Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Segurança da informação e ISO 27001, 27002 e 27005

No description
by

Gustavo Massuela

on 6 November 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Segurança da informação e ISO 27001, 27002 e 27005

Segurança da informação e ISO/IEC 27001, 27002 e 27005
Segurança da Informação
Refere-se a proteção existente sobre as informações de uma determinada empresa ou pessoa.
O grau de segurança de uma aplicação está ligado a capacidade de resistir aos ataques promovidos por agentes maliciosos em ambientes de produção.
Parâmetros que compõe a segurança da informação:
Integridade
Confidencialidade
Disponibilidade
ISO/IEC
International Organization for Standardization/International Electrotechnical Commission
Normas que visam a prevenção e controle das vulnerabilidades em ativos de TI.
Processo preventivo de melhoria continuada.
Sustentar as melhores práticas de Gestão de Segurança da Informação.
ISO 27001, 27002 e 27005.
ISO/IEC 27001:2013
ISO/IEC 27001:2013
Serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitoramento, revisão e gestão de um Sistema de Gestão de Segurança da Informação.
Consiste em duas partes:
1ª: Define as regras e os requisitos da norma.
2ª: "ANEXO A" e é composta por um conjunto de controles que as organizações devem adotar, em diferentes temas.
ISO/IEC 27001:2013
ISO/IEC 27001:2013
Estrutura global da
norma ISO/IEC 27001.
Parte A:
Parte B:
ISO/IEC 27001:2013
Alguns benefícios:
Garantia independente de seus controles internos.
Demonstra que as leis e regulamentos aplicáveis são observados.
Demonstrar para seus clientes que a segurança da informação é levada como de suma importância pela sua organização.
Comprova o comprometimento da alta direção na segurança de suas informações.
O processo de auditoria regular ajuda sua empresa a monitorar continuamente o seu desempenho e melhoria.
Azul: Ciclo de melhoria
contínua.
Verde: Cláusulas com
requisitos gerais do
SGSI.
Marrom: Objetivos de
controle e controles.

ISO/IEC 27002:2005
Complementa a ISO 27001 e tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
Amplamente reconhecida e utilizada por Entidades Fiscalizadoras Superiores, órgãos de governo, empresas públicas e privadas nacionais e internacionais atentas ao tema Segurança da Informação.
Um dos melhores critérios de auditoria de segurança da informação.

ISO/IEC 27002:2005
Está dividida em 11 seções:
1. Política de segurança da informação.
2. Organizando a segurança da informação.
3. Gestão de ativos.
4. Segurança em recursos humanos.
5. Segurança física e do ambiente.
6. Gestão das operações e comunicações.
7. Controle de acessos.
8. Aquisição, desenvolvimento e manutenção de sistemas de informação.
9. Gestão de incidentes de segurança da informação.
10. Gestão da continuidade do negócio.
11. Conformidade.
ISO/IEC - 27005:2008
Tem por objetivo fornecer as diretrizes para o processo de Gestão de Riscos de Segurança da Informação.
Recomenda iniciar o processo de gestão de riscos com uma análise/avaliação com enfoque de alto nível. A partir dos resultados é possível definir as prioridades, os riscos que precisam ser detalhados e uma cronologia para a execução de ações.
Garante que a organização está seguindo as diretrizes de gestão da segurança da informação e possibilita reocnhecimento pela utilização de boas práticas em gestão da segurança da informação.
ISO/IEC - 27005:2008
Processo de gestão de riscos de segurança da informação de acordo com a ISO 27005.


Risco à segurança da informação: São as possibilidades de uma ameaça explorar vulnerabilidades dos ativos, comprometendo a confidencialidade, integridade e disponibilidade das informações de uma organização.
Gerenciar os riscos é um dos principais processos da gestão da segurança da informação
ISO/IEC 27001:2013
Case VORTAL:
Empresa portuguesa, fundada no ano de 2000, atuando no mercado de eletrônicos dirigidos ao setor de construção, estado, indústria, escritório e utilities.
Sua política de segurança é “Manter continuamente a segurança das informações dos clientes dos serviços transacionais.”
A Vortal adotou a ISO 27001 em seus processos e obteve a certificação.
ISO/IEC 27001:2013
Como implementar o SGSI:
Quais os riscos de segurança e os controles adequados ao fazer o outsourcing do call center da minha empresa?
Quais os riscos associados a um novo produto?
Como garantir um nível adequado de governança sem conhecer e responder adequadamente aos riscos?
O que acontece se ocorrer um desastre natural?
O SGSI deve considerar e responder adequadamente a todos estes desafios.
ISO/IEC 27001:2013
ISO/IEC 27001:2013
Metodologia para Análise de Riscos
Os critérios para preencher a tabela são os seguintes:
• Quais são os ativos de informação?
• Qual a importância destes ativos?
• Quais são as ameaças?
• Quais são as vulnerabilidades?
• Qual a probabilidade de ocorrência?
• Qual o impacto sobre a CID (CIA)?
• Qual o nível de risco?
Sendo que o prejuízo torna-se não aceitável a partir de € 20.000 corresponde ao índice 5,5 (nível de risco não aceitável - risco maior ou igual a 5,5).

ISO/IEC 27001:2013
Exemplo de como esta tabela pode ser preenchida levando a metodologia para cálculo e os critérios:
ISO/IEC 27001:2013
Integrantes
Gustavo Gonçalves Massuela
Filipe Ribeiro
Felipe Portillo
Paulo Eduardo
Matheus Alamino
Dúvidas?
Obrigado pela atenção!
Full transcript