EDUCAGAO E TRENAMENTO PARA ALAVANCAR A SUA CARREIRA Tl.exames Fundamentos da seguranca da informagao com base na ISO/IEC 27002 S Dee eee sce eae at ed Poulet as) Curso completo para vood compreender 0s concetes,prncipios e melhores préticas de ‘segurenca da informaséo beseades na norma isonce meen er ara ee Médulo 4.4 - Tépicos v ee Medidas organizacionais 7 S' ee Esta parte cobre: 44.1 Visso de medidas de seguranga organizacional 442 Sistema de gestdo de seguranca da informagdo (SGSi) 443 Seguranca de recursos humans 44.4 Concetes de gestlo de acesso 448 Segregacdo de funcbes 0 uso de senhas 4.48 Gerenciamento da continuidede de negécio Tliovcmas. 9 Toor stoeremsie Reid sretetturt cee att iceCe Na ISO/IEC 27002:2013 © que veremos nesta parte & abordado na norma nas sequintes sages 71 Seguranga fisica © do ambiente Inteodugdo aoa eas 12. Seguranca nas operacdes Referéneia normativa 13. Seguranga nas comunioagdes rmanuiengao de sistemas Estrutura desta nocma Relacionamento na cadsia de suprmentos °. 1 B 23, Terms e defnigbes ‘Aquisifo, desenvolvimento e 4 5, Polticas de seguranca da informagao 6 Caos sea Sees rere 7. Seguranga em recursos humanos x Leomr ener euxudanaionck informagao na gestéo da coe Sane pose 10, Criptogratia. 18, Conformidede Tloercrnas. 9 Tos cs aoe resis ti areteto cs ate Visdo geral de medidas organizacionais + Medidas organizacionais estéo associadas a politicas, processos de negécio, pessoas, parceros, entre outios aspectos que abrangem toda a organizagdo, Ela estdo intimamente relacionadas @ medidas tecncas. > So realzadas ou impostas pelas medidas ‘éenicas, + Englobam: A implementagdo de um Sistema de Gestio da ‘Seguranga da Informacao (SCS), > Pratcas de conscientizagao e divuigagao da ‘seguranga da informago na orgenizepao > Prétcas para iar com os desastes e como se preparar para eles 0 aspecto de comunicagso da seguranca da informacéo, 0s aspectos operacionais, provedimentos de teste fe gerenciamento da seguranca da informacao. Thieves. © Yoorcesroeremesie Peis aretetturt cee ratExemplos de medidas organizacionais Politica de seguranga da informaao > Oiganizar a seguranga da nformapao >Criar um sistema de gestio de seguranca da infarmagio (SGSI), Pessoas > Checagem e acordos de confidencialidade > Registros de funcionsrios Conscienizacdo sobre seguranca > Gerenciamento de acesso Gerenciamento de continuidade do negécio > Pranejamento de continuidade do negécio Pranejamento de recuperacao de desastre ‘Gerenciamento de comunicagio e processos operacionais >Procecimentos operacionsis > Gerenciamento de madangas > Segregapio de functes Tlcevcrnes_ 9 Tosser remiss tis areteto cs ate Iv Meas organ Sistema de gestdo de seguranca da informacao (SGSI) Sistema de gestio de seguranca da informagao(SGS!) Parte do sistema de gestdo geral, com base numa abordagem de isco da empresa, pata eslabelecer, implementar, operar, montorar, revisa, manter e melhorar 2 seguranga da informapao. Fort: tio Founda rnin Secu Incl estutura organizaciona, pica, Widades de planejamento, Fesponsablldades, praticas, procedimentos, provessos e recursos. Os requisites estabelecitos na norma ISO 27001 so a base para un SGSI e possuem tengo de serem aplcaveis todas as organizagées, independentemente do tipo, tamanho ol nalureza, Thieves.” Toorcesttceremsie eit aretetturt cee matEstrutura da ISO/IEC 27001:2013 ‘0 conteddo desta norma esté organizado em 10 sepdes: Intcocugso Escopo Referénciae normativas “Termos e defnigbes LUderanga Planejamento Apolo Operagéo °. 