nas organizações governamentais; D) Um planejamento estratégico, com respaldo da Administração Superior, fundamentado em uma Política de Segurança da Informação elaborada de forma participativa e editada pela autoridade maior da organização forma o pilar central para a segurança física das organizações. 30/6/2010 Ana Rosa Carvalho de Abreu8

9 30/6/2010 Ana Rosa Carvalho de Abreu9

10 30/6/2010 Ana Rosa Carvalho de Abreu10

11 30/6/2010 Ana Rosa Carvalho de Abreu11 NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005 metodologia estruturada, reconhecida internacionalmente, dedicada à segurança da informação; processo definido para avaliar, implementar, manter e gerenciar a segurança da informação; grupo completo de controles contendo as melhores práticas para segurança da informação.

12 30/6/2010 Ana Rosa Carvalho de Abreu12 NBR ISO/IEC 27001:2006 apresenta requisitos de sistema utilizada como padrão para a realização de auditorias de certificação NBR ISO/IEC 27002:2005 código de práticas utilizada para orientação durante o desenvolvimento e implantação do sistema de gestão de segurança da informação

13 30/6/2010 Ana Rosa Carvalho de Abreu13 NBR ISO/IEC 27001: 2006 processo sistemático para fortalecimento do controle interno de segurança da informação. Cobre todos os tipos de organizações; especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado; especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes; orienta como elaborar uma matriz de riscos e identificar e implantar controles para minimizar estes riscos

14 30/6/2010 Ana Rosa Carvalho de Abreu14 NBR ISO/IEC 27002:2005 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização; Os objetivos de controle e os controles têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/avaliação de riscos; apresenta 11 cláusulas de controle de segurança de A5 a A15 e 133 controles; considera segurança física, técnica, procedimental e em pessoas.

15 30/6/2010 Ana Rosa Carvalho de Abreu15 Confidencialidade garantir que apenas as pessoas que devam ter conhecimento a respeito de uma informação possam ter acesso a ela. Integridade proteger as informações contra alterações em seu estado original. Essas alterações podem ser tanto intencionais quanto acidentais. Disponibilidade garantir que a informação possa ser acessada por aqueles que dela necessitarem, no momento em que dela precisarem.

16 30/6/2010 Ana Rosa Carvalho de Abreu16 A segurança pública, dever do Estado, direito e responsabilidade de todos, é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio. Artigo 144 da Constituição Federal de 1988 Dispõe sobre segurança para estabelecimentos financeiros, estabelece normas para constituição e funcionamento das empresas particulares que exploram serviços de vigilância e de transporte de valores Lei nº , de 20 de junho de 1983 Altera o artigo n. 10 de da Lei nº e define a categoria do vigilante. Lei nº , de 28 de março de 1994

17 30/6/2010 Ana Rosa Carvalho de Abreu17 Evento desfavorá vel Probabilidade de ocorrência Elementos que definem o risco Período de tempo

18 30/6/2010 Ana Rosa Carvalho de Abreu18 Definição do Contexto Objetivos, políticas e estratégia Processos e estrutura Requisitos legais e normativos Política de segurança e ativos de informação Abordagem da Gestão de risco Características geográficas Restrições que afetam a organização e expectativas das partes interessadas Ambiente sociocultural e interfaces (ou seja, a troca de informações com o ambiente). Análise/Avaliação de Riscos Identificação de riscos Identificação dos ativos Identificação das ameaças Identificação dos controles existentes Identificação das vulnerabilidades Identificação das conseqüências Estimativa de riscos Avaliação de riscos

19 24/06/2010 Ana Rosa Carvalho de Abreu19 Como as organizações governamentais entendem a atividade de segurança da informação? Como a adoção das normas de segurança da informação da ABNT podem contribuir para o aperfeiçoamento das atividades de segurança física nessas instituições?

