You are on page 1of 208

Treinamento

ISO/IEC 27002:2013 Foundation


rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 1

ISO/IEC 27002:2013 Foundation


Nvel
Foundation

Prof. Adriano Martins

ESTE DOCUMENTO CONTM INFORMAES


PROPRIETRIAS,
PROTEGIDAS
POR
COPYRIGHT.
TODOS
OS
DIREITOS
RESERVADOS. NENHUMA PARTE DESTE
DOCUMENTO PODE SER FOTOCOPIADA,
REPRODUZIDA OU TRADUZIDA PARA OUTRO
IDIOMA SEM CONSENTIMENTO DA PMG
ACADEMY LTDA, BRASIL.

Clique Aqui para Iniciar

Copyright 2012 - 2013, PMG Academy. Todos os


direitos reservados.

www.pmgacademy.com

Mdulo 1

Maior Aproveitamento
Assistir no mnimo 2 vezes o Treinamento
Realizar os Exerccios no final de cada mdulo
Breve leitura dos Termos no Glossrio
Executar todos os Simulados
Dica para Questes e Simulados:
Corrigir as questes que esto erradas e PRINCIPALMENTE as CORRETAS

Mdulo 1

Programao
Mdulo 1

Introduo

Mdulo 2

Informao, Objetivos de Negcios e Requisitos de Qualidade

Mdulo 3

Riscos e Ameaas

Mdulo 4

Ativos de Negcio e Incidentes de Segurana da Informao

Mdulo 5

Medidas Fsicas

Mdulo 6

Medidas Tcnicas (Segurana de TI)

Mdulo 7

Medidas Organizacionais

Mdulo 8

Legislao e Regulamentos

Mdulo 9

Simulados

Mdulo 1

Sobre o EXIN

www.exin-exams.com

Mdulo 1

Esquema de Qualificao ISO/IEC 27002:2013


Expert Level
Information Security Management Expert based on ISO/IEC 27002

Advanced Level
Information Security Management Advanced based on ISO/IEC 27002
Foundation Level
Information Security Foundation based on ISO/IEC 27002

Mdulo 1

Propsito do Curso
Globalizao

TI: Ativo valioso

Informao confivel

Mdulo 1

Pblico Alvo

Qualquer pessoa na organizao que manuseia informaes.


tambm aplicvel a proprietrios de pequenas empresas a quem
alguns conceitos bsicos de Segurana da Informao so
necessrios. Este mdulo pode ser um excelente ponto de partida
para novos profissionais de segurana da informao.

Mdulo 1

Pr-Requisitos

Mdulo 1

Detalhes do Exame
Pr requisitos:
Nenhum

Equipamentos
eletrnicos permitidos:

Tipo de exame:
Mltipla escolha em
computador ou
impresso em papel

no

Com consulta:
no

Mnimo para aprovao:


65 % (26 de 40)

Tempo destinado ao exame:


60 minutos

Nmero de questes:
40

Mdulo 1

Formato do Exame
Contedo
10% - Segurana da Informao
2,5% - O conceito de Informao

30% - Ameaas e Riscos


15% - Ameaas e Riscos

2,5% - Valor da Informao

15% - O Relacionamento entre Ameaas,


Riscos e Confiabilidade da Informao

5% - Aspectos de Confiabilidade

10% - Abordagem e Organizao


2,5% - Poltica de Segurana e Segurana da Organizao
2,5% - Componentes da Segurana da Organizao

5% - Gerenciamento de Incidentes
40% - Medidas
10% - Importncia das Medidas
10% - Medidas de Seguranas Fsicas
10% - Medidas de Segurana Tcnica
10% - Medidas Organizacionais

10% - Legislao e Regulamentaes

Mdulo 1

Viso Geral

Medidas
Fsicas
Tcnicas
Organizacionais
Informao

Segurana

Proteo

Conexo

Mercadoria
Valiosa

Informao

Risco e Segurana

Desempenham
Um papel
Importante no
Nosso tempo livre

Mdulo 1

Introduo Segurana da Informao


A segurana da informao a
disciplina que concentra na
qualidade (confiabilidade)

Trade
Disponibilidade, Confidencialidade
e Integridade

Truque para execuo da segurana da informao:

Os requisitos de qualidade que uma organizao pode ter para a informao;

Os riscos para estes requisitos de qualidade;

As medidas que so necessrias para minimizar esses riscos;

Assegurar a continuidade da organizao no caso de um desastre

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento de ITSM baseada na


ISO/IEC 27002 Foundation
rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 2

Mdulo 2

O que veremos neste mdulo?

