8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 1/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
TreinamentoISO/IEC ® 27002:2013 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 2/208
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 3/208
NívelFoundation
Prof. Adriano Martins
Clique Aqui para Iniciar
ISO/IEC ® 27002:2013 Foundation
ESTE DOCUMENTO CONTÉM INFORMAÇÕESPROPRIETÁRIAS, PROTEGIDAS PORCOPYRIGHT. TODOS OS DIREITOSRESERVADOS. NENHUMA PARTE DESTEDOCUMENTO PODE SER FOTOCOPIADA,REPRODUZIDA OU TRADUZIDA PARA OUTROIDIOMA SEM CONSENTIMENTO DA PMG
ACADEMY LTDA, BRASIL.
© Copyright 2012 - 2013, PMG Academy. Todos osdireitos reservados.
www.pmgacademy.com
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 4/208
Executar todos os Simulados
Dica para Questões e Simulados:Corrigir as questões que estão erradas e PRINCIPALMENTE as CORRETAS
Assistir no mínimo 2 vezes o Treinamento
Realizar os Exercícios no final de cada módulo
Breve leitura dos Termos no Glossário
Maior Aproveitamento
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 5/208
ProgramaçãoIntroduçãoMódulo 1
Informação, Objetivos de Negócios e Requisitos de QualidadeMódulo 2
Riscos e AmeaçasMódulo 3
Ativos de Negócio e Incidentes de Segurança da InformaçãoMódulo 4
Medidas FísicasMódulo 5
Medidas Técnicas (Segurança de TI)Módulo 6
Medidas OrganizacionaisMódulo 7
Legislação e RegulamentosMódulo 8
SimuladosMódulo 9
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 6/208
Sobre o EXIN
www.exin-exams.com
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 7/208
Esquema de Qualificação ISO/IEC 27002:2013
Foundation Level
Information Security Foundation based on ISO/IEC 27002
Advanced Level
Information Security Management Advanced based on ISO/IEC 27002
Expert Level
Information Security Management Expert based on ISO/IEC 27002
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 8/208
Propósito do Curso
Globalização
TI: Ativo valioso
Informação confiável
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 9/208
Público Alvo
Qualquer pessoa na organização que manuseia informações. Étambém aplicável a proprietários de pequenas empresas a quem
alguns conceitos básicos de Segurança da Informação sãonecessários. Este módulo pode ser um excelente ponto de partida
para novos profissionais de segurança da informação.
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 10/208
Pré-Requisitos
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 11/208
Detalhes do Exame
Múltipla escolha emcomputador ou
impresso em papel
60 minutos
4065 % (26 de 40)
não
não
Nenhum
Tipo de exame:
Tempo destinado ao exame:
Mínimo para aprovação: Número de questões:
Com consulta:
Equipamentoseletrônicos permitidos:
Pré requisitos:
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 12/208
Formato do ExameConteúdo
10% - Segurança da Informação2,5% - O conceito de Informação
2,5% - Valor da Informação
5% - Aspectos de Confiabilidade
30% - Ameaças e Riscos15% - Ameaças e Riscos
15% - O Relacionamento entre Ameaças,Riscos e Confiabilidade da Informação
10% - Abordagem e Organização2,5% - Política de Segurança e Segurança da Organização
2,5% - Componentes da Segurança da Organização
5% - Gerenciamento de Incidentes
40% - Medidas
10% - Importância das Medidas10% - Medidas de Seguranças Físicas
10% - Medidas de Segurança Técnica
10% - Medidas Organizacionais
10% - Legislação e Regulamentações
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 13/208
Visão Geral
:
Segurança Proteção
Informação MercadoriaValiosa
Informação DesempenhamUm papel
Importante noNosso tempo livre
Conexão Risco e Segurança
MedidasFísicasTécnicasOrganizacionais
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 14/208
Introdução à Segurança da Informação
A segurança da informação é adisciplina que concentra naqualidade (confiabilidade)
Disponibilidade, Confidencialidadee Integridade
Tríade
Truque para execução da segurança da informação:
Os requisitos de qualidade que uma organização pode ter para a informação;
Os riscos para estes requisitos de qualidade;
As medidas que são necessárias para minimizar esses riscos;
Assegurar a continuidade da organização no caso de um desastre
Módulo 1
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 15/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 16/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento de ITSM baseada naISO/IEC ® 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 17/208
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 18/208
O que veremos neste módulo?
