Praticando a Segurança da Informação

Edison Fontes, CISM, CISA

edison@pobox.com
Cabo Verde, Praia, 03 de Dezembro de 2010

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 1
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Edison Fontes, CISM, CISA

Segurança da Informação desde 1989

 Coordenador Banco BANORTE
 Gerente de PricewaterhouseCoopers
 Security Officer da GTECH Brasil
 Executivo da Prática Segurança Informação – CPM Braxis
 Núcleo Consultoria em Segurança.

Livros
 Praticando a segurança da informação, Editora Brasport, 2008.
 Por quê GESITI?, Editora Komedi, CENPRA/MCT, 2007, Co-autor.
 Segurança da Informação: o usuário faz a diferença, Editora Saraiva, 2005.
 Vivendo a Segurança da Informação, Editora Sicurezza, 2000.
 Banco Eletrônico, PwC, Edição FEBRABAN, 2000, Co-autor.
 “Guia Básico para Projetos de Segurança Lógica de Dados” – FEBRABAN,
1991, Co-autor.
 Innovations and Advanced Techniques in Computer and Information
Sciences and Engineering, Springer/USA, 2007, Co-Autor.

Colunista
 Portal ITWEB www.itweb.com.br

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 2
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Ativos da Organização

 Ativos Tangíveis

 Ativos Intangíveis
 Ativos intangíveis que Geram valor

 Ativos intangíveis que Protegem valor

Fonte: Livro Ativos Intangíveis

Daniel Domeneguetti, Roberto Meir
Editora Campos, Brasil, 2008

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 3
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Ambiente da Informação

Ambiente de tecnologia C
o
P n
e c
s o
s r
o INFORMAÇÃO r
a e
s n
t
e
s
Ambiente convencional

Contingências Crime organizado

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 4
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Processo Corporativo de Segurança da Informação

POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO

Regulamentação e regras de negócio

Proteção técnica
Acesso à Informação Classificação da Informação
Recursos de informação
Gestão de riscos

Flexibilidade Pessoas
Desenvolvimento de aplicativos
Operacional Conscientização e Treinamento

Modelo operativo
Tratamento de
Continuidade do negócio da SI
incidentes de segurança

Ambiente
Requisitos para
Físico e infra-estrutura
Forense computacional

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 5
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Estrutura proposta para as Políticas e Normas

Política de segurança e proteção da

informação
Políticas

Uso recurso Desenvolvimento

Acesso informação Uso recurso Plano de Cópias de Classificação
tecnologia Aquisição de Ambiente físico
Ambiente tecnologia tecnologia continuidade segurança informação
Email Sistemas
Internet
Normas

Acesso
informação Requisitos de
segurança e
operacionais
- Email
Procedimentos
Ambiente
Principal

Ambientes

Ambientes

Ambientes

Ambientes
Uso recurso

Ambientes
Quadro tecnologia
Processos Microcomputador
responsabilidade

Gestores
informação Padrões para
Amb.Principal Micro
computador
Acesso
informação
Ambiente X

Acesso
informação
Ambiente Y

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 6
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
Segurança da Informação

Acesso à Informação

Identificação Autenticação Autorização

- Identidade usuário - Verificação da veracidade - Verificação se usuário

- Ciclo de vida da do usuário está autorizado
identidade - Utilização de senha, - Acesso ao recurso
- Criação biometria, tokens - Modelo de autorização
- Bloqueio (perfil, unitário, grupo)
- Retirada
- Outras ações

Gestão de Gestão de Gestão de

Identidade Autenticação Autorização
2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 7
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor. •7
Avaliação da Gestão da Segurança da Informação

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 8
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
Planejamento para a Gestão da Segurança da Informação

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 9
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
Segurança da Informação – Exigencias (Futuras)

• Novas, novas, novas tecnologias.

• Redes sociais (pessoas, organizações, governo).

• Maior Mobilidade.

• Maior quantidade de informação. Conhecimento (???).

• Maior busca pela privacidade.

• Maior quantidade de informação em um único lugar –

maior facilidade de vazamento.

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 10
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 O que fazer?

- Ter regulamentos claros (Qual proteção se quer?)

- Investir nas pessoas

- Ter alinhamento com os objetivos da organização

- Planejar a segurança da informação

- Executar a segurança da informação

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 11
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Alinhamento aos objetivos da Organização

Área de Segurança da Informação

-Ter um nível hierárquico adequado.
- Conhecer a estratégia da Organização.
- Participar dos projetos deste o início.
- Os objetivos da Organização são a razão de ser da S.I.

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 12
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Processo Corporativo de Segurança da Informação

POLÍTICAS DE SEGURANÇA DA INFORMAÇÂO

Regulamentação e regras de negócio

Proteção técnica
Acesso à Informação Classificação da Informação
Recursos de informação
Gestão de riscos

Flexibilidade Pessoas
Desenvolvimento de aplicativos
Operacional Conscientização e Treinamento

Modelo operativo
Tratamento de
Continuidade do negócio da SI
incidentes de segurança

Ambiente
Requisitos para
Físico e infra-estrutura
Forense computacional

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 13
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.
 Contato

Edison Fontes, CISM, CISA

edison@pobox.com

edison.fontes@uol.com.br

Cel. (55-11) 9132-5526

Link de artigos:
http://www.itweb.com.br/blogs/blog.asp?cod=58

2010 Propriedade Intelectual e Direito de Publicação: Edison Fontes, CISM, CISA, edison@pobox.com 14
É proibida a cópia, divulgação ou reprodução deste conteúdo sem autorização prévia e formal do autor.