Forma, Valor e Fator do Sistema de Informao

Trade: Disponibilidade, Integridade e Confiabilidade

Arquitetura e Anlise da Informao

Gesto da Informao

Mdulo 2

Introduo
S.I. diz respeito Garantia de
Proteo aos Dados

Dados Informaes

... Ao de informar ou informar-se. /


Notcia recebida ou comunicada; informe.
/ Espcie de investigao a que se precede
para verificar um fato

Mdulo 2

Formas

Imagens de vdeo

Textos de
documentos

Palavras faladas

Mdulo 2

Sistema da Informao
Combinao de meios, procedimentos, regras e pessoas que asseguram o
fornecimento de informaes para um processo operacional

Estao de Trabalho

Cabos e wireless

Armazenamento

Telefone

Servidores

Mdulo 2

Exemplo

Telefone mvel seguro?

Mdulo 2

Valor da Informao
Sem
significado

Com
significado

Dados
Dados ou informaes?

Informaes
Quem define
o valor o
destinatrio

Mdulo 2

Informao como fator de produo

Tecnologia
Matria-Prima

Mo de Obra

Capital

Mdulo 2

Disponibilidade, Integridade e Confiabilidade


A recuperao da informao.
A indispensabilidade das informaes dentro dos processos operacionais;
A importncia da informao para os processos operacionais;

Pilares para uma


anlise de riscos, com
base no CIA

Mdulo 2

Disponibilidade
Pontualidade. Os sistemas de informao esto disponveis
quando necessrios;

Continuidade. O pessoal pode continuar a trabalhar no caso de um


fracasso ou indisponibilidade;

Robustez. No h capacidade suficiente para permitir que todos os


funcionrios trabalhem nos sistemas de informao.

Mdulo 2

Integridade
...o grau em que a informao est atualizada e sem erros...

Informao atualizada

Informao sem erros

Mdulo 2

Exemplo

Crimeware

Mdulo 2

Confidencialidade
... o grau em que o acesso informao
restrito a um grupo definido de pessoas
autorizadas...

Restrio de acesso

Privacidade

Mdulo 2

Arquitetura da Informao
... processo que demonstra como ser feita a prestao
de informao ...

Reporte

Encaminhamento

Distribuio

Disponibilizao

Mdulo 2

Exemplo

Conexo fsica para a Internet d aos hackers potencial


acesso aos sistemas do avio

Mdulo 2

Anlise da Informao
Projetar um sistema baseado no seu Fluxo

Workflow

Em virtude do resultado
da anlise

Mdulo 2

Processos Operacionais e de Informaes

1
Processo Primrio

Processo orientativo

Processo de apoio

Mdulo 2

Gesto da Informao e a Informtica


Gesto da
comunicao

Formula e dirige a
poltica relativa
prestao de
informao

Informtica
desenvolve
Informaes

Mdulo 2

Resumo
Gesto da Informao
Forma da Informao
Sistema da Informao
Valor da Informao
Disponibilidade
Integridade
Confidencialidade
Arquitetura da Informao

Mdulo 2

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento ISO 27002 Foundation


rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 3

Mdulo 3

O que veremos neste mdulo?


Anlise de Riscos
Medidas de Reduo de Riscos
Tipos de Ameaas
Tipos de Danos

Mdulo 3

Introduo

Ameaa de roubo. Risco subjetivo ou objetivo?

Mapeamento das ameaas

Senha de acesso?

Mdulo 3

Na prtica
Um empregado que no
trabalha no RH mas pode
obter acesso s informaes
deste departamento.

Um incndio que
pode iniciar em
sua empresa.

Algum que se apresenta


como um empregado e
tenta obter informaes
interna da empresa.

Sua empresa atingido


por uma falha de
energia

Um hacker consegue
acessar a rede da empresa.