Forma, Valor e Fator do Sistema de Informação
Tríade: Disponibilidade, Integridade e Confiabilidade
Arquitetura e Análise da Informação
Gestão da Informação
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 19/208
IntroduçãoS.I. diz respeito à Garantia de
Proteção aos Dados Dados ≠ Informações
“... Ação de informar ou informar-se. /Notícia recebida ou comunicada; informe./ Espécie de investigação a que se precede
para verificar um fato …”
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 20/208
Formas
Imagens de vídeoTextos de
documentos Palavras faladas
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 21/208
Sistema da InformaçãoCombinação de meios, procedimentos, regras e pessoas que asseguram o
fornecimento de informações para um processo operacional
Servidores
TelefoneArmazenamento
Cabos e wirelessEstação de Trabalho
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 22/208
Exemplo
Telefone móvel é seguro?
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 23/208
Valor da Informação
Quem defineo valor é o
destinatário
Dados ou informações?
Dados Informações
Semsignificado
Comsignificado
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 24/208
Informação como fator de produção
CapitalMão de Obra
Matéria-Prima
Tecnologia
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 25/208
Módulo 2
Disponibilidade, Integridade e Confiabilidade
Pilares para umaanálise de riscos, com
base no CIA
A importância da informação para os processos operacionais;
A indispensabilidade das informações dentro dos processos operacionais;
A recuperação da informação.
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 26/208
Disponibilidade
Pontualidade. Os sistemas de informação estão disponíveisquando necessários;
Robustez. Não há capacidade suficiente para permitir que todos osfuncionários trabalhem nos sistemas de informação.
Continuidade. O pessoal pode continuar a trabalhar no caso de umfracasso ou indisponibilidade;
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 27/208
Integridade
Informação sem errosInformação atualizada
“...o grau em que a informação está atualizada e sem erros...”
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 28/208
Exemplo
Crimeware
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 29/208
Confidencialidade“...é o grau em que o acesso à informação é
restrito a um grupo definido de pessoasautorizadas...”
PrivacidadeRestrição de acesso
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 30/208
Reporte
Arquitetura da Informação
“... processo que demonstra como será feita a prestaçãode informação ...”
DistribuiçãoEncaminhamento Disponibilização
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 31/208
Exemplo
Conexão física para a Internet dá aos hackers potencialacesso aos sistemas do avião
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 32/208
Análise da Informação
Workflow
Projetar um sistema baseado no seu Fluxo
Em virtude do resultadoda análise
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 33/208
Processos Operacionais e de Informações
1
Processo Primário
Processo orientativo
Processo de apoio
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 34/208
Gestão da Informação e a Informática
Gestão dacomunicação
Formula e dirige apolítica relativa à
prestação deinformação
Informáticadesenvolve
Informações
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 35/208
Resumo
Gestão da Informação
Forma da Informação
Sistema da Informação
Valor da Informação
Disponibilidade
Integridade
Confidencialidade
Arquitetura da Informação
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 36/208
Teste
Módulo 2
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 37/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 38/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento ISO 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 39/208
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 40/208
O que veremos neste módulo?
Análise de Riscos
Medidas de Redução de Riscos
Tipos de Ameaças
Tipos de Danos
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 41/208
Introdução
Ameaça de roubo. Risco subjetivo ou objetivo?
Mapeamento das ameaças Senha de acesso?
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 42/208
Na prática
Um incêndio quepode iniciar emsua empresa.
Um empregado que nãotrabalha no RH mas pode
obter acesso às informaçõesdeste departamento.
Alguém que se apresentacomo um empregado etenta obter informações
interna da empresa.
Sua empresa é atingidopor uma falha de
energiaUm hacker consegue
acessar a rede da empresa.
