Projeto de Segurança da Informação Senior TI Paulo Fernando da Silva
Consultor Mestre em Segurança da Informação pela UFSC Professor de graduação e pós-graduação FURB, Univali e SENAC-Florianópolis Doutorando em Segurança da Informação pela PUC-PR
Pauta Cenário da Segurança da Informação Metodologia Projeto Senior: Inventário de Ativos Análise de Vulnerabilidades Análise de Risco Política de Segurança da Informação
Cenário Atual de Informação Aumento da integração entre sistemas Aumento da distribuição dos sistemas Uso de tecnologias mais complexas Aumento de Vulnerabilidades Informações com maior valor estratégico Transações financeiras on-line Maior dependência das organizações em relação às informações Aumento de Ativos de Informação
Cenário Atual de Informação Incidentes causam prejuízos financeiros: Indisponibilidade de serviços ou informações Fraude e Roubo de informações Pagamento de multas contratuais Processos Judiciais por parte de clientes, parceiros e fornecedores
Cenário Atual de Informação Incidentes prejudicam a imagem da organização perante clientes, parceiros e fornecedores: Indisponibilidade de serviços ou informações Vazamento de informações confidenciais
Incidentes nos EUA
Incidentes no Brasil
Pesquisa Nacional de Segurança da Informação (Módulo, 2006) 33% das empresas não sabem quantificar perdas por incidentes 21% das empresas não sabem identificar os responsáveis 48% dedicam-se apenas a corrigir as falhas encontradas
Pesquisa Nacional de Segurança da Informação (Módulo, 2006) Nas empresas que identificaram os ataques: 24% causados por funcionários 20% causados por hackers
Metodologia ISO 27001: Sistemas de Gestão de Segurança da Informação ISO 17799: Controles para Gestão de Segurança da Informação Metodologia de projeto baseada em PMBOK
Metodologia NIST SP 800-40: Gerenciamento de Vulnerabilidades NIST SP 800-42: Teste de Segurança NIST FIPS PUB 199: Classificação da Segurança NIST SP 800-55: Guia de Métrica de Segurança
Projeto de Segurança da Informação Identifica Ativos Define Controles Integridade Confidencialidade Disponibilidade Autenticidade Legalidade
Vantagens da Segurança da Informação Facilita a administração das redes e recursos Preserva o atendimento a requisitos legais Preserva a imagem da organização Preserva a satisfação do cliente Melhora o direcionamento de investimentos em segurança
Projeto Senior Inventário e Classificação de Ativos da Informação Análise de Vulnerabilidades Análise de Risco Política de Segurança da Informação
Inventário de Ativos Faz o levantamento dos ativos de informação mais relevantes Define responsabilidades Classifica os ativos Fornece informações para as próximas análises e para a política de segurança
Inventário de Ativos – Etapas Identificação de Ativos Informações Hardware Software Pessoas Definição de Responsabilidades Proprietário e Custodiante Administrador Usuários
Inventário de Ativos – Etapas Classificação dos Ativos Confidencialidade Integridade Disponibilidade Escopo Conclusão Apresentação dos resultados
Análise de Vulnerabilidades Identifica falhas sobre os ativos de informação Age sobre: Tecnologias: software e hardware Pessoas: habilidades Ambientes: acesso físico e acidentes Fornece informações para a análise de risco
Análise de Vulnerabilidades – Etapas Coleta de Dados Tecnologias Pessoas Ambientes Análise das Vulnerabilidades Análise de Tecnologias Análise de Pessoas Análise de Ambientes
Análise de Vulnerabilidades – Etapas Plano de Ação Plano de Tecnologias Plano de Pessoas Plano de Ambientes Conclusão Apresentação dos resultados
Análise de Risco Seu objetivo é quantificar os riscos Age sobre: Vulnerabilidades Ameaças Impacto Ocorrência Determinar prioridades de investimento
Análise de Risco – Etapas Levantamento de Variáveis Identificação de Vulnerabilidades Identificação de Ameaças Identificação de Impacto Identificação de Ocorrências Determinação de Riscos Análise e cálculo dos riscos
Análise de Risco – Etapas Tratamento de Riscos Análise de tratamentos Validação dos tratamentos Definição do plano de ação Conclusão Apresentação dos resultados
Política de Segurança Define regras e punições para acesso aos ativos de informação Age sobre: Pessoas Comportamento Informações Cria uma cultura de segurança na organização
Política de Segurança – Etapas Desenvolvimento da Política Aspectos Preliminares Políticas Organizacionais Política de Gestores de Ativos Política de Usuários de Ativos Violação da Política Discussão e Aprovação da Política
Política de Segurança – Etapas Plano de Ação Ações de Curto Prazo Ações de Médio Prazo Conclusão Apresentação dos resultados
Alguns Benefícios Maior conhecimento sobre as informações Maior confiabilidade no ambiente Conscientização dos colaboradores Aderência a normas e obrigações legais Definição de controles e responsabilidades
Resultados Ao final de cada sub-projeto são entregues: Documento detalhado do projeto Relatório gerencial do projeto Plano de ações
Fim - Obrigado Contato: Paulo Fernando da Silva E-mail: paulofernando@trackerti.com Site: www.trackerti.com