Mdulo 3

Gerenciamento de Riscos
Gerenciamento de Riscos:

CICLO CONTNUO

Ameaa manifestada:
torna-se um
INCIDENTE

Ameaa
concretizada: Surge
um RISCO, ento...
Medidas de
segurana so
tomadas

Identificar

Reduzir

Examinar

Mdulo 3

Exemplo

Mdulo 3

Anlise de Riscos
Serve para:
Como ferramenta para Gesto de Riscos
Determinar se as ameaas so relevantes

Identificar riscos associados


Garantir que as medidas de segurana sejam implantadas

Evita gastos desnecessrios em medidas de segurana


Ajuda a conhecer os conceitos de segurana

Avaliar corretamente os riscos


Objetivos
Identificar os bens e os seus valores
Determinar as vulnerabilidades e ameaas
Determinar quais as ameaas se tornaro um risco
Determinar um equilbrio entre os custos

Mdulo 3

Tipo de Anlise de Riscos: Quantitativo

Baseado no impacto

Baseado na perda financeira


Baseado na probabilidade da ameaa tornar-se um
incidente

Mdulo 3

Exemplo

Mdulo 3

Tipo de Anlise de Riscos: Qualitativo

Baseado nos cenrios

Baseado nas situaes


Baseado nos sentimentos

Mdulo 3

Medidas de Reduo de Riscos


Objetivo:
Reduzir a chance do evento ocorrer
Minimizar as consequncias

Atravs
Preveno

Deteco

Represso

Correo

Seguros

Aceitao

Mdulo 3

Tipos de Medidas de Segurana


Ameaa

Reduo
Risco
Aceitao

Preveno

Seguro

Incidente
Deteco

Represso

Recuperao

Mdulo 3

Tipos de Ameaas

Humanas

No-Humanas

Mdulo 3

Ameaa Humana
Ameaa Externa: Hacker

Funcionrios Internos

Engenharia Social

Mdulo 3

Ameaa No-Humana

Relmpagos

Tempestades

Incndios

Inundaes

Catstrofes

Mdulo 3

Exemplo

Mdulo 3

Tipos de Danos

Danos diretos

Danos indiretos

ALE Annual Loss Expectancy

SLE Single Loss Expectancy

Mdulo 3

Exemplo

Mdulo 3

Tipos de Estratgia de Risco

Carregar o Risco

Neutralizar o Risco

Evitar o Risco

Aceitar

Minimizar
Sem incidentes

Mdulo 3

Diretrizes para implementar


medidas de segurana

Mdulo 3

Exemplo

Mdulo 3

Resumo
Diretrizes para implementao
Gerenciamento de Riscos
Anlise de Riscos Quantitativo
Anlise de Riscos Qualitativo
Medidas de Reduo
Tipo de Ameaa
Tipo de Dano
Tipo de Estratgia

Mdulo 3

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento ISO 27002 Foundation


rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 4

Mdulo 4

O que veremos neste mdulo?

Ativos de Negcios

Classificao dos Ativos

Gerenciamento de Incidente

Ciclo de Incidentes

Papis

Mdulo 4

Introduo

Processo de Segurana da
Informao Contnuo

Deve ser apoiada pela Alta


Administrao

Mdulo 4

Quais so os ativos da empresa


As informaes que so gravadas
sobre os bens da empresa so:

O tipo de ativo de negcio;

Proprietrio do processo;

Localizao do ativo;

O Formato do ativo;

A Classificao;

Valor do ativo para o negcio.

Mdulo 4

Gerenciamento de Ativos de Negcios


Acordos
Como lidar com os ativos
Como as mudanas acontecem
Quem inicia as mudanas e como so testadas

Mdulo 4

Acordos de como lidar com os ativos da empresa

Quanto mais complexo o ativo,


mais importante uma instruo de uso

Mdulo 4

O uso dos ativos de negcio

Regras de utilizao

Mdulo 4

Termos
Designar
(forma especial de categorizao)

Proprietrio
(responsvel por um
ativo
de negcio)

Graduar
(classificar a informao apropriadamente)

Classificao
(nveis de
sensibilidade)

Mdulo 4

Classificao

Mdulo 4

Gerenciamento de Incidentes de Segurana

Reportar ao Service Desk

Incidentes de Segurana

Mdulo 4

Reporte dos Incidentes de Segurana


Os relatrios devem ser usados como:

Uma forma de aprender

Reporte de incidentes

Os relatrios devem ser usados como:

Data e hora

Nome da pessoa que reporta o incidente


Localizao (onde foi o incidente?)
Qual o problema?
Qual o efeito que o incidente causou?
Como foi descoberto?