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 43/208
Gerenciamento de RiscosGerenciamento de Riscos:
Ameaça manifestada:torna-se umINCIDENTE
Ameaçaconcretizada: Surge
um RISCO, então...Medidas de
segurança sãotomadas
CICLO CONTÍNUO
Identificar
Reduzir Examinar
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 44/208
Exemplo
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 45/208
Análise de RiscosServe para:
Objetivos
Como ferramenta para Gestão de RiscosDeterminar se as ameaças são relevantesIdentificar riscos associadosGarantir que as medidas de segurança sejam implantadas
Evita gastos desnecessários em medidas de segurançaAjuda a conhecer os conceitos de segurançaAvaliar corretamente os riscos
Identificar os bens e os seus valoresDeterminar as vulnerabilidades e ameaçasDeterminar quais as ameaças se tornarão um riscoDeterminar um equilíbrio entre os custos
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 46/208
Tipo de Análise de Riscos: Quantitativo
Baseado na probabilidade da ameaça tornar-se umincidente
Baseado na perda financeira
Baseado no impacto
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 47/208
Exemplo
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 48/208
Tipo de Análise de Riscos: Qualitativo
Baseado nas situações
Baseado nos sentimentos
Baseado nos cenários
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 49/208
Medidas de Redução de RiscosObjetivo:
Reduzir a chance do evento ocorrer
Minimizar as consequências
Através
Prevenção Detecção Repressão
Correção Seguros Aceitação
Módulo 3
ód l
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 50/208
Tipos de Medidas de Segurança
Ameaça
PrevençãoSeguro
Aceitação
Detecção Repressão Recuperação
Risco
Redução
Incidente
Módulo 3
Mód l 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 51/208
Tipos de Ameaças
Humanas Não-Humanas
Módulo 3
Mód l 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 52/208
Ameaça Humana
Ameaça Externa: Hacker
Funcionários Internos
Engenharia Social
Módulo 3
Mód l 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 53/208
Ameaça Não-Humana
IncêndiosRelâmpagos Inundações
Tempestades Catástrofes
Módulo 3
Mód l 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 54/208
Exemplo
Módulo 3
Mód lo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 55/208
Tipos de Danos
Danos diretos
Danos indiretos
ALE – Annual Loss Expectancy
SLE – Single Loss Expectancy
Módulo 3
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 56/208
Exemplo
Módulo 3
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 57/208
Tipos de Estratégia de Risco
Aceitar
Minimizar
Sem incidentes
Carregar o Risco
Neutralizar o Risco
Evitar o Risco
Módulo 3
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 58/208
Diretrizes para implementarmedidas de segurança
Módulo 3
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 59/208
Exemplo
Módulo 3
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 60/208
Resumo
Diretrizes para implementação
Gerenciamento de Riscos
Análise de Riscos Quantitativo
Análise de Riscos Qualitativo
Medidas de Redução
Tipo de Ameaça
Tipo de Dano
Tipo de Estratégia
Módulo 3
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 61/208
Teste
Módulo 3
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 62/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 63/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento ISO 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 64/208
Módulo 4
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 65/208
O que veremos neste módulo?
Ativos de Negócios
Classificação dos Ativos
Gerenciamento de Incidente
Ciclo de Incidentes
Papéis
Módulo 4
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 66/208
Introdução
Processo de Segurança daInformação é Contínuo
Deve ser apoiada pela AltaAdministração
Módulo 4
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 67/208
Quais são os ativos da empresa
As informações que são gravadassobre os bens da empresa são:
O tipo de ativo de negócio;
Proprietário do processo;
Localização do ativo;
O Formato do ativo;
A Classificação; Valor do ativo para o negócio.
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 68/208
Gerenciamento de Ativos de Negócios
Acordos
Como lidar com os ativos
Como as mudanças acontecem
Quem inicia as mudanças e como são testadas
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 69/208
Acordos de como lidar com os ativos da empresa
Quanto mais complexo o ativo,mais importante uma instrução de uso
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 70/208
O uso dos ativos de negócio
Regras de utilização
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 71/208
TermosDesignar(forma especial de categorização)
Graduar(classificar a informação apropriadamente)
Classificação(níveis desensibilidade)
Proprietário(responsável por um
ativode negócio)
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 72/208
Classificação
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 73/208
Gerenciamento de Incidentes de Segurança
Incidentes de Segurança
Reportar ao Service Desk
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 74/208
Reporte dos Incidentes de SegurançaOs relatórios devem ser usados como:
Uma forma de aprender
Reporte de incidentes
Os relatórios devem ser usados como:
Data e hora
Nome da pessoa que reporta o incidente
Localização (onde foi o incidente?)
