1

2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança de Tecnologias de Informação O que é a segurança da informação ITSecurity Best Practices (BS7799) Fontes de Informação Agenda

3 O que esperamos das TI ?

4 Como alcançamos os objectivos das TI ?

5 O que é a Segurança das TI ? Meios utilizados para atingir um nível de risco residual aceitável para a organização. O valor que a informação tem para a organização tem de ser protegido. Este valor é determinado em termos da confidencialidade, integridade e disponibilidade da informação. Confidencialidade: protecção de informação priveligiada contra a sua revelação ou intercepção não autorizada. Integridade: protecção da exactidão da informação e do software contra a sua alteração não autorizada. Disponibilidade: garantia de que a informação e os serviços disponibilizados pela infraestrutura de TI estão disponiveis quando solicitados.

6 ITSec Best Practices (BS7799) A norma BS7799 juntou várias práticas de segurança numa metodologia única que se estende desde os principios mais abrangentes da segurança até a linhas especificas para a implementação de um sistema de gestão de segurança da informação(SGSI). A norma BS7799 Part I (ISO/IEC 17799:2000) serve como documento de referência para a implementação de um SGSI e é composta por 10 secções com um total de 127 controlos de segurança. BS7799 Part I (Code of Practice) ~ controlos de segurança A norma BS7799 Part II especifica os requisitos para estabelecer, implementar e documentar um SGSI. BS7799 Part II (Management Standard) ~ processos de segurança

7 1- Política de Segurança Proporcionar uma gestão directiva e de suporte à segurança da informação. 2- Organização da segurança Gerir a segurança da informação na organização Manter a segurança dos activos e mecanismos de processamento da informação organizacional acedidos por terceiros; Manter a segurança da informação quando a responsabilidade pelo processamento da mesma for sub-contratado a outras organizações. BS7799 Part I (Code of Practice)

8 3- Classificação e controlo dos activos Manter um nível de protecção apropriado dos activos da organização e garantir que os activos de informação são alvo de um grau de protecção apropriado. 4- Segurança do pessoal Reduzir os riscos de erro humano, roubo, fraude ou má utilização das instalações; Garantir que os utilizadores estão cientes dos cuidados a ter e das ameaças existentes à segurança da informação, e que os mesmos dispõem de equipamentos que lhes permitam dar suporte à política de segurança da organização no curso do seu trabalho; Minimizar os danos provocados pelo mau funcionamento ou ocorrência de incidentes relacionados com segurança e aprender com os mesmos. BS7799 Part I (Code of Practice)

9 5- Segurança fisíca e ambiental Prevenir o acesso não autorizado, danos ou interferência na informação e nas instalações fisícas do negócio; Prevenir a perda, danos ou comprometimento dos activos e a interrupção nas actividades do negócio; Prevenir o comprometimento ou roubo da informação e dos mecanismos de processamento da mesma. 6 – Gestão de computadores e redes Garantir a utilização correcta e segura dos mecanismos de processamento da informação; Minimizar o risco de falhas nos sistemas; BS7799 Part I (Code of Practice)

10 6 – Gestão de computadores e redes (cont.) Proteger a integridade das aplicações e da informação; Manter a integridade do processamento e comunicação da informação; Garantir a salvaguarda da informação em redes e a protecção da infra-estrutura de suporte; Prevenir danos provocados aos activos e interrupções nas actividades do negócio; Prevenir a perda, modificação ou má utilização da informação trocada entre organizações. BS7799 Part I (Code of Practice)

11 7- Controlo de Acesso ao sistema Controlar o acesso á informação; Impedir o acesso não autorizado aos sistemas de informação; Assegurar a protecção dos serviços ligados em rede; Impedir o acesso não autorizado a sistemas; Detectar actividades não autorizadas; Garantir a segurança da informação aquando da utilização de computadores protáteis ou mecanismos de acesso remoto à rede. BS7799 Part I (Code of Practice)

12 8- Desenvolvimento e Manutenção dos sistemas Garantir a inclusão de mecanismos de segurança nos sistemas operacionais; Prevenir a perda, modificação ou má utilização dos dados dos utilizadores em aplicações dos sistemas; Proteger a confidencialidade, auntenticidade e integridade da informação; Assegurar que os projectos informáticos e actividades de suporte são levados a cabo de forma segura; Manter a segurança dos dados e aplicações dos sistemas. BS7799 Part I (Code of Practice)

13 9- Planeamento da continuidade do negócio Reagir no caso de se verificarem interrupções nas actividades ou processos criticos do negócio, provocados por falhas graves ou desastres. 10 – Adequação Evitar que sejam quebradas disposições impostas por quaisquer leis civis ou criminais, obrigações estatutárias, regulatórias ou requisitos de segurança; Assegurar a adequação dos sistemas aos standards ou políticas de segurança organizacionais; Maximizar a eficácia e minimizar a interferência com/do processo de auditoria de sistemas. BS7799 Part I (Code of Practice)

14 BS7799 Part II (Management Standard)

15 BS7799 Part II (Management Standard)

16 Resumo

17 Q&A