Mdulo 4

Exemplo

Incidentes de segurana

Um procedimento contm instrues


do que fazer diante de um incidente

Mdulo 4

Reportando Fraquezas de Segurana


Reportar fraquezas e
deficincias, mais cedo
possvel

Mdulo 4

Registro de Ruptura

importante que as informaes


pertinentes sejam coletadas e
armazenadas

Mdulo 4

Medidas no ciclo de vida do Incidente

Ameaa

Incidente

Reduo

Deteco
Preveno

Dano

Recuperao

Correo
Represso

Avaliao

Mdulo 4

Papis

CISO

ISO

ISM

Mdulo 4

Resumo
Ativos de Negcios
Classificao dos Ativos
Gerenciamento de Incidentes
Ciclo de Vida dos Incidentes
Papis

Mdulo 4

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento ISO 27002 Foundation


rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 5

Mdulo 5

O que veremos neste mdulo?


Segurana Fsica
Anis de Proteo
Alarmes

Proteo contra incndio

Mdulo 5

Introduo
Empresa Privada:

Acesso mais restritivo

Empresa Pblica:

Acesso mais liberado

Mdulo 5

Segurana Fsica

Segurana fsica faz parte da segurana da


informao, porque todos os ativos da empresa
devem ser fisicamente protegidos

Mdulo 5

Equipamento

Mdulo 5

Cabeamento
Cuidado com as interferncias
Proteo contra chiados e rudos
Fonte dupla de energia

Mdulo 5

Mdia de Armazenamento
Mdias Convencionais

Muitas impressoras podem armazenar informaes


em seu prprio disco rgido.

Mdulo 5

Anel Externo
Anel Externo

Cercas Vivas
Riacho

Arames Farpados

Muros
Estacionamento

Mdulo 5

Construes

Portes
Resistentes

Vidros
Blindados

Impresso
Digital

Biometria
da IRIS

Reconhecimento
das mos

Mdulo 5

Gesto de Acesso
Gerenciamento eletrnico de acesso

Medidas adicionais

Guardas

Crach ou RFID

Mdulo 5

Exemplo
Em mais da metade das
maternidades em Ohio, nos EUA,
ambos, a me e a criana, colocam
uma etiqueta RFID em forma de
pulseira ou tornozeleira, desta
forma, as mes esperam que seus
filhos no sejam perdidos, raptados
ou dados aos pais errados.

Mdulo 5

Espao de Trabalho
Proteo dos espaos de trabalho

Deteco de Intruso

Salas especiais

Mdulo5

Deteco de Intruso

O mtodo mais comum e mais utilizado para deteco passiva de


intrusos so os de infravermelho, onde movimentos aparentes so
detectados quando h um objeto com uma temperatura

Mdulo 5

Sala Especial Parte I

Entrega e retirada
segura

Sala de
servidores

Sala de
armazenamento
de materiais
sensveis

Sistema de
refrigerao

Mdulo 5

Sala Especial Parte II

Baterias e UPS

Desumidificador

Extintores de incndio

Mdulo 5

Exemplo

Mdulo 5

Objeto
O objeto refere-se a parte mais sensvel que tem que ser protegida, ou seja, o anel interno.

Armrios prova
de fogo

Cofres

Mdulo 5

Alarmes
Deteco Infravermelho Passivo
Cmeras
Deteco de vibrao
Sensores de quebra de vidro
Contatos magnticos

Mdulo 5

Proteo contra Incndio

Mdulo 5

Sinalizao e Agentes Extintores


Os vrios agentes extintores de fogo so:
Gases inertes

Espuma

gua

Areia

Mdulo 5

Resumo
Agentes extintores
Anel Externo
Construes

Espao de Trabalho

Objeto
Alarmes
Proteo contra incndio
Sinalizao

Mdulo 5

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento de ITSM baseada na


ISO/IEC 27002 Foundation
rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 6

Mdulo 6

O que veremos neste mdulo?