Qual é o problema?Qual é o efeito que o incidente causou?
Como foi descoberto?
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 75/208
Exemplo
Um procedimento contém instruções
do que fazer diante de um incidenteIncidentes de segurança
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 76/208
Reportando Fraquezas de SegurançaReportar fraquezas e
deficiências, mais cedopossível
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 77/208
É importante que as informaçõespertinentes sejam coletadas e
armazenadas
Registro de Ruptura
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 78/208
Medidas no ciclo de vida do Incidente
Redução
Prevenção
Detecção
Repressão
CorreçãoAvaliação
Ameaça Incidente Dano Recuperação
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 79/208
Papéis CISO
ISO
ISM
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 80/208
Resumo
Ativos de Negócios
Classificação dos Ativos
Gerenciamento de Incidentes
Ciclo de Vida dos Incidentes
Papéis
Módulo 4
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 81/208
Teste
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 82/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 83/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento ISO 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 84/208
Módulo 5
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 85/208
O que veremos neste módulo?
Segurança Física
Anéis de Proteção
Alarmes
Proteção contra incêndio
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 86/208
Introdução
Acesso mais restritivo Acesso mais liberado
Empresa Privada: Empresa Pública:
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 87/208
Segurança Física
Segurança física faz parte da segurança dainformação, porque todos os ativos da empresa
devem ser fisicamente protegidos
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 88/208
Equipamento
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 89/208
Cabeamento
Cuidado com as interferências
Proteção contra chiados e ruídos
Fonte dupla de energia
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 90/208
Mídia de ArmazenamentoMídias Convencionais
Muitas impressoras podem armazenar informaçõesem seu próprio disco rígido.
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 91/208
Anel ExternoAnel Externo
Arames Farpados
MurosEstacionamento
Cercas Vivas
Riacho
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 92/208
Construções
Portões
Resistentes
Vidros
Blindados
ImpressãoDigital
Reconhecimentodas mãos
Biometriada IRIS
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 93/208
Gestão de Acesso
Crachá ou RFID
Gerenciamento eletrônico de acesso Medidas adicionais
Guardas
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 94/208
Exemplo
Em mais da metade dasmaternidades em Ohio, nos EUA,
ambos, a mãe e a criança, colocamuma etiqueta RFID em forma depulseira ou tornozeleira, desta
forma, as mães esperam que seusfilhos não sejam perdidos, raptados
ou dados aos pais errados.
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 95/208
Espaço de TrabalhoProteção dos espaços de trabalho
Detecção de Intruso
Salas especiais
Módulo5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 96/208
Detecção de Intruso
O método mais comum e mais utilizado para detecção passiva deintrusos são os de infravermelho, onde movimentos aparentes são
detectados quando há um objeto com uma temperatura
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 97/208
Sala Especial – Parte I
Sala deservidores
Sistema derefrigeração
Entrega e retiradasegura
Sala dearmazenamento
de materiaissensíveis
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 98/208
Sala Especial – Parte II
Baterias e UPS Desumidificador Extintores de incêndio
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 99/208
Exemplo
1 2
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 100/208
ObjetoO objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno.
Armários à provade fogo Cofres
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 101/208
Alarmes
Detecção Infravermelho Passivo
Câmeras
Detecção de vibração
Sensores de quebra de vidro
Contatos magnéticos
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 102/208
Proteção contra Incêndio
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 103/208
Sinalização e Agentes Extintores
Gases inertes
Espuma
Pó
Água
Areia
Os vários agentes extintores de fogo são:
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 104/208
Resumo
Agentes extintores
Anel Externo
Construções
Espaço de Trabalho
Objeto
Alarmes
Proteção contra incêndio
Sinalização
Módulo 5
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 105/208
Teste
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 106/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 107/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento de ITSM baseada na
ISO/IEC ® 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 108/208
Módulo 6
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 109/208
O que veremos neste módulo?
