Política de Seg. e Ética Prof Emmanuel Nolêto

Slides:



Advertisements
Apresentações semelhantes
Normas de Segurança da Informação
Advertisements

Análise e Projeto de Sistemas I
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Gerenciamento do escopo
REQUISITOS NORMATIVOS PARA POLÍTICA DO SISTEMAS DE GESTÃO:
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes
Profa. M.Sc. Yáskara Menescal
Faculdade de Ciências Sociais de Aplicadas de Petrolina – FACAPE
SISTEMA DE INFORMAÇÕES DESENVOLVIMENTO DE SISTEMAS
Código de Prática para a Gestão de Segurança de Informação.
Gerenciamento de Riscos
TSDD Teste de segurança durante o desenvolvimento.
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.
José Roberto Blaschek Gerência do Escopo José Roberto Blaschek.
Prof.Alfredo Parteli Gomes
Auditoria da Qualidade
Universidade São Marcos Curso: Gestão de Negócios Internacionais
PMBOK 5ª Edição Capítulo 11
A padronização dos processos facilita o controle da operação da empresa, promove a qualificação e o desenvolvimento da equipe, gerando aos clientes a percepção.
Projeto: Capacitação em GP
PROJETO DO SISTEMA DE GESTÃO AMBIENTAL DO HGB
Segurança e auditoria de sistemas
Qualidade de Produto de Software
NBR ISO Diretrizes para planos de qualidade
Normas ISO/IEC de Segurança da Informação
Gerenciamento da Integração
Auditoria e Segurança da Informação
Análise de problemas Capacidade de pensamento crítico
11 - Gerenciamento de Riscos
Normas para Segurança da Informação
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Gerenciamento de Processos - PNQ
Processo de Aquisição Adilson de Almeida Cezar Meriguetti
Introdução à Gestão da Qualidade (Aula 8 – ISO 9004 & Auditoria da Qualidade) Professor Gustavo F Ribeiro PEÃO São Roque junho.
Security Policy: Truth vs. Myth
PLANO DE CONTINGÊNCIA DE PROTEÇÃO E DEFESA CIVIL - PLANCON Civil
O Processo de desenvolvimento de software
Documentação de Software
GESTÃO DE PROJETOS DE MANUTENÇÃO
ANÁLISE ESTRUTURADA DE SISTEMAS
Qualidade de Software Aula 4
Gestão de defeitos.
METODOLOGIA, MÉTODOS E FERRAMENTAS
Políticas de Segurança
Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Sistema de Gestão de Segurança da Informação
Programa de Pós-Graduação em Engenharia de Produção - UNIFEI
Segurança da Informação
Prof. Antonio Felicio Netto
POLITICAS DE SEGURANÇA
ALOCAÇÃO DE RECURSOS Suporte material que o processo precisa para ser executado e poder cumprir as metas preestabelecidas. São equipamentos, instalações.
ELABORAÇAÕ DE PROCEDIMENTOS
O QUE MUDOU COM A NOVA ISO 9001:2000
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ISO/IEC Prof. Dr. Sandro Ronaldo Bezerra Oliveira
RUP – Rational Unified Process Márcia Seabra Cabral Prof. Augusto Sampaio Centro de Informática - UFPE.
Conteúdo programático
ISO9001:2000 para Software Professor: Alexandre Vasconcelos Equipe: Amanda Pimentel Börje Karlsson Danielly Karine Erika Pessoa Jorge Cavalcanti Jose Edson.
Introdução – ISO Conceitos relacionados a Norma NBR ISO/IEC 12207; Procedimentos de ciclo de vida e desenvolvimento de software; Objetivos e a estrutura.
Mapeamento e Padronização de Processos
FATEC – Americana Diagnóstico e solução de problemas em TI
Gerenciamento de riscos
Gerenciamento de Escopo
PROJETO SPICE ISO Integrantes: Erickson Balzaneli
Processos de Software Ludimila Monjardim Casagrande 1º Semestre Desenvolvimento e Qualidade.
Planejamento do Projeto Exemplo Curso Hands-on de Gestão de Projetos Eduardo Montes, PMP.
CMMI Capability Maturity Model Integration
O Processo Unificado (PU). 2 O que é o Processo Unificado (PU)? É um modelo de processo de software baseado no modelo incremental, visando a construção.
Transcrição da apresentação:

Política de Seg. e Ética Prof Emmanuel Nolêto ejnoleto@yahoo.com.br www.emmanuelnoleto.com.br

O que é uma P.S.E. ?