Gerenciamento de Acesso Lgico

Requisitos de Segurana para SI

Criptografia

Poltica de Criptografia

Tipos de Sistemas de Criptografia

Segurana de Arquivos de Sistemas

Vazamento de Informao

Mdulo 6

Introduo

Proteo dos dados

As informaes
devem ser confiveis

Mdulo 6

Gerenciamento Lgico de Acesso


Controle de Acesso Discricionrio (DAC).Com o Controle de
Acesso Discricionrio, a deciso de conceder o acesso
informao encontra-se com o prprio usurio.
Controle de Acesso Obrigatrio (MAC). O controle de acesso
obrigatrio definido e organizado centralmente para que as
pessoas tenham acesso aos sistemas de informao.

Mdulo 6

Exemplo

Mdulo 6

Requisitos de Segurana para SI


Os requisitos de segurana precisam ser acordados e documentados na
fase de Planejamento do Projeto.
Deve fazer parte de um Business Case
Implementar medidas de segurana na fase de concepo do projeto fica
geralmente mais barato
Mantenha um contrato com o fornecedor, indicando as exigncias de
segurana

Mdulo 6

Exemplo

Mdulo 6

Processamento Correto das Aplicaes

Sem perdas

Gerenciamento da validao dos dados


que so inseridos no sistema, o
processamento interno e a sada de dados
ou informaes

Sem erros

Seguras

Mdulo 6

Exemplo

Mdulo 6

Validao dos dados de Entrada e Sada


Dados de
Entrada

Processa

Dados de
Sada

Mdulo 6

Criptografia
Anlise Criptogrfica serve para:

Desenvolver Algoritmos

Quebrar Algoritmos de Inimigos

Protege a
Confidencialidade
Protege a
Autenticidade

Protege a
Integridade

Mdulo 6

Exemplo

Mdulo 6

A Poltica da Criptografia
Deve conter:

Para que a organizao usa a criptografia

Que tipo de criptografia utilizada


Quais aplicaes usam criptografia
Controle e gesto de chaves
Backup
Controle

Mdulo 6

Gesto das Chaves


So protegidas
Quais pares foram emitidos?
Para quem?
Quando?
Qual a validade?

Mdulo 6

Tipo de Sistemas de Criptografia

Assimtrico

Simtrico
Oneway

Mdulo 6

Simtrica
TEXTO

CRIPTO

A raposa
ataca o co
preguioso

TEXTO

Dhl*7Ytt_)
*ND685L<
P`=-_W2#D

Criptografa

A raposa
ataca o co
preguioso

Descriptografa

Mesma chave
(segredo
compartilhado)

Mdulo 6

Assimtrica
TEXTO

CRIPTO

A raposa
ataca o co
preguioso

Dhl*7Ytt_)
*ND685L<
P`=-_W2#D

TEXTO
A raposa
ataca o co
preguioso

Origem

Destino

Criptografa

Descriptografa

Chave diferentes

Chave Pblica

Chave Privada

Mdulo 6

Exemplo

Certification
Authority

Solicita acesso
Acesso concedido

Mdico

Companhia de Seguro

Mdulo 6

Criptografia One-Way
Pode ser usado tambm para:

TEXTO

128 bits

Chave
128 bits

Funo Hash

Checa dois valores

Valida apenas a integridade

CRIPTO

128 bits

Mdulo 6

Segurana do Sistema de Arquivos


Gesto de Acesso aos Cdigos-Fonte do
Programa
Segurana de Dados de Teste
Segurana nos Processos de
Desenvolvimento e Suporte

Mdulo 6

Vazamento de Informaes
Para manuteno

Ou back door

Exemplo atual:
Atravs de canais secretos de comunicao:

Mdulo 6

Terceirizao do Desenvolvimento de Sistemas


Supervisionado pelo contratante

Avalie a obteno de direitos


de propriedade

Verifique questes de segurana, como os canais


ocultos

Mdulo 6

Resumo
Gerenciamento de Acesso Lgico
Requisitos de Segurana
Criptografia
Chaves Pblicas
Simtricas
Assimtricas

Poltica de Criptografia
Tipos de Sistemas de Criptografia
Segurana de Arquivos
Vazamento de Informao

Mdulo 6

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento ISO 27002 Foundation

rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 7

Mdulo 7

O que veremos neste mdulo?

