curso oficial iso 27002:2013 foundation

8/18/2019 Curso oficial iso 27002:2013 foundation

http://slidepdf.com/reader/full/curso-oficial-iso-270022013-foundation 1/208

Área de Aprendizagem

www.pmgacademy.com

Official Course

TreinamentoISO/IEC ® 27002:2013 Foundation

http://www.pmgacademy.com/

mailto:[email protected]






Módulo 1



NívelFoundation

Prof. Adriano Martins

Clique Aqui para Iniciar

ISO/IEC ® 27002:2013 Foundation

ESTE DOCUMENTO CONTÉM INFORMAÇÕESPROPRIETÁRIAS, PROTEGIDAS PORCOPYRIGHT. TODOS OS DIREITOSRESERVADOS. NENHUMA PARTE DESTEDOCUMENTO PODE SER FOTOCOPIADA,REPRODUZIDA OU TRADUZIDA PARA OUTROIDIOMA SEM CONSENTIMENTO DA PMG

ACADEMY LTDA, BRASIL.

© Copyright 2012 - 2013, PMG Academy. Todos osdireitos reservados.

www.pmgacademy.com



Executar todos os Simulados

Dica para Questões e Simulados:Corrigir as questões que estão erradas e PRINCIPALMENTE as CORRETAS

Assistir no mínimo 2 vezes o Treinamento

Realizar os Exercícios no final de cada módulo

Breve leitura dos Termos no Glossário

Maior Aproveitamento

Módulo 1



ProgramaçãoIntroduçãoMódulo 1

Informação, Objetivos de Negócios e Requisitos de QualidadeMódulo 2

Riscos e AmeaçasMódulo 3

Ativos de Negócio e Incidentes de Segurança da InformaçãoMódulo 4

Medidas FísicasMódulo 5

Medidas Técnicas (Segurança de TI)Módulo 6

Medidas OrganizacionaisMódulo 7

Legislação e RegulamentosMódulo 8

SimuladosMódulo 9

Módulo 1



Sobre o EXIN

www.exin-exams.com

Módulo 1



Esquema de Qualificação ISO/IEC 27002:2013

Foundation Level

Information Security Foundation based on ISO/IEC 27002

Advanced Level

Information Security Management Advanced based on ISO/IEC 27002

Expert Level

Information Security Management Expert based on ISO/IEC 27002

Módulo 1



Propósito do Curso

Globalização

TI: Ativo valioso

Informação confiável

Módulo 1



Público Alvo

Qualquer pessoa na organização que manuseia informações. Étambém aplicável a proprietários de pequenas empresas a quem

alguns conceitos básicos de Segurança da Informação sãonecessários. Este módulo pode ser um excelente ponto de partida

para novos profissionais de segurança da informação.

Módulo 1



Pré-Requisitos

Módulo 1



Detalhes do Exame

Múltipla escolha emcomputador ou

impresso em papel

60 minutos

4065 % (26 de 40)

não

não

Nenhum

Tipo de exame:

Tempo destinado ao exame:

Mínimo para aprovação: Número de questões:

Com consulta:

Equipamentoseletrônicos permitidos:

Pré requisitos:

Módulo 1



Formato do ExameConteúdo

10% - Segurança da Informação2,5% - O conceito de Informação

2,5% - Valor da Informação

5% - Aspectos de Confiabilidade

30% - Ameaças e Riscos15% - Ameaças e Riscos

15% - O Relacionamento entre Ameaças,Riscos e Confiabilidade da Informação

10% - Abordagem e Organização2,5% - Política de Segurança e Segurança da Organização

2,5% - Componentes da Segurança da Organização

5% - Gerenciamento de Incidentes

40% - Medidas

10% - Importância das Medidas10% - Medidas de Seguranças Físicas

10% - Medidas de Segurança Técnica

10% - Medidas Organizacionais

10% - Legislação e Regulamentações

Módulo 1



Visão Geral

:

Segurança Proteção

Informação MercadoriaValiosa

Informação DesempenhamUm papel

Importante noNosso tempo livre

Conexão Risco e Segurança

MedidasFísicasTécnicasOrganizacionais

Módulo 1



Introdução à Segurança da Informação

A segurança da informação é adisciplina que concentra naqualidade (confiabilidade)

Disponibilidade, Confidencialidadee Integridade

Tríade

Truque para execução da segurança da informação:

Os requisitos de qualidade que uma organização pode ter para a informação;

Os riscos para estes requisitos de qualidade;

As medidas que são necessárias para minimizar esses riscos;

Assegurar a continuidade da organização no caso de um desastre

Módulo 1



Clique acima em“Sair da Atividade”

Pronto para o próximo?

www.pmgacademy.com Official Course






www.pmgacademy.com

Official Course

Treinamento de ITSM baseada naISO/IEC ® 27002 Foundation








Módulo 2



O que veremos neste módulo?

Forma, Valor e Fator do Sistema de Informação

Tríade: Disponibilidade, Integridade e Confiabilidade

Arquitetura e Análise da Informação

Gestão da Informação

Módulo 2



IntroduçãoS.I. diz respeito à Garantia de

Proteção aos Dados Dados ≠ Informações

“... Ação de informar ou informar-se. /Notícia recebida ou comunicada; informe./ Espécie de investigação a que se precede

para verificar um fato …”

Módulo 2



Formas

Imagens de vídeoTextos de

documentos Palavras faladas

Módulo 2



Sistema da InformaçãoCombinação de meios, procedimentos, regras e pessoas que asseguram o

fornecimento de informações para um processo operacional

Servidores

TelefoneArmazenamento

Cabos e wirelessEstação de Trabalho

Módulo 2



Exemplo

Telefone móvel é seguro?

Módulo 2



Valor da Informação

Quem defineo valor é o

destinatário

Dados ou informações?

Dados Informações

Semsignificado

Comsignificado

Módulo 2



Informação como fator de produção

CapitalMão de Obra

Matéria-Prima

Tecnologia

Módulo 2



Módulo 2

Disponibilidade, Integridade e Confiabilidade

Pilares para umaanálise de riscos, com

base no CIA

A importância da informação para os processos operacionais;

A indispensabilidade das informações dentro dos processos operacionais;

A recuperação da informação.



Disponibilidade

Pontualidade. Os sistemas de informação estão disponíveisquando necessários;

Robustez. Não há capacidade suficiente para permitir que todos osfuncionários trabalhem nos sistemas de informação.

Continuidade. O pessoal pode continuar a trabalhar no caso de umfracasso ou indisponibilidade;

Módulo 2



Integridade

Informação sem errosInformação atualizada

“...o grau em que a informação está atualizada e sem erros...”

Módulo 2



Exemplo

Crimeware

Módulo 2



Confidencialidade“...é o grau em que o acesso à informação é

restrito a um grupo definido de pessoasautorizadas...”

PrivacidadeRestrição de acesso

Módulo 2



Reporte

Arquitetura da Informação

“... processo que demonstra como será feita a prestaçãode informação ...”

DistribuiçãoEncaminhamento Disponibilização

Módulo 2



Exemplo

Conexão física para a Internet dá aos hackers potencialacesso aos sistemas do avião

Módulo 2



Análise da Informação

Workflow

Projetar um sistema baseado no seu Fluxo

Em virtude do resultadoda análise

Módulo 2



Processos Operacionais e de Informações

1

Processo Primário

Processo orientativo

Processo de apoio

Módulo 2



Gestão da Informação e a Informática

Gestão dacomunicação

Formula e dirige apolítica relativa à

prestação deinformação

Informáticadesenvolve

Informações

Módulo 2



Resumo

Gestão da Informação

Forma da Informação

Sistema da Informação

Valor da Informação

Disponibilidade

Integridade

Confidencialidade

Arquitetura da Informação

Módulo 2



Teste

Módulo 2




www.pmgacademy.com

Official Course

Treinamento ISO 27002 Foundation








Módulo 3




Análise de Riscos

Medidas de Redução de Riscos

Tipos de Ameaças

Tipos de Danos

Módulo 3



Introdução

Ameaça de roubo. Risco subjetivo ou objetivo?