Definição Uma política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções que comandam as atuações de trabalho e definem os critérios de segurança para que sejam adotadas com o objetivo de estabelecer, padronizar e normalizar a segurança, tanto no escopo humano como no tecnológico. É na política de segurança que todas as atividades e características envolvidas na proteção dos recursos existentes na organização são definidas.

Padrões Internacionais A informação pode existir de diversas formas, ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meio eletrônico, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou meio através do qual a informação é compartilhada ou armazenada, é recomendado que seja sempre protegida adequadamente. (NBR ISO/IEC 17799, setembro 2001)

Tríade grega e segurança Analise o problema levando em consideração tudo que conhece: se o problema é a segurança da informação, este deve ser avaliado prestando atenção em tudo que poderá afetar o processo de segurança, visando a criação de uma solução para o problema. Sintetize uma solução para o problema a partir de sua análise: sabendo tudo o que pode prejudicar o processo de segurança, neste momento é importante a criação de uma solução que foi estabelecida a partir das informações analisadas anteriormente. Avalie a solução e aprenda em quais aspectos não correspondeu a sua expectativa: a solução adotada deve ser avaliado, visando a verificação de medidas ou decisões que não foram satisfatórias para a implantação do processo de segurança, podendo voltar a análise do problema e passando pelas etapas do processo de segurança novamente.

Tríade grega e segurança Avaliação Síntese Análise

Conceito Nenhuma área da informática é tão apreciada como a segurança da informação, todo processo de segurança inicia e tem seu termino em um ser humano. Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários. (OLIVEIRA, 2001, p.43)

Request for Comments (RFC) 2196 É um guia para desenvolvimento de políticas de segurança de computador, comenta sobre como selecionar e manter senhas. As senhas são efetivas apenas quando usadas corretamente, requer alguns cuidados na sua escolha e uso, como: Não utilize palavras que estão no dicionário (nacionais ou estrangeiros); Não utilize informações pessoais fáceis de serem obtidas, como o número de telefone, nome da rua, nome do bairro, cidade, data de nascimento, etc;

Request for Comments (RFC) 2196 Não utilize senhas somente com dígitos ou com letras; Utilize senha com, pelo menos, oito caracteres; • Misture caracteres maiúsculos e minúsculos; • Misture números, letras e caracteres especiais; • Inclua, pelo menos, um caractere especial; Utilize um método próprio para lembrar da senha, de modo que ela não precise ser escrita em nenhum local, em hipótese alguma; Não anote sua senha em papel ou em outros meios de registro de fácil acesso;

Request for Comments (RFC) 2196 Não utilize o nome do usuário; Não utilize o primeiro nome, o nome do meio ou o sobrenome; Não utilize nomes de pessoas próximas, como da esposa(o), dos filhos, de amigos; Não utilize senhas com repetição do mesmo dígito ou da mesma letra; Não forneça sua senha para ninguém, por razão alguma; Utilize senhas que podem ser digitadas rapidamente, sem a necessidade de olhar para o teclado.

Norma BS 7799 É a tradução da NBR ISO 17799.

Planejamento Para começar a desenvolver uma política de segurança deve ser realizada uma visão abrangente dos riscos, para que eles sejam entendidos e enfrentados. Essa abordagem deve ser pró-ativa e ter uma política de segurança bem definida com atribuições e responsabilidade individuais claras que facilitem a segurança em toda a empresa.

Níveis de Política de Segurança Pode ser dividida em vários níveis. Nível mais genérico, como o objetivo que os executivos possam entender o que está sendo definido. Nível dos usuários de maneira que eles tenham consciência de seus papéis para a manutenção da segurança na organização. Nível técnico que se refere aos procedimentos específicos como, por exemplo, a implementação das regras de filtragem do firewall.

Diagrama

Riscos Identificação Quantificar Tratamento Plano de Contingência Planejar Contenções Contingências Plano de Contingência

Identificação do Risco Tentativa de especificar todos os riscos que podem afetar a segurança da informação em todo o seu ciclo de vida. Ativos importantes que serão analisados, determinando-se os riscos e vulnerabilidades associados. Utilizar ferramentas como brainstorming, entrevistas, checklists, análise de premissas, documentações de redes, equipamentos, softwares e modelo de negócio.