Poltica de Segurana

Pessoal

Gerenciamento de Continuidade de Negcio

Gerenciamento da Comunicao e Processos Operacionais

Mdulo 7

Introduo
Medidas
Organizacionais

Desastres

ISO/IEC 27001 e
27002

Comunicao

Mdulo 7

Poltica de Segurana da Informao


A Poltica de Segurana da Informao
deve ser aprovada pelo conselho
administrativo e publicada todos os
interessados e envolvidos.
Pode ser includa no processo de
admisso de um funcionrio.

Mantido na Intranet, por exemplo.

Mdulo 7

Hierarquia

Mdulo 7

Exemplo

O Grupo Virgin Richard Branson, perdeu um CD contendo


o nome de 3.000 clientes

Mdulo 7

Avaliando a Poltica de SI

Ter uma Poltica uma coisa, cumpri-la outra.

Uma Poltica contm: Procedimento, Poltica de


Documento, Diretrizes, etc.

Parte de um ISMS (Information Security


Management System)

Mdulo 7

Modelo PDCA

Plan
Act

Do
Check

Mdulo 7

Os 18 domnios do ISO/IEC 27002:2013


0 - Introduo

10 - Criptografia

1 Escopo

11 Segurana Ambiental e Fsica

2 -Referncias Normativas

12 Segurana Operacional

3 Termos e Definies

13 Segurana da Comunicao

4 Estrutura da Norma

14 Manuteno, Desenvolvimento e
Aquisio de Sistemas

5 - Polticas de Segurana da Informao


6 Segurana da Informao Organizacional
7 Segurana de Recursos Humanos

15 Relacionamento com Fornecedores


16 Gerenciamento de Incidentes de
Segurana da Informao

8 Gerenciamento de Ativos

17 Aspectos de Segurana da Informao do


Gerenciamento de Continuidade de Negcio

9 Controle de Acesso

18 - Conformidade

Mdulo 7

Segurana dos Recursos Humanos


Responsabilidades
Contrato e Cdigo de Conduta

Antes

Durante

Depois

Mdulo 7

Acompanhamento da poltica de SI

A poltica de segurana da informao


avaliada periodicamente e, se
necessrio, modificada. Para qualquer
alterao na poltica deve se ter a
permisso do conselho administrativo
da empresa.

Mdulo 7

A Organizao da Segurana da Informao


Devem ser aceitos por todos
Alta Direo devem dar exemplo
Depende da natureza da empresa
Definio de responsabilidades

Mdulo 7

Pessoal
Patrimnio da empresa
Todos so responsveis pela empresa

Conhecimento do cdigo de conduta


Definio de responsabilidades
Penalidade e sanes frente um incidente
Rigorosos procedimentos de desligamento

Mdulo 7

Acordo de No-Divulgao

Trabalhos que exigem confidencialidade, exige-se um NDA assinado

Mdulo 7

Contratantes

Os acordos escritos com o fornecedor,


como uma agncia de recrutamento,
devem incluir sanes em caso de
violaes.

Mdulo 7

Arquivos Pessoais

Dados como acordos assinados,


declaraes, perfil do cargo,
contrato de trabalho, NDA, etc.

Mdulo 7

Conscientizao da Segurana

Sensibilizao

Conscientes

Documentao

Cursos

Proteo contra
Engenharia
Social

Mdulo 7

Exemplo

Mdulo 7

Acesso
Uso obrigatrio de um crach
Registro de entrada e sada
Visitantes so monitorados desde a
recepo

Mdulo 7

Gerenciamento de Continuidade de Negcio

BPC Business Continuity Planning

DRP Disaster Recovery Planning

Mdulo 7

Continuidade

Continuidade diz respeito disponibilidade


dos sistemas de informao no momento
em que eles so necessrios.

