© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 1 Como Está a Segurança da Informação no Governo do Estado de Minas Gerais Fernando Nery
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 2
3
4
5
6
7
8 Integração com Negócio Tecnologias Convergentes Internet Micros e Redes Evolução de TI Mainframe Transações financeiras, VoIP, TV Digital, Wi-fi, Celular, Regulamentação, Fraudes, Responsabilidade Civil
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 9 Desafios da Gestão de Riscos em TI Quantidade de Componentes Heterogêneo Tecnologia Processos Pessoas Novas Tecnologias Gestão do Conhecimento Relatórios sem Integração
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 10 Modelo de Gestão Plano Diretor de Segurança Escritório de Segurança Comitê Interdepartamental
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 11
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © nd CSI Compliance –Gestão de Riscos –Implementação de Controles –Plano de Continuidade de Negócios Conscientização, Capacitação e Responsabilização do Usuário Segurança em Novas Tecnologias –Transações pelo celular Cartão de crédito Autorizações financeiras –VoIP –Wi-Fi
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 13 Mobile Banking Opções de Acesso
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 14 Segurança em Transações por Celular PositivoNegativo LGT/Regulamentações Agências Reguladoras – Anatel, Bacen Cadastro do usuário Vínculo número-cc Logs Georeferenciamento Hackers ainda não têm grande conhecimento do ambiente Pouca capacidade de criptografia Tecnologia em consolidação Soluções Heterogêneas – Usuário é integrador Profissionais ainda não têm grande conhecimento do ambiente
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 15 Notícias VoIP Boas –Maior capacidade de implementação de segurança –Recursos avançados Autenticação (certificados digitais, biométricas), Criptografia, Assinatura, Log –Convergência da Segurança –Hackers ainda não estão familiarizados com os protocolos de VoIP O mesmo ocorria em wireless... –Aplicação única
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 16 Notícias VoIP Más –Ambiente muito exposto –Não existe solução turn-key –Ambiente heterogêneo –Ameaças novas para o mundo da telefonia –Convergência de vulnerabilidades (internet e voz) –Vulnerabilidades ainda não colocadas aprova em grande escala –Crescimento das aplicações
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 17 Compliance Principais Referências Técnicas Código Civil ISO 17799, Cobit, Itil, COSO Sarbanes Oxley CVM 358 Basiléia 2, Banco Central 2554/2817 Decreto 4553, Melhores Práticas do TCU Norma NBr ISO Guia 73, 4360 Susep 249, 285 Projeto de Lei 89 – Crimes por Computador Legislação da ICP Brasil EUA: FISMA, CIP, HIPPA Outras Leis, Resoluções, Decretos, Portarias e Normas
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 18 Referências para Compliance IT Control Objectives for Sarbanes-Oxley –Organização e Planejamento ISO Guia 73 –Linguagem única NBR ISO/IEC 17799:2005 –Foco em Segurança Responsabilidade Civil
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 19 ISO 17799:2005
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 20 ISO 17799:2005
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 21 Visão do Modelo de Implementação Processos já Mapeados (Amplitude) Profundidade Técnica Análise geral de todos os processos (checklist de amplitude) Análise profunda dos processos prioritários (pacotes de checklists) Seleção dos processos prioritários
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 22 ISO 17799: Política de Segurança Qual a afirmativa é mais próxima à Política de Segurança em sua organização –Está atualizada e é seguida pelos usuários –É seguida mas não está atualizada –É conhecida mas não é seguida pelos usuários –Foi publicada mas não é conhecida pelos usuários –Foi desenvolvida mas não foi publicada –Está em desenvolvimento –Não foi desenvolvida
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 23 ISO 17799: Organizando a Segurança da Informação Quem é o responsável pela Segurança da Informação em seu órgão? –O Escritório de Segurança da Informação (Security Officer) –A área de TI –A área de Redes –Auditoria, Gestão de Riscos, Compliance ou outras –Não existe responsabilidade formal
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 24 ISO 17799: Gestão de Ativos Quanto aos ativos de sua organização (pessoas, processos, sistemas e equipamentos) –Estão inventariados e analisados em toda a organização –Estão inventariados em toda a organização mas não foram analisados –Estão inventariados e analisados nos escopos mais importantes –Estão inventariados nos escopos mais importantes mas não foram analisados –Não estão inventariados
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 25 ISO 17799: Segurança em Recursos Humanos Qual o grau de conscientização dos gestores usuários em Segurança da Informação –Baixa –Média –Alta
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 26 ISO 17799: Segurança em Recursos Humanos Qual o conhecimento dos profissionais de TI em Segurança da Informação? –Baixa –Média –Alta
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 27 ISO 17799: Segurança Física e do Ambiente Quanto à segurança física dos equipamentos compartilhados (servidores, bancos de dados, …) –Ficam em salas convencionais junto com os backups –Ficam em salas convencionais e os backups são armazenados for a da organização –Ficam em salas preparadas junto com os backups –Ficam em salas preparadas e os backups são armazenados for a da organização –Ficam em uma sala cofre
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 28 ISO 17799: Gerenciamento das Operações e Comunicação Quanto aos procedimentos de segurança no ambiente técnico, podemos afirmar: –Que existe um modelo de análise e gestão de riscos implementado no ambiente de tecnologia da informação –Que existe um modelo de análise e gestão de riscos implementado nos ambientes mais críticos –Que a ação é feita em resposta aos acontecimentos
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 29 ISO 17799: Controle de Acessos Quanto ao uso de senhas em sua organização –Existe uma política formal e senhas fortes –Não existe uma política formal, mas os usuários estão conscientizados –Não existe uma política formal
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 30 ISO 17799: Aquisição, desenvolvimento e manutenção de sistemas Quanto a segurança nos sistemas –Existem procedimentos formalizados –São realizadas análises periódicas conforme o conhecimento da equipe técnica –Não existem procedimentos formalizados e a equipe técnica necessita aumentar seus conhecimentos
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 31 ISO 17799: Gestão de Incidentes de Segurança da Informação Como é feita a notificação de incidentes? –Existe um sistema e procedimentos formalizados –Existe uma pessoa/departamento responsável –Não está formalizado
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 32 ISO 17799: Gestão da Continuidade do Negócio Qual a afirmativa é mais próxima ao Plano de Continuidade dos Negócios? –É conhecido e está atualizado –É conhecido mas não está atualizado –Foi publicado mas não é conhecido pelos usuários –Foi desenvolvido mas não foi publicado –Está em desenvolvimento –Não foi desenvolvido
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 33 ISO 17799: Conformidade Quanto as publicações legais e regulamentares, sua organização –Conhece as publicações que a organização deve seguir e a responsabilidade dos administradores e técnicos –Conhece as publicações que sua organização deve seguir, mas não conhece a responsabilidade dos administradores e técnicos –Conhece as publicações e responsabilidades em parte –Não conhece as publicações que a organização deve seguir
© CopyRight - Modulo Secutity Solutions Todos os Direitor Reservados © 34 Como Está a Segurança da Informação no Governo do Estado de Minas Gerais Fernando Nery