Mapeamento das ameaças Senha de acesso?

Módulo 3



Na prática

Um incêndio quepode iniciar emsua empresa.

Um empregado que nãotrabalha no RH mas pode

obter acesso às informaçõesdeste departamento.

Alguém que se apresentacomo um empregado etenta obter informações

interna da empresa.

Sua empresa é atingidopor uma falha de

energiaUm hacker consegue

acessar a rede da empresa.

Módulo 3



Gerenciamento de RiscosGerenciamento de Riscos:

Ameaça manifestada:torna-se umINCIDENTE

Ameaçaconcretizada: Surge

um RISCO, então...Medidas de

segurança sãotomadas

CICLO CONTÍNUO

Identificar

Reduzir Examinar

Módulo 3



Exemplo

Módulo 3



Análise de RiscosServe para:

Objetivos

Como ferramenta para Gestão de RiscosDeterminar se as ameaças são relevantesIdentificar riscos associadosGarantir que as medidas de segurança sejam implantadas

Evita gastos desnecessários em medidas de segurançaAjuda a conhecer os conceitos de segurançaAvaliar corretamente os riscos

Identificar os bens e os seus valoresDeterminar as vulnerabilidades e ameaçasDeterminar quais as ameaças se tornarão um riscoDeterminar um equilíbrio entre os custos

Módulo 3



Tipo de Análise de Riscos: Quantitativo

Baseado na probabilidade da ameaça tornar-se umincidente

Baseado na perda financeira

Baseado no impacto

Módulo 3



Exemplo

Módulo 3



Tipo de Análise de Riscos: Qualitativo

Baseado nas situações

Baseado nos sentimentos

Baseado nos cenários

Módulo 3



Medidas de Redução de RiscosObjetivo:

Reduzir a chance do evento ocorrer

Minimizar as consequências

Através

Prevenção Detecção Repressão

Correção Seguros Aceitação

Módulo 3

ód l



Tipos de Medidas de Segurança

Ameaça

PrevençãoSeguro

Aceitação

Detecção Repressão Recuperação

Risco

Redução

Incidente

Módulo 3

Mód l 3



Tipos de Ameaças

Humanas Não-Humanas

Módulo 3

Mód l 3



Ameaça Humana

Ameaça Externa: Hacker

Funcionários Internos

Engenharia Social

Módulo 3

Mód l 3



Ameaça Não-Humana

IncêndiosRelâmpagos Inundações

Tempestades Catástrofes

Módulo 3

Mód l 3



Exemplo

Módulo 3

Mód lo 3



Tipos de Danos

Danos diretos

Danos indiretos

ALE – Annual Loss Expectancy

SLE – Single Loss Expectancy

Módulo 3

Módulo 3



Exemplo

Módulo 3

Módulo 3



Tipos de Estratégia de Risco

Aceitar

Minimizar

Sem incidentes

Carregar o Risco

Neutralizar o Risco

Evitar o Risco

Módulo 3

Módulo 3



Diretrizes para implementarmedidas de segurança

Módulo 3

Módulo 3



Exemplo

Módulo 3

Módulo 3



Resumo

Diretrizes para implementação

Gerenciamento de Riscos

Análise de Riscos Quantitativo

Análise de Riscos Qualitativo

Medidas de Redução

Tipo de Ameaça

Tipo de Dano

Tipo de Estratégia

Módulo 3

Módulo 3



Teste

Módulo 3




www.pmgacademy.com

Official Course









Módulo 4

Módulo 4




Ativos de Negócios

Classificação dos Ativos

Gerenciamento de Incidente

Ciclo de Incidentes

Papéis

Módulo 4

Módulo 4



Introdução

Processo de Segurança daInformação é Contínuo

Deve ser apoiada pela AltaAdministração

Módulo 4

Módulo 4



Quais são os ativos da empresa

As informações que são gravadassobre os bens da empresa são:

O tipo de ativo de negócio;

Proprietário do processo;

Localização do ativo;

O Formato do ativo;

A Classificação; Valor do ativo para o negócio.