1 2 3 4, Contesto da organizago A 6 7 8 8, Avalagzo do desempenho 40 Meoria Anexo A Tloercrnas_ 9 Toss aoe remiss ti aratetto cs ate Iv Mela organ Criando um SGSI + Compreender a organizagao e seu contexto A organizagéo precisa determinar as quesibes externas e intemnas relevantes para a ‘sua fraidade e que afetam sua capacidade de alingir © resutado pretendido sistema de geslao de seguranga ca informagao, + Compreender as necessidades e expectativas das partes interessadas A cipanizacso deve, portant, determinar: +A. As partes interessadas que séo relevantes para o sistema de gestéo de ‘seguranga da infomacéo; +B, Os requisites dessas partes interessadas relevantes para a seguranga da Informapao + Determinar 0 escopo do SGSI A orpanizagso deve deterrinar os limites e apicabldade do sistema de gesiso de ‘segutanga da informaréo, a im de estabelecer 0 seu alcance Ao determinar esse escopo, a organizago deve considerar as questées externas & Interas, como desclo anteriormente, as interfaces e dependéncias entre as ativdades realzadas pela organizagao © as que slo execuiadas por outras| ‘organizagdes e s3o aplicavels pels organizagao em escopo. Thieves.” Yoorcestoeremesie Peis aretettut cx mateO ciclo PDCA para implantar um SGSI ‘+ Mutas organizages trabalnam com o ciclo PEVA (ou POCA em inglés) para planejar © Implementar 0 SSI: Gerenclamento da sseguranga da informacso Tlcercrnas. 9 Tosser reais ti areteto cs ate Iv Meas organ O ciclo PDCA para implantar um SGSI ‘Alcn-<2ndo apenas & politica rinepa, mas também afodos os documentos do ‘80 mplementaces (scontrles so colocados em pticawlizando a atcavaago (etoriaiatrna) ©, sompre qe pessive madipds sao realzadas para verfcarse 3 poltiea de Um reltroa respite ¢ emit para a gorénciaresponsvel para o Chet of Interation Secu Otter C150), Thieves. © Toorcesrtoeremesie Peis aretetturt cesarCer ‘Seguranga de recursos humanos Funcionéros também podem ser considerados, como bens do negéco. As pessoas © 0s seus conhecimentos & hablidades so ativos valosos © medidas so ‘ecessérias para proteger este valor. Tordos 0s funciondies sto responsdvels pela seguranca da informacéo, CConuém que a organizagao tenha procedimentos rigorosos para novos contrat e funciondros que ebam a empresa ou quando madam de funcSo dentro da propria organizapao > Conwéi no ser esquecido de aterariremover ‘eitos para recolher equipamentos & passes. > Convém que os dietos de acesso sejam contrlacos regularmente. Tlcercrnas. 9 Tosser resis ti areteto cs ate Seguranga de recursos humanos Documentar regres + Cursosicampanhas de Assegurar 2 especals para posigdes —_conscientizapdo sobre confdenciadase no especifcas ‘seguranca da termina do emprego Assinar acordo de Peal GGaranfr que todos 0s confidenciaidade Funcioniros ever retos sejam revegados ss ‘estar cientes da fe qualsquer atvos sejam Vericardo de importéncia de néo ‘evolvidos & a tomar piblias ceras coxgenizego Exame de tlagem ou de informagdes da seguranca empresa Processo discptinar pode ser eplicado para wolagbes, Tiiovomas. © Toorcesttceremesie eit aretettut cee ratIV: Meas organiza Controle de acesso Os controles de acesso so uma combinagae de controles e acesso lgico relacionados a sistemas de informacdo e controles de acesso fisico. Uma avaliap8o de rscos poderia ser usada para determinar quio restos esses cantoles de acesso deve ser de forma a ina o8 riscos dentificados relacionados com 0 acesso 208 alive. CConvém que uma potica de controle de acesso soja estabelecida, documantada e revisada com base nos Tequistos de seguranca corportiva e de intormagao, As autorizagbes so normalmente concedides pela pessoa responsivel pelo atvo, A auterzagdo & consttuida por um conjunto de permissbes: >Permisséo apenss pata ler um arquivo ~»Permissio para ler e alterar >Permissbes para realzar pagamentos a femnecedores Tcerores_ © Tsocanos rem retinas ceva ar Tipos de acesso + Alguns exemplos dos tpos de acesso que ‘ever ser levacos em conta a0 defi 08‘Gerenciamento de acesso de usustiosincorpore as atvidades que eo necessévias para imped que os ‘atvos sejam acessades por usuarios no ‘autorzados e garanir que estejam acessiveis ‘apenas para usuarios autorizados. fim de fazer sso, 6 necessatio tor as seguintes atvidades: Registro de usuario e cancetamento Provisionamento de acesso do usuirio. Gerenciamento de diretos de acesso Privilegiados. esto de informagbes de autenticacdo secretas de ususios Revisdo dos direitos de acesso do usuario Remordo ou ajste de dietos de acesso Tloercrnas. 