Gerenciamento de Acesso Lógico
Requisitos de Segurança para SI
Criptografia
Política de Criptografia
Tipos de Sistemas de Criptografia
Segurança de Arquivos de Sistemas
Vazamento de Informação
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 110/208
Introdução
Proteção dos dados As informaçõesdevem ser confiáveis
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 111/208
Gerenciamento Lógico de AcessoControle de Acesso Discricionário (DAC). Com o Controle deAcesso Discricionário, a decisão de conceder o acesso àinformação encontra-se com o próprio usuário.
Controle de Acesso Obrigatório (MAC). O controle de acessoobrigatório é definido e organizado centralmente para que aspessoas tenham acesso aos sistemas de informação.
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 112/208
Exemplo
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 113/208
Requisitos de Segurança para SI
Os requisitos de segurança precisam ser acordados e documentados nafase de Planejamento do Projeto.
Deve fazer parte de um “Business Case”
Implementar medidas de segurança na fase de concepção do projeto ficageralmente mais barato
Mantenha um contrato com o fornecedor, indicando as exigências desegurança
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 114/208
Exemplo
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 115/208
Processamento Correto das Aplicações
Sem perdas Sem erros
SegurasGerenciamento da validação dos dadosque são inseridos no sistema, oprocessamento interno e a saída de dados
ou informações
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 116/208
Exemplo
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 117/208
Validação dos dados de Entrada e Saída
Dados deEntrada
Dados de
Saída
Processa
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 118/208
CriptografiaAnálise Criptográfica serve para:
Desenvolver Algoritmos
Quebrar Algoritmos de Inimigos
Protege aConfidencialidade
Protege aAutenticidade Protege a
Integridade
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 119/208
Exemplo
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 120/208
A Política da CriptografiaDeve conter:
Para que a organização usa a criptografia
Que tipo de criptografia é utilizada
Quais aplicações usam criptografia
Controle e gestão de chaves
Backup
Controle
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 121/208
Gestão das Chaves
São protegidas
Quais pares foram emitidos?
Para quem?
Quando?
Qual a validade?
Ti d Si d C i fi
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 122/208
Tipo de Sistemas de Criptografia
Simétrico Assimétrico
Oneway
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 123/208
Simétrica
A raposaataca o cãopreguiçoso
A raposaataca o cãopreguiçoso
CRIPTOTEXTO TEXTO
Dhl*7Ytt_)*ND6̈ 85L<P`=-_W2#D
Criptografa Descriptografa
Mesma chave(segredo
compartilhado)
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 124/208
Assimétrica
A raposaataca o cãopreguiçoso
A raposaataca o cãopreguiçoso
CRIPTOTEXTO TEXTO
Dhl*7Ytt_)*ND6̈ 85L<P`=-_W2#D
Criptografa Descriptografa
Origem Destino
Chave Pública Chave Privada
Chave diferentes
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 125/208
Exemplo
Companhia de SeguroMédico
CertificationAuthority
Solicita acesso
Acesso concedido
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 126/208
Criptografia One-Way
Função Hash
TEXTO
CRIPTO
128 bits
Chave128 bits
128 bits
Pode ser usado também para:
Checa dois valores
Valida apenas a integridade
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 127/208
Segurança do Sistema de Arquivos
Gestão de Acesso aos Códigos-Fonte doPrograma
Segurança de Dados de Teste
Segurança nos Processos deDesenvolvimento e Suporte
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 128/208
Vazamento de Informações
Através de canais secretos de comunicação:
Para manutenção
Ou back door
Exemplo atual:
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 129/208
Terceirização do Desenvolvimento de Sistemas
c
Supervisionado pelo contratante
Avalie a obtenção de direitosde propriedade
Verifique questões de segurança, como os canaisocultos
ResumoMódulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 130/208
ResumoGerenciamento de Acesso Lógico
Requisitos de Segurança
Criptografia
Chaves Públicas
Simétricas
Assimétricas
Política de Criptografia
Tipos de Sistemas de Criptografia
Segurança de Arquivos
Vazamento de Informação
Módulo 6
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 131/208
Teste
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 132/208
Clique acima em
“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com
Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 133/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento ISO 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 134/208
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 135/208
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 136/208
IntroduçãoMedidasOrganizacionais
ISO/IEC 27001 e27002
Desastres
Comunicação
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 137/208
Política de Segurança da Informação
A Política de Segurança da Informaçãodeve ser aprovada pelo conselho
administrativo e publicada à todos osinteressados e envolvidos.