Mdulo 7

O que so Desastres?
Placa de rede com defeito
Plano de evacuao

Uma inundao

Falha em um sistema
Falha de energia

Alerta contra
bomba

Mdulo 7

DRP
DRP Disaster Recovery Planning
DRP: Existe agora um desastre e tenho que
voltar a trabalhar;

BCP: Ns tivemos um desastre e tenho que


voltar situao de como era antes do
desastre.

Mdulo 7

Exemplo

Mdulo 7

Locais Alternativos
Local Alternativo

Site Redundante: Para empresas que tem diversas


localidades e um nico Data Center

Hot Site sob demanda: Site Mvel

Aes e Consideraes
Teste o BCP, j que as catstrofes no acontecem s com os outros
Mudanas nos processo de negcios devem refletir no BCP
Pessoas so ativos da empresa, consequentemente podem no estar mais
disponveis aps um desastre

Mdulo 7

Gerenciando a Comunicao e os Processos


Operacionais
A fim de manter uma gesto e um controle eficaz da TI,
importante documentar os procedimentos para o
funcionamento dos equipamentos

Objetivo do processo certificar que no haver mal


entendido quanto a maneira em que o equipamento tem
que ser operado

Mdulo 7

Gesto de Mudanas

Planejar antecipadamente

Cada mudana tem uma consequncia

Definida como pequena, mdia e grande


mudana

Segregue as funes

Mdulo 7

Segregao de Funes
Tarefas e responsabilidades devem ser separadas para evitar que alteraes no
autorizadas sejam executadas e alteraes no intencionais ou evitar o uso indevido
de ativos da organizao

Tarefas so
divididas

Reviso deve
ser realizada
Determine o
acesso
informao

Segregue as
funes

Mdulo 7

Desenvolvimento, Teste, Homologao


e Produo

Ambientes para cada finalidade

Mdulo 7

Exemplo

Mdulo 7

Gesto de Servios de Terceiros


Nem todas as atividades importantes so feitas internamente

Elaborar um bom contrato

Estabelea um SLA

Valide atravs de uma auditoria

Mdulo 7

Exemplo

1/3
300 profissionais
de TI

33%

47%

Mdulo 7

Proteo contra Phishing, Malware e Spam


Malware uma combinao
de palavras suspeitas e
programas indesejveis, tais
como vrus, worms, trojans
e spyware.

Spam um nome
coletivo para
mensagens indesejadas

Phishing uma forma de fraude


na internet onde a vtima recebe
um e-mail pedindo-lhe para
verificar ou confirmar seus dados
bancrios

Mdulo 7

Exemplo

Mdulo 7

Exemplo

Mdulo 7

Exemplo

Mdulo 7

Exemplo

Internet Banking

Mdulo 7

Backup e Restore
Estabelea regularidade
Teste
Atendimento aos requisitos
Armazene

Mdulo 7

Gerenciamento de Segurana de Rede

Intranet

Extranet

VPN

Mdulo 7

Exemplo

Mdulo 7

Exemplo

Mdulo 7

Manuseio de Mdia

Publicao no autorizada

Alterao

Deleo ou destruio

Interrupo das atividades empresariais

Mdulo 7

Exemplo

Mdulo 7

Equipamento Mvel
Eles so mais do que apenas um hardware, eles tambm contm software e dados.
Muitos incidentes ocorrem envolvendo equipamentos mveis.

Os procedimentos devem ser


desenvolvidos para o armazenamento e
manuseio de informaes, a fim de
proteg-lo contra a publicao no
autorizada ou o uso indevido. O melhor
mtodo para isso a classificao ou
graduao

Mdulo 7

Troca de Informao
Fazer acordos internos e externos

Expectativas claramente documentadas


Cuidados com as Mensagens Eletrnicas
Cuidados com os Sistemas de Informaes
Empresariais

Mdulo 7

Exemplo

Mdulo 7

Servios para e-commerce

Proteo extra
Confidencialidade e Integridade

Mdulo 7

Exemplo

Mdulo 7

Informaes Publicamente Disponveis

Corretas, ntegras e seguras

De empresas privadas e pblicas

Mdulo 7

Resumo
Poltica de Segurana
Os domnios da ISO/IEC
Pessoal e Segregao de Funes
NDA
Continuidade de Negcio (DRP e BCP)
Gerenciamento de Mudanas
Gerenciamento de Comunicao