9 Tosser resmsie ti aretetto cs ate Concessao de acesso CConceder acesso @ usuirios aulorizados emvolve uma série de etapas que incluem a ‘entiicagto, autenticagdo e a autorzagéo do usuéro para acessar um recurso. D sccrsincagao PDauienicasso AD aurorzacto fra pessoa epresera asin Osistmaveria se ounuro faz O sitemavertia op ecuce ontcago ica, por fariedo sama ero sata sos quan oaceano fom deo sini yea eam" Sintec roae smi a SMELT, Cetera Thovomas. 9 Yee sroeremsSer Responsabilidades do usuario * Para fazer com que o controle de scesso funcione, RRR ison = fundamental que os usuétos saibam suas responsabiidades em termos de manter as informagdes e aivos seguros e protegidos, Para alcancar isto, convém que ususros sejam responsdvels por suas prdprias Informapbes de aulenticapdo, protegendo essas informagdes, Um usuatio deve manier sua senna segura © ‘do compartiné-ia com outras pessoas. Se for ulizado um token de acesso, 08 Usuarios precisam tomar cuidado para no perdeo. Caso perca um token, a drea responsive! pela seguranga na ocganizagso precisa set comunicada Tloercrnas_ 9 Tosce aoe resmsie ti areteto cs ate Acesso a aplicacées e softwares Ao ctor um sistema de controle de acesso convém levar em conta quem precisa de acesso a informagao: 1+ Resringi © acesso a informagéa & sempre um ato de equllbric > Acesso tigorso pode atrapalnar 3 realizacdo de tarot. Sem restrgbes pode haver risco de pessoas no ‘utorzades teem acesso a informagées & quais ‘ao deveriam ter acesso, + Procedimentes seguros de login sdo também uma parte de controle de acesso aos sistemas © apace, > Bxemplos de medidas: + No mostrar o nome de usustio padtio em ‘6880 de eo de login + E-caso um nome de usuiro ou senha fem ‘dgltacos incoretamente, 0 sistema nio deve apontar qual dos dois esiava de fatoincorreto. + Permitr a0 usuario consuitar quais foram seus Uitimos acessos, Tliovmas_ © Toorcestceremesie Peis aretetturt cessjstema de gerenciamento de senhas fim de manter as senhas seguras, um sistema de gerenciamento de senhas pode er ullzado. + € uma bea prética limtar a uiizagdo de programas de utiarios prilegiadas, como ferramentas utlizades pelos administradores pare culdar do sistema de eanhas. ‘A fim de manter as apicagdes © os sistemas de seguranga protegidos contra atracbes no aulorizadas ou acidentals,¢ famém importante ter rigidos controles de acesso em relaeSo 0 codigo fone e informagées relacionadas. sto ajuda a proteger a propiedade intelectual Tlcercrnas_ 9 Tosser remiss areteto cs ate ‘iat ee Sistema de gerenciamento de senhas ‘Conwém que o sistema de gerenciamento de senha: 1Recom: + ebrigue 0 use individual de 1D de usuario e senha para manterresponsabildades + permita que os usuarios setecionem e modifquem suas préprias sens, Incuindo um Procedimento de confrmagso para evtar eros + cbrigue a escatna de sennas de qualia + obyigue os usuérios a mudarem a suas senhas temporétias no primero acesso 20 sistema * force as mudancas de senha a intervalos reguares, conforme necessério + mantenha um registro des sentas anteriores utiizadas e bioqueie @ reutiizarao + no moste as senhas na tela quando forem dgtadas ' armazene os arquivos de senhe separadamente dos dados do sistema da apicacso + armazene ¢ transmita as senhas de forma protegida, Thieves.” Toorcestceremesie Peis aretetturt cess sige 29 10Ce Formas de controle de acesso légico v Um numero de diferentes conceitos estio dsponiveis para implementar 0 contole de acessoe dentro de um sistema automatizado. © tipo de conttole de acesso que deve ser apicado a um avo necessita ser determinado elo proprietario do tivo, Uma vez que o po de controle de acesso ¢ escalhido, este precisa ser implementado pelo desenvolvedor do sistema ou administrador do sistema, (0s prncipsis tipos de controle de acesso so Tlcercrnas. 