Pode ser incluída no processo deadmissão de um funcionário.
Mantido na Intranet, por exemplo.
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 138/208
Hierarquia
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 139/208
Exemplo
O Grupo Virgin Richard Branson, perdeu umCD contendoo nome de 3.000 clientes
A li d P lí i d SI
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 140/208
Avaliando a Política de SI
Ter uma Política é uma coisa, cumpri-la é outra.
Uma Política contém: Procedimento, Política deDocumento, Diretrizes, etc.
Parte de um ISMS (Information SecurityManagement System)
d l
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 141/208
Modelo PDCA
Plan
Check
DoAct
Os 18 domínios do ISO/IEC 27002:2013
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 142/208
Os 18 domínios do ISO/IEC 27002:2013
1 – Escopo10 - Criptografia
11 – Segurança Ambiental e Física
12 – Segurança Operacional
9 – Controle de Acesso
4 – Estrutura da Norma
2 -Referências Normativas
3 – Termos e Definições
5 - Políticas de Segurança da Informação
13 – Segurança da Comunicação
14 – Manutenção, Desenvolvimento eAquisição de Sistemas
0 - Introdução
15 – Relacionamento com Fornecedores
7 – Segurança de Recursos Humanos
6 – Segurança da Informação Organizacional
8 – Gerenciamento de Ativos
16 – Gerenciamento de Incidentes deSegurança da Informação
17 – Aspectos de Segurança da Informação doGerenciamento de Continuidade de Negócio
18 - Conformidade
Segurança dos Recursos Humanos
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 143/208
Segurança dos Recursos Humanos
Responsabilidades
Contrato e Código de Conduta
Antes Durante Depois
A h d lí i d SI
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 144/208
Acompanhamento da política de SI
A política de segurança da informação éavaliada periodicamente e, se
necessário, modificada. Para qualqueralteração na política deve se ter a
permissão do conselho administrativoda empresa.
A O i ã d S d I f ã
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 145/208
A Organização da Segurança da Informação
Devem ser aceitos por todos
Alta Direção devem dar exemplo
Depende da natureza da empresa
Definição de responsabilidades
P l
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 146/208
PessoalPatrimônio da empresa
Todos são responsáveis pela empresa
Conhecimento do código de conduta
Definição de responsabilidades
Penalidade e sanções frente à um incidente
Rigorosos procedimentos de desligamento
A d d Nã Di l ã
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 147/208
Acordo de Não-Divulgação
Trabalhos que exigem confidencialidade, exige-se um NDA assinado
C t t t
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 148/208
Contratantes
Os acordos escritos com o fornecedor,como uma agência de recrutamento,
devem incluir sanções em caso deviolações.
A i P i
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 149/208
Arquivos Pessoais
Dados como acordos assinados,declarações, perfil do cargo,
contrato de trabalho, NDA, etc.
Conscientização da SegurançaMódulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 150/208
ç g ç
Cursos
Sensibilização
Documentação
Conscientes
Proteção contraEngenharia
Social
E emplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 151/208
Exemplo
Acesso
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 152/208
Acesso
Uso obrigatório de um crachá
Registro de entrada e saída
Visitantes são monitorados desde arecepção
Gerenciamento de Continuidade de Negócio
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 153/208
Gerenciamento de Continuidade de Negócio
BPC – Business Continuity Planning DRP – Disaster Recovery Planning
Continuidade
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 154/208
Continuidade
Continuidade diz respeito à disponibilidadedos sistemas de informação no momentoem que eles são necessários.
