Projeto de Segurança da Informação Senior TI Paulo Fernando da Silva

Consultor Mestre em Segurança da Informação pela UFSC Professor de graduação e pós-graduação FURB, Univali e SENAC-Florianópolis Doutorando em Segurança da Informação pela PUC-PR

Pauta Cenário da Segurança da Informação Metodologia Projeto Senior: Inventário de Ativos Análise de Vulnerabilidades Análise de Risco Política de Segurança da Informação

Cenário Atual de Informação Aumento da integração entre sistemas Aumento da distribuição dos sistemas Uso de tecnologias mais complexas Aumento de Vulnerabilidades Informações com maior valor estratégico Transações financeiras on-line Maior dependência das organizações em relação às informações Aumento de Ativos de Informação

Cenário Atual de Informação Incidentes causam prejuízos financeiros: Indisponibilidade de serviços ou informações Fraude e Roubo de informações Pagamento de multas contratuais Processos Judiciais por parte de clientes, parceiros e fornecedores

Cenário Atual de Informação Incidentes prejudicam a imagem da organização perante clientes, parceiros e fornecedores: Indisponibilidade de serviços ou informações Vazamento de informações confidenciais

Incidentes nos EUA

Incidentes no Brasil

Pesquisa Nacional de Segurança da Informação (Módulo, 2006) 33% das empresas não sabem quantificar perdas por incidentes 21% das empresas não sabem identificar os responsáveis 48% dedicam-se apenas a corrigir as falhas encontradas

Pesquisa Nacional de Segurança da Informação (Módulo, 2006) Nas empresas que identificaram os ataques: 24% causados por funcionários 20% causados por hackers

Metodologia ISO 27001: Sistemas de Gestão de Segurança da Informação ISO 17799: Controles para Gestão de Segurança da Informação Metodologia de projeto baseada em PMBOK

Metodologia NIST SP 800-40: Gerenciamento de Vulnerabilidades NIST SP 800-42: Teste de Segurança NIST FIPS PUB 199: Classificação da Segurança NIST SP 800-55: Guia de Métrica de Segurança

Projeto de Segurança da Informação Identifica Ativos Define Controles Integridade Confidencialidade Disponibilidade Autenticidade Legalidade

Vantagens da Segurança da Informação Facilita a administração das redes e recursos Preserva o atendimento a requisitos legais Preserva a imagem da organização Preserva a satisfação do cliente Melhora o direcionamento de investimentos em segurança

Projeto Senior Inventário e Classificação de Ativos da Informação Análise de Vulnerabilidades Análise de Risco Política de Segurança da Informação

Inventário de Ativos Faz o levantamento dos ativos de informação mais relevantes Define responsabilidades Classifica os ativos Fornece informações para as próximas análises e para a política de segurança

Inventário de Ativos – Etapas Identificação de Ativos Informações Hardware Software Pessoas Definição de Responsabilidades Proprietário e Custodiante Administrador Usuários

Inventário de Ativos – Etapas Classificação dos Ativos Confidencialidade Integridade Disponibilidade Escopo Conclusão Apresentação dos resultados

Análise de Vulnerabilidades Identifica falhas sobre os ativos de informação Age sobre: Tecnologias: software e hardware Pessoas: habilidades Ambientes: acesso físico e acidentes Fornece informações para a análise de risco

Análise de Vulnerabilidades – Etapas Coleta de Dados Tecnologias Pessoas Ambientes Análise das Vulnerabilidades Análise de Tecnologias Análise de Pessoas Análise de Ambientes

Análise de Vulnerabilidades – Etapas Plano de Ação Plano de Tecnologias Plano de Pessoas Plano de Ambientes Conclusão Apresentação dos resultados

Análise de Risco Seu objetivo é quantificar os riscos Age sobre: Vulnerabilidades Ameaças Impacto Ocorrência Determinar prioridades de investimento

Análise de Risco – Etapas Levantamento de Variáveis Identificação de Vulnerabilidades Identificação de Ameaças Identificação de Impacto Identificação de Ocorrências Determinação de Riscos Análise e cálculo dos riscos

Análise de Risco – Etapas Tratamento de Riscos Análise de tratamentos Validação dos tratamentos Definição do plano de ação Conclusão Apresentação dos resultados

Política de Segurança Define regras e punições para acesso aos ativos de informação Age sobre: Pessoas Comportamento Informações Cria uma cultura de segurança na organização

Política de Segurança – Etapas Desenvolvimento da Política Aspectos Preliminares Políticas Organizacionais Política de Gestores de Ativos Política de Usuários de Ativos Violação da Política Discussão e Aprovação da Política

Política de Segurança – Etapas Plano de Ação Ações de Curto Prazo Ações de Médio Prazo Conclusão Apresentação dos resultados

Alguns Benefícios Maior conhecimento sobre as informações Maior confiabilidade no ambiente Conscientização dos colaboradores Aderência a normas e obrigações legais Definição de controles e responsabilidades

Resultados Ao final de cada sub-projeto são entregues: Documento detalhado do projeto Relatório gerencial do projeto Plano de ações

Fim - Obrigado Contato: Paulo Fernando da Silva E-mail: paulofernando@trackerti.com Site: www.trackerti.com