A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

POLITICAS DE SEGURANÇA

PublicouElisa Canela Coimbra Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "POLITICAS DE SEGURANÇA"— Transcrição da apresentação:

1 POLITICAS DE SEGURANÇA

2 SUMÁRIO Definição da Política de Segurança
Considerações importantes para o desenvolvimento da política Etapas para o desenvolvimento da política Estudo das Fases de uma política

3 Definição da Política de Segurança
conjunto de regras e padrőes assegura as informações e serviços importantes para a empresa (proteção conveniente de hardware e software) garantir a confidencialidade, integridade e disponibilidade da informação

4 Considerações importantes para o desenvolvimento da política
política de segurança é uma ferramenta previni problemas legais documenta a aderência ao processo de controle de qualidade Importante Formação de Comitê de Segurança da Informação Constituição: Profissionais de diversas áreas (informática, engenharia, RH)

5 Considerações importantes para o desenvolvimento da política
Comitê de Segurança da Informação cataloga as informações da organização agrupando-as por categorias contribui para a confecção da política

6 Considerações importantes para o desenvolvimento da política
Políticas, normas e procedimentos simples compreensíveis homologadas e assinadas pela Alta Administração permitir a sua implantação por fases alinhadas com as estratégias de negócio da empresa, padrőes e procedimentos já existentes orientadas aos riscos (medidas de proteção) Flexíveis (moldáveis aos novos requerimentos de tecnologia e negócio) Protetores dos ativos de informaçăo, priorizando os de maior valor e de maior importância Positivas e năo apenas concentradas em açőes proibitivas ou punitivas.

7 Etapas para o desenvolvimento da política Etapas
1- Levantamento de informações 2- Desenvolvimento do conteúdo das Políticas e Normas de Segurança 3- Elaboração dos Procedimentos de Segurança da Informação 4- Revisão, Aprovação e Implantação das Políticas, Normas e Procedimentos de Segurança da Informação

8 Etapas para o desenvolvimento da política
Fases Descrição Fase I Levantamento de Informações 1.1 Obtenção dos padrões, normas e procedimentos de segurança já existentes para análise 1.2 Entendimento das necessidades e uso dos recursos da tecnologia da informação (sistemas, equipamentos e dados) nos processos de negócios 1.3 Obtenção de informações sobre os ambientes de negócios: Processos de negócios; Tendências de mercado; Controles e áreas de risco 1.4 Obtenção de informações sobre o ambiente tecnológico: - Workflow entre ambientes Redes de aplicações Plataformas computacionais

9 Etapas para o desenvolvimento da política
Fase II Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 2.1 Gerenciamento da política de segurança: Definição da segurança da informação; Objetivo do gerenciamento; Fatores críticos de sucesso; Gerenciamento da versão e manutenção da política Referência para outras políticas, padrões e procedimentos 2.2 Atribuição de regras e responsabilidades: Comitê de segurança da informação; Proprietário das informações; Área de segurança da informação; Usuários de informações; Recursos humanos; Auditoria interna. 2.3 Critérios para classificação das informações: Introdução; Classificando a informação; Níveis de classificação; Reclassificação; Armazenamento e descarte;

10 Etapas para o desenvolvimento da política
Cont. Fase II 2.4 Procedimentos de segurança de informações: Classificação e tratamento de informações Notificação e gerenciamento de incidentes de segurança da informação Processo disciplinar Aquisição e uso de hardware e software Proteção contra software malicioso Segurança e tratamento de mídias Uso de Internet Uso de correio eletrônico Utilização de recursos de TI Backup Manutenção de teste e equipamentos Coleta e registro de falhas Gerenciamento e controle da rede

11 Etapas para o desenvolvimento da política
Cont. Fase II 2.4 Procedimentos de segurança de informações: (Continuação ) Monitoração do uso e acesso aos sistemas Uso de controles de criptografia e gerenciamento de chaves Controle de mudanças operacionais Inventário dos ativos de informação Controle de acesso físico às áreas sensíveis Segurança física Supervisão de visitantes e prestadores de serviço