O que são Desastres?
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 155/208
O que são Desastres?
Placa de rede com defeito
Uma inundação
Falha em um sistema
Falha de energia
Alerta contrabomba
Plano de evacuação
DRP
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 156/208
DRP
DRP – Disaster Recovery Planning
DRP: Existe agora um desastre e tenho quevoltar a trabalhar;
BCP: Nós tivemos um desastre e tenho quevoltar à situação de como era antes dodesastre.
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 157/208
Exemplo
Locais Alternativos
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 158/208
Local Alternativo
Ações e Considerações
Site Redundante: Para empresas que tem diversaslocalidades e um único Data Center
Hot Site sob demanda: Site Móvel
Teste o BCP, já que as catástrofes não acontecem só com os outros
Mudanças nos processo de negócios devem refletir no BCPPessoas são ativos da empresa, consequentemente podem não estar maisdisponíveis após um desastre
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 159/208
Gestão de Mudanças
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 160/208
Gestão de Mudanças
Planejar antecipadamente
Cada mudança tem uma consequência
Definida como pequena, média e grande
mudança
Segregue as funções
Segregação de Funções
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 161/208
Segregação de FunçõesTarefas e responsabilidades devem ser separadas para evitar que alterações nãoautorizadas sejam executadas e alterações não intencionais ou evitar o uso indevido
de ativos da organização
Revisão deveser realizada
Determine oacesso à
informação
Tarefas sãodivididas
Segregue asfunções
Desenvolvimento Teste Homologação
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 162/208
Desenvolvimento, Teste, Homologação
e Produção
Ambientes para cada finalidade
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 163/208
Exemplo
Gestão de Serviços de Terceiros
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 164/208
Gestão de Serviços de TerceirosNem todas as atividades importantes são feitas internamente
Elaborar um bom contrato
Estabeleça um SLA
Valide através de uma auditoria
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 165/208
Exemplo
1/3300 profissionais
de TI
33% 47%
Proteção contra Phishing Malware e Spam
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 166/208
Proteção contra Phishing, Malware e Spam
Malware é uma combinaçãode palavras suspeitas e
programas indesejáveis, taiscomo vírus, worms, trojans
e spyware.
Phishing é uma forma de fraudena internet onde a vítima recebe
um e-mail pedindo-lhe paraverificar ou confirmar seus dadosbancários
Spam é um nomecoletivo para
mensagens indesejadas
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 167/208
Exemplo
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 168/208
Exemplo
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 169/208
Exemplo
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 170/208
Exemplo
Internet Banking
Backup e Restore
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 171/208
Backup e Restore
Estabeleça regularidade
Teste
Atendimento aos requisitos
Armazene
Gerenciamento de Segurança de Rede
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 172/208
Gerenciamento de Segurança de Rede
Intranet
VPNExtranet
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 173/208
e p o
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 174/208
p
Manuseio de Mídia
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 175/208
Publicação não autorizada
Alteração
Deleção ou destruição
Interrupção das atividades empresariais
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 176/208
p
Equipamento Móvel
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 177/208
q p
Eles são mais do que apenas um hardware, eles também contêm software e dados.Muitos incidentes ocorrem envolvendo equipamentos móveis.