9 Tosser remiss ei aretet cs ate Formas de controle de acesso légico Controle de Acesso Discricionério(CAD) >Um propretrio de dados ¢ usuatios individuals sto capazes de defn quais ‘2cess0s serdo permiidos acs seus dados, ndependentemente da pollica, com seus réprios cities, 0 controle de acesso ¢ feto no priprio objeto a ser protegido (arquivo, cretério, ‘mdulo de um aplcaivo, et.) Controle de Acesso Mandatérlo (CAM) > Peaissdes sdo derivadas de uma politica, > Exemplo: uma poitica pode afrmar que um usuario pode acessar um dietrio ‘somente se el esta trabalhando no projeto relaconado, Controle de Acesso Baseado em Papels(CABP) As atrbigbes sBo baseedas no papel do indviuo na organizacto. > Exemplo: 0 gerente do projeto tem acessso a todas as informagdes do seu projeto -J8 08 membros tem acesso limitados, Controle de Acesso Baseado em Requisitos(CABR) ~ Cada indvido recebe requistos de acesso indvidvalizados. € mals flexivel que @ CABP. Thieves.” Toorcestceremesie Pei aretetturt cee rat "1CConvém que tarefes eresponsabiidades sejam separadas a fim de evar a possibiidade Ge uso indevido e ateracdes ndo autorzadas ou néo Intencionals de alvos da organizacéo. r Na segregacio de tarefas, uma andise é realized stor Gerente_Operador para saber se uma pessca tem tareas de tomada e decisso, executives ou de controle, Assim determinase se 8 pessoa precisa de acess0 & Informacio © aceeso desnecessério aumenta o ricco de as informagses serem utizadas, alterades ou estruidas de forma itencional ou ndo. Esse é o Principio "need to know” (saber apenas 0 que for necessstio) Uma vez determinadas as fungées @ necessidades de acesso dos funcionaroe, a8 tarelae podem ser Givcldas a fm de reduair 06 riscos para @ corganizaséo. Tloercrnas_ 9 Tosser remiss areteto cs ate Continuidade do negécio * A.cada ano, as empresas de todo 0 mundo so 3 itemason Sct stings por desastres que tém enorme Impacto sobre a cisponblidade de seus sistemas. Exempos: Eos PE oes eerees) energia Para uma oxganizagdo que depende de vires aves para vealzar suas aidades dias, qualquer fala ou auséncia destes atvoe acamata em problemas, PPensar com antecedéncia sobre a continuidade dos processos de trabalho & essencial para uma organizacéo Theovomas. 9 Yorcesroerems 12WW; Media organiza Por que pensar na continuidade do negécio? ‘continua do nego & importante par EER Proto dos process de negslo : Conidae de seri — Seva de mesa Leto Pobioace Tcexornes_ © Tsocanos rem retin erat ceva art Poe ee tyr Pane ester Thiovomas ”Toorcestat=: Mechs organic O que é continuidade de sistemas de informacao? + Denpte access cessemasce Sse er Varios requistos podem ser imposios 2 esta isponbiidade. Exemplo Pera uma prefetura, 2 cisponibiidade do banco de dados municipal € de grande importincia. Se ‘io estver cisponivel, um grande nimero de funciondtios nao seria capaz de realizar 0 seu trabalho. No entanto, se este sistema estava Inlsponivel somente a note, iso repreeentaria. ‘pouse ou nenhum problema, Os requstos de disponbiiiade podem variar de ‘corse com 0 conteito da organcagao, Tloercrnas_ 9 Toscs aoe resis ti arateto cs ate Ee O que sao desastres? ‘A falha de um sistema simples podria ser BN 2 israscr eur considerada como um desaste Um desastre néo que 6 necessariamente uma Inundagdo ou um ataque terrorist A falna do sistema sobre o qual a organzacdo epende tanto para realizar seu trabalho didro pode set vista tamaém come um desasre, Exempio: Uma fatha em uma placa de rede no servor de ‘ema pode ser um desastre total. Enquanto cesta incisponbiidade exist, a equipe de vendas no seré capaz de realizar 6 seu trabalho Catretamente, pois depende dos e-mails para realzar seu trabalho, Thieves,” Toorcestoeremesie eit aretetturt cee mata 14Como reagir a um desastre? + Eimportante, portato, que os provedimentos ciaros & ceicazee estejam preparados para defini quale ages ever ser tomadas, por exemple: Voc’ sabe que, em caso de falha do sistema