12 Etapas para o desenvolvimento da política
FASE III Elaboração dos Procedimentos de Segurança da Informação 3.1 Pesquisa sobre as melhores práticas em segurança da informação 3.2 Desenvolvimento de procedimentos e padrões, para discussão com a Alta Administração, de acordo com as melhores práticas de mercado e com as necessidades e metas da organização 3.3 Formalização dos procedimentos para integrá-los às políticas corporativas FASE IV Revisão, Aprovação e Implantação das Políticas, Normas e Procedimentos de Segurança da Informação 4.1 Revisão e aprovação das políticas, normas e procedimentos de segurança da informação 4.2 Efetiva implantação das políticas, normas e procedimentos de segurança da informação por meio das seguintes iniciativas

13 Etapas para o desenvolvimento da política
Cronograma sugestão Quinzenas 1 2 3 4 5 6 7 8 Fase 1 – Levantamento de Informações Fase 2 – Desenvolvimento do conteúdo das políticas e normas de segurança Fase 3 – Elaboração dos procedimentos de segurança da informação Fase 4 – Revisão, aprovação e implantação das políticas de segurança da informação e palestras

14 Estudo das Fases de uma política
Fase I –Levantamento de Informações 1.1 - Obtenção dos padrões, normas e procedimentos de segurança já existentes para análise Colher e analisar processos já existentes adequá-los, se necessário, aos processos atuais da instituição.

15 Estudo das Fases de uma política Fase I –Levantamento de Informações
Modelo de questionário para entendimento e levantamento dos padrões, normas e procedimentos de segurança já existentes Data: Participantes: Áreas: Existe um responsável formalmente designado para a Segurança das informações? O que se deseja proteger e do que/quem? Existem políticas corporativas e/ou leis que deverão ser respeitadas? Quais são elas? (padrões, normas e procedimentos) A organização atribuiu proprietários às informações? (decisões de liberação de acesso, definições de perfis de usuários e classificação da informação) Existem recursos disponíveis para investimento na área de Segurança da Informação?

16 Estudo das Fases de uma política Fase I –Levantamento de Informações
1.2 - Entendimento das necessidades e uso dos recursos da tecnologia da informação (sistemas, equipamentos e dados) nos processos de negócios Colher informações referentes às necessidades e uso recursos da tecnologia da informação

17 Estudo das Fases de uma política Fase I –Levantamento de Informações
Modelo de questionário para entendimento e levantamento das necessidades e uso dos recursos da tecnologia da informação Data: Participantes: Áreas: - Os recursos empregados para a Tecnologia da Informação são suficientes? Caso negativo, por quê? - Como são empregados os recursos destinados à Tecnologia da Informação? (preparação de pessoal, equipamentos, software) - Os recursos empregados para a Tecnologia da Informação atendem aos processos de negócios no ponto de vista setorial da organização?

18 Estudo das Fases de uma política Fase I –Levantamento de Informações
1.3 - Obtenção de informações sobre os ambientes de negócios processos de negócios tendências de mercado controles e áreas de risco Obter informações sobre:

19 Estudo das Fases de uma política Fase I –Levantamento de Informações
Modelo de questionário para entendimento e levantamento dos processos de negócios, tendências de mercado, controles e áreas de risco Data: Participantes: Áreas: Quais são os processos de negócios da organização? Quais são as tendências de mercado em vista dos processos de negócio? Quais são os controles e áreas de risco?

20 Estudo das Fases de uma política Fase I –Levantamento de Informações
1.4 – Obtenção de informações sobre o ambiente tecnológico Obter informações sobre: Ferramentas para gerenciamento eletrônico de dados (workflow) entre ambientes Redes de Aplicações Plataformas Computacionais (software e hardware)

21 Estudo das Fases de uma política Fase I –Levantamento de Informações
Modelo de questionário para entendimento e levantamento do ambiente tecnológico Data: Participantes: Áreas: Alguma ferramenta de workflow é usada na organização? Qual? Como está estruturada a Rede de Aplicações na organização? Quais são as plataformas computacionais usadas pela organização? (software e hardware)

22 Estudo das Fases de uma política
Fase II –Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 2.1 – Gerenciamento da Política de Segurança 1- Definição da segurança da informação 4- Gerenciamento da versão e manutenção da política 2- Objetivo do gerenciamento 3- Fatores críticos de sucesso 5- Referência para outras políticas, padrões e procedimentos

23 Estudo das Fases de uma política
Fase II –Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 1-Definição da segurança da informação breve definição sobre segurança da informação objetivo(s) que norteará(ão) o gerenciamento da política de segurança na organização 2-Objetivo do gerenciamento 3- Fatores críticos de sucesso informações que contribuem para o sucesso da Política de Segurança Ex: Formalização dos processos Formalização de instruções de trabalho Utilização de tecnologias de segurança (Firewall, IDS, VPN, criptografia etc..)