20 24/06/2010 Ana Rosa Carvalho de Abreu20 Pessoas selecionadas21 1ª rodada 2ª rodada 3ª rodada 19 pessoas 15 pessoas 13 pessoas Entidades APF14 Datas das rodadas19 a 26 de abril de a 11 de maio de a 17 de maio de 2010

21 30/6/2010 Ana Rosa Carvalho de Abreu21 Questionou-se se o mecanismo de câmeras de segurança poderia ter sido uma vulnerabilidade no caso do furto ocorrido nas dependência do BCB em Fortaleza. Exemplo de resposta que representa a maioria dos respondentes: Deve ser avaliado o processo como um todo: análise do ambiente externo, análise do ambiente interno, escolha do equipamento, monitoração, gravação, análise, auditagem. A ineficiência está nas análises compartimentalizadas.

22 30/6/2010 Ana Rosa Carvalho de Abreu22 Questionou-se se: uma estrutura de proteção adequada das instalações, impedindo o acesso a pessoas não autorizadas ao recinto, impediria o incidente de segurança física no BCB em Fortaleza. E obteve-se respostas como: O que evita incidentes realmente são políticas de segurança bem implantadas, com os respectivos procedimentos formalizados, auditados e atualizados. É importante fortalecer, além da estrutura das instalações, os laços de confiança entre as pessoas e a organização. O indivíduo preciso ter noção de pertencimento clarificada da sua empresa, como um sistema social que o considera. O que confirma as hipóteses A, B e C

23 30/6/2010 Ana Rosa Carvalho de Abreu23 Questionou-se se falta de treinamento e conscientização dos funcionários pode ter sido uma das causas do desencadeamento do incidente de segurança. Obteve-se as respostas: Não é possível cobrar ou até mesmo responsabilizar funcionários não treinados, e em um ambiente sem programa de conscientização. O treinamento e a conscientização devem fazer parte de um programa maior de segurança da informação. A segurança é formada por várias áreas que têm que ser modeladas e gerenciadas. É a eficácia harmônica das diversas áreas que torna o sistema eficaz. Não adiantaria ter excelência em uma das áreas de segurança e ser negligente com as outras áreas relacionadas."

24 30/6/2010 Ana Rosa Carvalho de Abreu24 Após a análise dos resultados da pesquisa observou-se a confirmação das hipóteses, ou seja: Há a necessidade de planejamento estratégico, com respaldo na Administração Superior, fundamentada em uma Política de Segurança da Informação, elaborada com a participação de funcionários treinados e conscientes da sua importância para a segurança da informação da organização.

25 Criação de uma área estruturada como departamento na sede, com gerências técnicas nas praças onde atua; Troca de experiências com organismos de outros países. Visão Sistêmica Definição dos perfis mínimos de competência que devem ser detidos pelos servidores; Estabelecimento do plano de desenvolvimento para os servidores; Alocação de um quadro de pessoal adequadamente dimensionado. Funcionários Treinados Reformulação dos Planos da área de segurança Planejamento Estratégico 30/6/2010 Ana Rosa Carvalho de Abreu25

26 30/6/2010 Ana Rosa Carvalho de Abreu26 As atividades de segurança devem ter caráter permanente; O enfoque deve ser sistêmico e preventivo, sem prejuízo de medidas necessárias para a resposta e controle de incidentes; As atividades/ações devem ser desenvolvidas sempre numa perspectiva integrada e corporativa.

27 24/06/2010 Ana Rosa Carvalho de Abreu27 Utilização das técnicas de cenários e sistemas dinâmicos para estudar um melhor aproveitamento, aplicabilidade e efetividade das normas NBR ISO/IEC 27001:2006, NBR ISO/IEC 27002:2005:2005 e NBR ISO/IEC 27005:2008 na Administração Pública Federal Brasileira. Trabalhos futuros

28 24/06/2010 Ana Rosa Carvalho de Abreu28 Uma pessoa inteligente resolve um problema, um sábio o previne. Albert Einstein Obrigada!


Carregar ppt "Monografia apresentada ao Departamento de Ciência da Computação da Universidade de Brasília Curso de Especialização em Gestão da Segurança da Informação."

Apresentações semelhantes


Anúncios Google