de Informapdo, vocé tem que enrar em contato com 0 helpdesk. > Vocé sabe onde as saidas de emergéncia estio no edificio, > Voc8 sabe para quem telefonar em caso de um Incéndi, da atvacdo do sistema antiineéndio ou cde um alerta de Bomba, +O felpdesk ou a equipe de emergéncia inlerna precisam saber 0 que fazer para cada tipo de ale, + Os funcioniros do helpdesk geralmente possuer uma lista de proridades que documenta quem eo que tem de ser ajudado e quando, bem como quais as organizagbes ‘que devem ser contatadas para cada aleta diferente. Tloercrnas_ 9 Tosser remiss areteto cs ate ‘i025 Iv Meas organ Planos de continuidade v Em seguranga da informago, 0 gerenciamento de continuidade & normalmente dividido em dois componentes cistnios, mas estretamente relacionados: ers Plano de oo) Gh + Para minimizar as consequéncias de um desastre @ tomat as medias rnecessérias para assegurar que os {uncioniros, 08 atvos de negécio eos + provessos de negécio estejam ovamente aispenivets dentro de um tempo aceitével. + Destina-se & recuperacao imediatamente apés um desaste. Thieves. © Yoorcesroeremesie Peis aretetturt cesar rT 1 Para organizar métodos e procecimentos no €2s0 de falhas que duram um maior petiodo de tempo, Organiza um local alemativo onde © trabalno pode ser realzado enguanto 0 local original &reconstruido. focado em manter a empresa funcionando, ainda que parcsimente, @ patti do momento em que o desastre corre até quando a empresa estver totalmente recuperada,IV: Meas organiza Testando o PCN Testes regulares so necessérios pare conscienzar 08 funconarios de come ager caso de desastre CConvém que toda: mudanga feta em processos de negécio sea inclida nestes planos, pois un plano desatualizado ndo vai audar a organizagdo 2 tomar-se novamente operacional. E essencial que os procedimentos sejam testados em simulacdes de situacbes reals, a fm e veficar se as meslidas sio covretas © ecazes, Tcerares_ © Toso anton rem retinas cere ar + deal para empresas com muita fas, mas com um tnieo data center + Todos 0s dados que entram no data center principal também ‘Bo inceidas no data canter secundaria, |. Consttu-se basicemente em um ou mais caminnes contend todos os equipamentos necessaros pars funcionar como um Set data center temporaria, J. Funcionaios-chave da organizagéo podem ter lcais de ‘rabalno alternatives ainbuldos em outas Milas Ou esertéros compartinados, + Convém que os planos incluam maneras de substtuir pessoas- chave 16ISO/IEC 27031 para continuidade de TI + Fomnece orientagdes sobre o8 conce'tos © principios por tre do papel da tecnologia da informagao © + A noma: Sugere uma estrutura para qualquer orpanizapso ptvada, govemamental enao-governamental dentitca © especiica todos os aspectos felevantes, inclundo ettéres de desempenho, esenho @ delalhes de implementagdo, para rmethorar a pronto das TIC como parte do 'SGSI da organizag0, ajucando 2 garanir 2 Contnuidade dos negéeies. Permite que uma organizago mega a sua Continuidade de TIC, seguranca e, portanto, ‘sponiblidade para sobrevver a um desastre de lua forma consistente ¢ resonhecica Tloercrnes_ 9 Tosser rome ti aratett cs ate v Minissimulado = Quis a questions ast Moe: jul 26, 201638 07:55 PM PROPERTIES (On passing, "nish button: On filing, "Finish button: Goes teen Sie Allow wert leave uit sc snytine User may vow sides afterqutt Aion tine Show in menu as: Muliole temsFim do médulo Pronto, vocé finalizou este médulo. Leia as Instrugées abaixo: + Recomendamos neste momento fazer uma revisdo dos sles para confirmar o entendimento e tudo o que fol apresentado neste mécul. este médulo. Voce pode clicar no (X) da janeta para fechar > 7 ‘A sua nota obtida no teste do slide anterior serd texbida na lista dos méculos. Se isto no corer & Porque voo8 esta utiizando um navegador Incompativel. Utiize apenas os navegadores Chrome ou Firefox para que o script de captura a rola funcone, Tcerores_ © Tos arton remeron erat ceve ar 18