Segurança Lógica e Física

2- Elaboração das Políticas de Segurança da Coorporação

Copyright © 2012 by John Wiley & Sons, Inc. All rights reserved.

Cyber Security PolicyGuidebook Bayuk et all

Deve-se possuir normas para definição de uma política de segurança da informação na organização.

A Política de Segurança da Informação é composta por um conjunto de regras e padrões que definem o que deve ser feito para garantir às informações da organização os princípios de 1. confidencialidade, 2. Disponibilidade 3. integridade, 4. não repúdio, 5. Autenticidade 6. privacidade.

Sistema DeGestão Da Segurança Da Informação (SGSI) ISO 17799 1- Políticas de Segurança

IES - SEGURANÇA LÓGICA E FISICA

3

6 princípios da segurança

SegurançaISO/IEC

17799:2005

ConfidencialidadeDisponibilidade

IntegridadeIrretratabilidad

e ou não repúdio

Autenticidade

Privacidade

Redes Sociais, e-comerce

Princípio da “Generalidade Focada”• Cada processo a ser analisado para elaboração dos

documentos deve ser genérico, evitando marcas, nomes ou versões de sistemas.

• Ex.: Não citar “CPUs octacore” evita que você tenha que refazer os documentos com muita frequência.

• Todos os termos devem ter definições em um documento separado, quando são aplicáveis ao conjunto do projeto de políticas

• Em cada política, termos específicos devem ser definidos com clareza.

• Um documento pode fazer referência a outros.

IES - SEGURANÇA LÓGICA E FISICA

5

Conceito de segurança 1

• “Diz-se que um sistema é seguro se ele foi alterado pelo proprietário com a intenção de se reduzir a frequência ou a severidade dos eventos adversos"

Handbook of Information and Communication Security- Peter Stavroulakis,Mark Stamp (Eds.) - 2010

Como construir uma boa política de segurança fornece as bases para a implementação bem sucedida dos projetos de segurança futuros,

Esta é, sem dúvida, a primeira medida que deve ser tomada para reduzir o risco deutilização inaceitável de qualquer dos recursos de informação da empresa.

O primeiro passo para aumentar a segurança de uma empresa é a introdução de um título executivo, informando a equipe sobre os vários aspectos de suas responsabilidades, o uso geral dos recursos da empresa e explicando como informações sensíveis devem ser manuseados.

Elaboração das políticas é o primeiro passo para projetos de segurança

Pessoa, again

• A política também descrever em detalhes o significado de uso aceitável, bem como as atividades proibidas.

• O desenvolvimento (e a boa execução) de uma política de segurança é altamente benéfica, pois não só aglutina todos os funcionários para participar no esforço da empresa para proteger suas comunicações,

• mas também ajudar a reduzir o desleixo e a sensação falsa de segurança.

IES - SEGURANÇA LÓGICA E FISICA

8

Basicamente, a ISO 27001 estabelece os requisitos para a forma como uma organização pode implementar os processos/mecanismos/técnicas/dispositivos de segurança da norma ISO 17799:2005.

"Esta Norma foi preparada para fornecer um modelo para a criação, implantação, operação, monitoramento, revisão, manutenção e melhoria de um

Sistema de Gestão de Segurança da Informação (SGSI). “

Implantação

Revisão

Monitoramento

Melhoria

CriaçãoOperação

Manutenção

5 aspectos das metas de políticas deSegurança

1. Cyber Governance 2. Cyber User 3. Cyber Conflict 4. Cyber Management 5. Cyber Infrastructure

Políticas - Taxonomia

Norma de Políticas de Segurança:

ISO 70431-2“Nunca se aproxime de uma criatura Que possua esse nível de ameaça a INTEGRIDADE”

Segurança nas Pessoas

COMITÊ EXECUTIVOPresidido pelo CIO

Comitê de AuditoriasCoord: Gerente de

Auditorias

Comite de SegurançaCoord: Chief Security

Officer (CSO)

Gerente de Segurança da Informação

Administração da Segurança

Políticas e Aderências (Normas, Leis,

Padrões)

Gerência de Risco e Contingência

Operações de Segurança

Comitês Locais de Informação LSC

1 por local

Donos dos Ativos de Informação

(IAOs)

Gerentes de Segurança do Site

(SSMs)

VigilantesGerência de

suprimentos (energia, água, outros)

Comite de RiscosCoord: Gerente de

Riscos

Políticas de segurança como parte de portfólio

• Comos os Serviços (ITIL)• Os Projetos (PMBOK)• As políticas são normatizadas, e devem ser

testadas e auditadas

Processos de gerencia

Dinâmica:Elaborar, inclusive com a carta de Abertura, as políticas de segurança para os 4 campii do IES na grande Florianópolis, abrangendo as seguintes áreas:

CIO - CERUTTI

Comitê Geral de segurança

Carta de abertura e integração dos documentos

Politica para sistemas CORE Segurança Física Segurança de Email Segurança de Internet Politica de autenticação

da rede

GabrielLucasDiegoWaltencirAlex

Felipe GustavoMateus FernandesHenriqueGiovane

HernanPauloFlavioNivaldoBeletti

AlessandraGiseleSthéfanyMarianeEvandro

Bruno ximbinhaGuilherme AritanaKopplin gotinhaMatheus UrsinhoDavid boca de Havaiana

PatríciaCarlosAndréa

Gerente Projeto N-1

Gerente do Projeto 1

Coordenador

Relator Revisor

Pesquisador

Auxiliar

Gerente do Projeto N+1

Estrutura dos Comitês

Interação com Comitê Geral

Cenário• Auditoria de Pentesters em 18 meses• Auditoria externa das políticas em 12 meses

1

4 3

2

0.0.0.0RCT

10 Mbps

10 Mbps10 Mbps

40 Mbps

1. Ciência de Dados – Data Science2. Comunicação M2M3. INTELIGENCIA GEOESPACIAL4. Internet das Coisas5. Big Data – Hadoop (apache)6. Cidades Inteligentes (smart Cities)7. Video Analytics

Cerutties.wp.