Conjunto de Processos Integrados, com um nico objetivo: gerir dinamicamente controles abrangentes (processos, tecnologia e pessoas) operando sob risco controlado Evita investimentos redundantes, esforos contrrios e possibilita a canalizao da energia para o business da empresa
Seg. Informao Prof. Fred Sauer 1/113
1/113
Integridade
Proteo contra alteraes indevidas, mesmo as acidentais
Disponibilidade
A informao disponvel no momento de sua necessidade
Informao
Presente ou manipulada nos elementos do processo produtivo (ativos) verdadeiro alvo de proteo da SegInfo
Ativo
Elemento de valor para a empresa Equipamentos, meio de armazenamento e a prpria informao
Seg. Informao Prof. Fred Sauer 2/113
2/113
Legalidade
Contratos, legislao e normas vigentes
Aspectos Associados
Autorizao
Permisso de acesso
Auditoria
Coleta de evidncias
Autenticidade
Garantir identidade, autoria, originalidade, integridade e no-repudiao
Severidade
Gravidade do dano
Criticidade
Impacto ao negcio pela ausncia de um ativo
3/113
3/113
Vulnerabilidades
Fragilidade efetivamente existente e que, se explorada, pode afetar um ou mais dos aspectos da Segurana So elementos passivos Podem ser:
Fsicas Naturais Hardware Software Mdia Comunicao Humanas
4/113
4/113
De Deteco
Identificao de ameaas potenciais Anlise de Riscos, IDS, alertas, cmeras, alarmes
Corretivas
Equipe de Resposta a Incidentes, Plano de Recuperao de Desastres, Plano de Backup
Preditivas
Ligadas a eventos com alta probabilidade de ataques
Um Plano de Continuidade dos Negcios abrange medidas de todos os tipos A validade dessa classificao permitir planejar e focar as aes
Seg. Informao Prof. Fred Sauer 5/113
5/113
Impacto
Abrangncia dos danos causados pela ocorrncia de um incidente
Incidente
Fato decorrente da explorao de uma vulnerabilidade por uma ameaa, gerando impactos nos processos de negcio da empresa
6/113
6/113
Diagnosticar
7/113
Implementar (Do)
Atividades de Controle
Analisar (Check)
Monitorar (Act)
8/113
8/113
PDCA
Startup
Seg. Informao Prof. Fred Sauer 9/113
9/113
Identificao dos Processos do Negcio Resultados esperados: Mapeamento dos Processos Crticos para a operao da empresa Identificao dos gestores-chave dos processos mapeados Incio da integrao e comprometimento dos gestores-chave Incio do entendimento do funcionamento do negcio Mapeamento da Relevncia Resultados esperados: Mapeamento da relevncia dos processos de negcio crticos Envolvimento dos gestores com viso holstica do negcio Percepo dos fatores importantes considerados pelos gestores envolvidos
10/113
10/113
Tais fatores podem ainda ser agravados pela indisponibilidade de servios que provocaro outros impactos (ex.: indisponibilidade de Internet Banking) Custos Indiretos:
Mobilizao de equipe de resposta a incidentes Reconstruo e restaurao de arquivos
Seg. Informao Prof. Fred Sauer 11/113
11/113
12/113
12/113
Viso Corporativa
Erros bsicos do dia-a-dia so trazidos para a empresa Tipicamente, aspectos tecnolgicos so privilegiados em detrimento aos fsicos e humanos Investimentos so feitos revelia de objetivos estratgicos e aes so reativas, e no orientadas por um Plano Diretor de Segurana
13/113
13/113
Aspectos complementares Ciclo de Vida momentos quando estas qualidades so postas em risco
Manuseio Armazenamento Transporte Descarte
14/113
Desafios
Detalhar e segmentar o problema Percepo bsica:
Alvo a informao A informao circula por toda a empresa A informao sensvel a impactos As vulnerabilidades transcendem o campo tecnolgico, havendo riscos fsicos e humanos
Primeiro passo identificar todos os elementos (ameaas) que interferem nos riscos importante perceber que no h segurana absoluta e sempre haver risco, que deve ser ajustado natureza do negcio
Seg. Informao Prof. Fred Sauer 15/113
15/113
16/113