Quantificação do Risco Mensurar a probabilidade e o impacto do risco. Pode ser classificada na seguinte escala de ocorrência: Extremamente provável, Muito provável, Provável e Improvável. Severidade pode ser dividida em: Crítica, Moderada e desprezível. Com esse produto teremos a quantificação do risco , expresso como impacto.

Tratamento do Risco Impacto Aceitável: Impacto Aceitável com Reação: Nenhum Plano de Contenção será criado para diminuir a probabilidade de ocorrência ou impacto, nem tão pouco qualquer Plano de Contingência caso ocorra o evento do risco. Impacto Aceitável com Reação: Nenhum Plano de Contenção será elaborado, porém, um Plano de Contingência deverá ser feito caso ocorra o evento do risco. Remanejar para Terceiros: Transferir os riscos e suas conseqüências para terceiros, porém, não visa diminuir, nem tão pouco eliminar a possibilidade de ocorrência. O terceiro poderá elaborar os Planos de Contenção / Contingência.

Tratamento do Risco Mitigar: Eliminar: Reduzir a probabilidade de ocorrência e/ou impacto do risco através de criação de um Plano de Contenção do risco, que se transformará em atividades no cronograma, e Plano de Contingência. Eliminar: Reduzir a probabilidade de ocorrência do risco em 0% (zero por cento) através de criação de um Plano de Contenção do risco, que se transformará em atividades no cronograma.

Planejar as Contenções e Contingências Risco que foi enquadrado em Remanejar para terceiros, Mitigar ou Eliminar, deverá ser feito um planejamento de contenção cujo propósito é de diminuir ou eliminar a possibilidade de ocorrência do impacto do risco. Risco que foi enquadrado em Impacto Aceitável com Reação, Remanejar para Terceiros ou Mitigar, deverá ser feito um planejamento de contingência que poderá ser útil caso um evento de risco ocorra.

Pontuação dos riscos Nota Descrição do critério originário da nota Não existe definido o requisito de segurança para o risco identificado 1 Existe ou foi definido o requisito de segurança para o risco identificado. Não atende. 2 Existe ou foi definido o requisito de segurança para o risco identificado. Atende parcialmente. 3 Existe ou foi definido o requisito de segurança para o risco identificado. Atende. 4 Existe ou foi definido o requisito de segurança para o risco identificado. Foi documentado. Atende parcialmente. 5 Existe ou foi definido o requisito de segurança para o risco identificado. Foi documentado. Atende. 6 Existe ou foi definido o requisito de segurança para o risco identificado. Foi documentado. Foi comunicado às áreas interessadas. Atende parcialmente. 7 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. Atende. 8 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. O processo ou equipamento é sempre atualizado quando necessário. 9 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. Existe Auditoria / Verificação. 10 Existe ou foi definido. Foi documentado. Foi comunicado às áreas interessadas. O processo ou equipamento é sempre atualizado quando necessário. Existe Auditoria / Verificação documentada.

Critérios de Pontuação Inicial: O processo é caótico. Poucos processos são definidos e o sucesso depende de cada indivíduo. Considerado como inexistente; Repetível: Processos básicos de gestão de projetos são estabelecidos para acompanhar custo, cronograma e funcionalidade. É possível repetir sucessos anteriores; Definido: Processos documentados. Existe um padrão aprovado;

Critérios de Pontuação Gerenciado: Medidas detalhadas do processo e da qualidade do produto são realizados. O processo e os produtos são quantitativamente entendidos e controlados; Otimização: A melhoria do processo é realimentada pelo retorno medido do processo, por melhorias tecnológicas e estudos inovadores;

A equação do risco Modelando o Risco = Ameaças x Vulnerabilidades x Impacto Contra medidas Perfil do attacker, Recursos disponíveis Falhas do software, Políticas superficiais, Protocolos, Etc. Prejuízos calculados Práticas e tecnologias

Modelagem do Risco Define escopo Identifica processos críticos O papel da Política Modelagem Risco Define escopo Identifica processos críticos Identifica recursos críticos Pontos de falhas Define objetivos Testa a política Arquitetura Segurança Política Segurança Visibilidade e Controle

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.