Os procedimentos devem serdesenvolvidos para o armazenamento e
manuseio de informações, a fim deprotegê-lo contra a publicação não
autorizada ou o uso indevido. O melhormétodo para isso é a classificação ou
graduação
Troca de Informação
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 178/208
ç
Fazer acordos internos e externos
Expectativas claramente documentadas
Cuidados com as Mensagens Eletrônicas
Cuidados com os Sistemas de InformaçõesEmpresariais
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 179/208
p
Serviços para e-commerce
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 180/208
ç p
Proteção extra
Confidencialidade e Integridade
Exemplo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 181/208
p
Informações Publicamente Disponíveis
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 182/208
ç p
Corretas, íntegras e seguras De empresas privadas e públicas
Resumo
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 183/208
Política de Segurança
Os domínios da ISO/IEC
Pessoal e Segregação de Funções
NDA
Continuidade de Negócio (DRP e BCP)
Gerenciamento de Mudanças
Gerenciamento de Comunicação
Vírus, Malware, Phishing, Rootkit, Botnets, Spyware,Logic Bomb, Hoax, Trojan e Worm
Gerenciamento de Segurança
Teste
Módulo 7
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 184/208
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 185/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
www.pmgacademy.com Official Course
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 186/208
Área de Aprendizagem
www.pmgacademy.com
Official Course
Treinamento ISO 27002 Foundation
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 187/208
Módulo 8
O que veremos neste módulo?Ob â i d R l L i
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 188/208
Observância dos Regulamentos Legais
Conformidade
Direitos de Propriedade Intelectual
Proteger documentos comerciais
Confidencialidade
Prevenção do uso indevido
Política e Padrões de SegurançaMedidas de Controle e Auditoria
Introdução
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 189/208
A legislação abrange as áreas de
tributação, contabilidade, privacidade,financeiro e regulamentação para os
bancos e empresas.
Observância dos regulamentos legais
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 190/208
Cada empresa, deve observar a legislação local,regulamentos e obrigações contratuais,
principalmente, onde serão executadas asoperações comerciais, ou seja, em outros paises.
Exigências legais podem variarbastante, particularmente na área da
privacidade e, portanto, a maneira
que se lidará com a informação, quepode ser privada e diferente.
Conformidade
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 191/208
RastreabilidadeObrigatoriedade
Flexibilidade
Tolerância
Dedicação
Exemplo
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 192/208
Medidas para a Conformidade
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 193/208
Política Interna contendo as legislações e as regulamentações nacionais
Procedimentos para aplicação prática
Análise de Riscos para assegurar os níveis de segurança
Direitos de Propriedades Intelectuais
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 194/208
Publicar uma Política
Conscientização e inclusão do DPI à Política
Incluir os direitos de Uso
Comprar softwares de fornecedores idôneosRespeitar a forma de licenciamento de código aberto
Identificar e manter registro dos ativos
Mantenha as licenças de uso dos programas
Exemplo
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 195/208
Proteção de Documentos Empresariais
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 196/208
Documentos precisam ser protegidos contra perda,destruição e falsificação
Os registros devem ser classificados de acordo com o tipo
Prazo e meios de armazenamentos devem ser
determinadosConsidere a perda de qualidade do armazenamento aolongo do tempo
Estabeleça procedimentos para evitar a perda deinformações
Confidencialidade
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 197/208
Sob uma legislação
Política de proteção
Nomeação de um responsável
Medidas técnicas de proteção
Exemplo
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 198/208
Prevenção do uso indevido dos recursos de TI
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 199/208
Como os recursos são utilizados
Monitore o uso
Cumpra os regulamentos
Código de conduta
Veja a legislação do país
Exemplo
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 200/208
Política e Padrões de Segurança
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 201/208
ConselhoAdministrativo
Gerentes
FuncionaisOperacional
Medidas de Controle e Auditoria
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 202/208
Está incluído na política?
É observado na prática?
Será que a medição esta sendo feita?
Exemplo
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 203/208
Auditoria de Sistema da Informação
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 204/208
Envolve riscos
Afeta a capacidade
Cuidados com o exame de um item por duaspessoas destintas
Emissão de notificação de auditoria
Proteção auxiliar utilizando os Sistemas de
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 205/208
Informação
Não importa como uma organização planejou a sua segurança, a segurança é tão
forte quanto o elo mais fraco!
• Medidas de segurança são válidas também para osauditores
ResumoOb â i d R g l t L g i
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 206/208
Observância dos Regulamentos Legais
Conformidade
Direitos de Propriedade Intelectual
Proteger Documentos Comerciais
Confidencialidade
Prevenção do Uso Indevido
Políticas e Padrões de Segurança
Medidas de Controle Auditoria
Teste
Módulo 8
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 207/208
8/18/2019 Curso oficial iso 27002:2013 foundation
http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 208/208
Clique acima em“Sair da Atividade”
Pronto para o próximo?
Top Related