24 Estudo das Fases de uma política
Fase II –Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 4- Gerenciamento da versão e manutenção da política - setor(es) da organização que deve(m) zelar pela atualização das políticas de segurança - revisão das políticas antigas 5- Referência para outras políticas, padrões e procedimentos - incluir referências de documentação que possam apoiar a política (regulamentos internos, procedimentos de segurança adotados com base em ISO, etc..)

25 Estudo das Fases de uma política
Fase II –Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 2.2 – Atribuição de regras e responsabilidades 1- Comitê de segurança da informação 4- Usuários das informações 2- Proprietário 3- Área de segurança da Informação 5- Recursos humanos

26 Estudo das Fases de uma política
Fase II –Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 2.2 – Atribuição de regras e responsabilidades Divulga e estabelece os procedimentos de segurança. Responsabilidades do comitê: Aprovar políticas, normas e procedimentos Designar, definir ou alterar responsabilidades Aprovar novos controles de segurança Dar suporte às iniciativas da área de Segurança da informação (Outros => Ver apostila) 1- Comitê de segurança da informação Profissionais da área de negócio responsáveis pela autorização do acesso às informações da organização. Responsabilidades: Domínio sobre as informações geradas em sua área de negócio e atuação Identificar e classificar as informações conforme critérios definidos pela política vigente na organização Periodicamente revisar as informações classificadas (Outros =>apostila) 2- Proprietário das informações

27 Estudo das Fases de uma política
Fase II –Desenvolvimento do Conteúdo das Políticas e Normas de Segurança 2.2 – Atribuição de regras e responsabilidades Protege a informação e minimiza os riscos. Responsabilidades: Fazer cumprir a Política de Segurança Definir, implementar e revisar os controles (outros => apostila) 3- Área de segurança da Informação Qualquer indivíduo com acesso às informações da organização (funcionário ou contratado) Responsabilidades: Entender e seguir a política assegurando o seu cumprimento Cumprir as regras de segurança determinadas pelas políticas Utilizar as informações apenas para os propósitos do negócio (outros => apostila) 4- Usuários das informações 5- Recursos humanos Responsabilidades: Estabelece as sanções e penalidades a serem aplicadas Comunicar à área de TI, em especial a de segurança, a ausência ou desligamento de funcionários (outros => apostila)

Carregar ppt "POLITICAS DE SEGURANÇA"

Apresentações semelhantes

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Gerência de Riscos em Companhias de Seguro

Gerência de Riscos em Companhias de Seguro
Administração e segurança de redes

Administração e segurança de redes
Administração e segurança de redes

Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
PETI Planejamento Estratégico de TI

PETI Planejamento Estratégico de TI
Auditoria de Sistemas ● Introdução

Auditoria de Sistemas ● Introdução
Projeto em Engenharia de

Projeto em Engenharia de
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
Sistemas de Gestão e Segurança da Informação

Sistemas de Gestão e Segurança da Informação
TSDD Teste de segurança durante o desenvolvimento.

TSDD Teste de segurança durante o desenvolvimento.
1 SIPE – ETAPAS Como é uma atividade demorada e que, muitas vezes, demanda recursos consideráveis como consultores, reuniões, viagens, etc., o Planejamento.

1 SIPE – ETAPAS Como é uma atividade demorada e que, muitas vezes, demanda recursos consideráveis como consultores, reuniões, viagens, etc., o Planejamento.
Código de Ética – Auditoria de Sistemas

Código de Ética – Auditoria de Sistemas
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
2º Bimestre Os testes de Auditoria

2º Bimestre Os testes de Auditoria
FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES

FORMAÇÃO DE AUDITORES INTERNOS RONALDO COSTA RODRIGUES
EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ

EXEMPLO DE FLUXO PARA O DESENVOLVIMENTO DE ANÁLISE CRÍTICA DO SGQ
Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.

Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.
Paulo Silva Tracker Segurança da Informação

Paulo Silva Tracker Segurança da Informação

Apresentações semelhantes

Anúncios Google