Boas práticas para Segurança da Informação

1. Boas práticas para Segurança da Informação Aluno: Daniel H. Acorsi Alves Orientador: Mario Lemes Proença Jr.

2. Sumário • Objetivos • Conceitos de Segurança da Informação • Família de Normas ISO/IEC 27000 • ISO/IEC 27002 • ISO/IEC 27001 • ISM³ • ISM³ vs ISO/IEC 27001 • Conclusão

3. Objetivos • O que é Segurança da Informação? • Porque da necessidade de Segurança da Informação? • Como Estabelecer Requisitos de Segurança da Informação? • Quais são as principais normas que tratam da Segurança da Informação?

4. Conceitos de Segurança da Informação

5. Conceitos de Segurança da Informação

6. Família de Normas ISO/IEC 27000

7. Família de Normas ISO/IEC 27000

8. ISO/IEC 27002 • Código de Boas-Práticas para a Gestão da Segurança da Informação; • Dividida em 11 Cláusulas/Capítulos + 1 capítulo introdutório sobre avaliação e tratamento de risco. • No total são 39 objetivos de controle e 139 controles. • Baseada na Analise/Avaliação de Risco;

9. ISO/IEC 27002 • Genérica • Diz o que tem que ser feito, mas não como tem que ser feito. • Considera Processos, Pessoas, Ambiente e Tecnologias.

10. ISO/IEC 27002

11. ISO/IEC 27001 • Prove requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. • Aplicada a qualquer tipo/tamanho de organização. • Organizações podem obter certificado.

12. ISO/IEC 27001

13. ISO/IEC 27001 • Fase “Plan” • Definir o escopo do SGSI. • Definir uma politica para o SGSI. • Definir Objetivos de metas. • Identificar e avaliar os riscos. • Selecionar Objetivos de controle e controles. • Preparar a declaração de aplicabilidade. • Fase “Do” • Formular e implementar um plano de tratamento de risco. • Implementar os controles selecionados para atingir os objetivos de controle.

14. ISO/IEC 27001 • Fase “Check” • Executar monitoramento dos processos. • Conduzir auditorias internas do SGSI em intervalos planejados. • Realizar análise críticas regulares da eficácia do SGSI. • Analisar criticamente os níveis de risco residual e riscos aceitáveis. • Fase “Act” • Implementar as melhorias identificadas. • Tomar ações corretivas e preventivas apropriadas. • Comunicar os resultados e ações. • Garantir que as melhorias atendem aos objetivos pretendidos.

15. ISM³ • Framework para Sistemas de Gestão da Segurança da informação. • Baseado em Níveis de maturidade. • Construído a partir das Melhores ideias de sistemas de gestão e controles da ISO 9000, ITIL, CMMI, ISSO 27001. • Abordagem orientada a Processos. • São 44 processos no total. • Práticas: Genéricas, Estratégicas, Táticas e Operacionais.

16. ISM³ • Defini Métricas para cada processo. • Business Friendly. • Adaptável. • Flexível. • Padrão Aberto. • Grande Número de referências.

17. ISM³ vs ISO/IEC 27001

18. Conclusão • A segurança da informação é necessária a todas organizações independentemente de seu tamanho ou setor de atuação. • A segurança da informação eficaz depende de um SGSI bem comunicado, documentado e consistente. • Deve-se reconhecer o potencial do ISM3, como um complemento para padrões que tratam da gestão de segurança da informação.