Vrus, Malware, Phishing, Rootkit, Botnets, Spyware,


Logic Bomb, Hoax, Trojan e Worm

Gerenciamento de Segurana

Mdulo 7

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course

Treinamento ISO 27002 Foundation


rea de Aprendizagem

www.pmgacademy.com
Official Course

Mdulo 8

Mdulo 8

O que veremos neste mdulo?


Observncia dos Regulamentos Legais
Conformidade
Direitos de Propriedade Intelectual
Proteger documentos comerciais
Confidencialidade
Preveno do uso indevido

Poltica e Padres de Segurana


Medidas de Controle e Auditoria

Mdulo 8

Introduo

A legislao abrange as reas de


tributao, contabilidade, privacidade,
financeiro e regulamentao para os
bancos e empresas.

Mdulo 8

Observncia dos regulamentos legais


Cada empresa, deve observar a legislao local,
regulamentos e obrigaes contratuais,
principalmente, onde sero executadas as
operaes comerciais, ou seja, em outros paises.

Exigncias legais podem variar


bastante, particularmente na rea da
privacidade e, portanto, a maneira
que se lidar com a informao, que
pode ser privada e diferente.

Mdulo 8

Conformidade
Obrigatoriedade
Rastreabilidade
Tolerncia
Flexibilidade
Dedicao

Mdulo 8

Exemplo

Mdulo 8

Medidas para a Conformidade


Poltica Interna contendo as legislaes e as regulamentaes nacionais

Procedimentos para aplicao prtica

Anlise de Riscos para assegurar os nveis de segurana

Mdulo 8

Direitos de Propriedades Intelectuais


Publicar uma Poltica
Conscientizao e incluso do DPI Poltica

Incluir os direitos de Uso


Comprar softwares de fornecedores idneos
Respeitar a forma de licenciamento de cdigo aberto
Identificar e manter registro dos ativos
Mantenha as licenas de uso dos programas

Mdulo 8

Exemplo

Mdulo 8

Proteo de Documentos Empresariais


Documentos precisam ser protegidos contra perda,
destruio e falsificao
Os registros devem ser classificados de acordo com o tipo
Prazo e meios de armazenamentos devem ser
determinados

Considere a perda de qualidade do armazenamento ao


longo do tempo
Estabelea procedimentos para evitar a perda de
informaes

Mdulo 8

Confidencialidade

Sob uma legislao


Poltica de proteo
Nomeao de um responsvel
Medidas tcnicas de proteo

Mdulo 8

Exemplo

Mdulo 8

Preveno do uso indevido dos recursos de TI


Como os recursos so utilizados
Monitore o uso
Cumpra os regulamentos

Cdigo de conduta
Veja a legislao do pas

Mdulo 8

Exemplo

Mdulo 8

Poltica e Padres de Segurana

Conselho
Administrativo

Gerentes
Funcionais
Operacional

Mdulo 8

Medidas de Controle e Auditoria


Est includo na poltica?

observado na prtica?

Ser que a medio esta sendo feita?

Mdulo 8

Exemplo

Mdulo 8

Auditoria de Sistema da Informao

Envolve riscos

Afeta a capacidade

Cuidados com o exame de um item por duas


pessoas destintas

Emisso de notificao de auditoria

Mdulo 8

Proteo auxiliar utilizando os Sistemas de


Informao
Medidas de segurana so vlidas tambm para os
auditores

No importa
como uma organizao planejou a sua segurana, a segurana to
forte quanto o elo mais fraco!

Mdulo 8

Resumo
Observncia dos Regulamentos Legais
Conformidade
Direitos de Propriedade Intelectual
Proteger Documentos Comerciais
Confidencialidade
Preveno do Uso Indevido

Polticas e Padres de Segurana

Medidas de Controle

Auditoria

Mdulo 8

Teste

Pronto para o prximo?


Clique acima em
Sair da Atividade

www.pmgacademy.com
Official Course