Módulo 4



Gerenciamento de Ativos de Negócios

Acordos

Como lidar com os ativos

Como as mudanças acontecem

Quem inicia as mudanças e como são testadas

Módulo 4



Acordos de como lidar com os ativos da empresa

Quanto mais complexo o ativo,mais importante uma instrução de uso

Módulo 4



O uso dos ativos de negócio

Regras de utilização

Módulo 4



TermosDesignar(forma especial de categorização)

Graduar(classificar a informação apropriadamente)

Classificação(níveis desensibilidade)

Proprietário(responsável por um

ativode negócio)

Módulo 4



Classificação

Módulo 4



Gerenciamento de Incidentes de Segurança

Incidentes de Segurança

Reportar ao Service Desk

Módulo 4



Reporte dos Incidentes de SegurançaOs relatórios devem ser usados como:

Uma forma de aprender

Reporte de incidentes

Os relatórios devem ser usados como:

Data e hora

Nome da pessoa que reporta o incidente

Localização (onde foi o incidente?)

Qual é o problema?Qual é o efeito que o incidente causou?

Como foi descoberto?

Módulo 4



Exemplo

Um procedimento contém instruções

do que fazer diante de um incidenteIncidentes de segurança

Módulo 4



Reportando Fraquezas de SegurançaReportar fraquezas e

deficiências, mais cedopossível

Módulo 4



É importante que as informaçõespertinentes sejam coletadas e

armazenadas

Registro de Ruptura

Módulo 4



Medidas no ciclo de vida do Incidente

Redução

Prevenção

Detecção

Repressão

CorreçãoAvaliação

Ameaça Incidente Dano Recuperação

Módulo 4



Papéis CISO

ISO

ISM

Módulo 4



Resumo

Ativos de Negócios

Classificação dos Ativos

Gerenciamento de Incidentes

Ciclo de Vida dos Incidentes

Papéis

Módulo 4



Teste




www.pmgacademy.com

Official Course









Módulo 5

Módulo 5




Segurança Física

Anéis de Proteção

Alarmes

Proteção contra incêndio

Módulo 5



Introdução

Acesso mais restritivo Acesso mais liberado

Empresa Privada: Empresa Pública:

Módulo 5



Segurança Física

Segurança física faz parte da segurança dainformação, porque todos os ativos da empresa

devem ser fisicamente protegidos

Módulo 5



Equipamento

Módulo 5



Cabeamento

Cuidado com as interferências

Proteção contra chiados e ruídos

Fonte dupla de energia

Módulo 5



Mídia de ArmazenamentoMídias Convencionais

Muitas impressoras podem armazenar informaçõesem seu próprio disco rígido.

Módulo 5



Anel ExternoAnel Externo

Arames Farpados

MurosEstacionamento

Cercas Vivas

Riacho

Módulo 5



Construções

Portões

Resistentes

Vidros

Blindados

ImpressãoDigital

Reconhecimentodas mãos

Biometriada IRIS

Módulo 5



Gestão de Acesso

Crachá ou RFID

Gerenciamento eletrônico de acesso Medidas adicionais

Guardas

Módulo 5



Exemplo

Em mais da metade dasmaternidades em Ohio, nos EUA,

ambos, a mãe e a criança, colocamuma etiqueta RFID em forma depulseira ou tornozeleira, desta

forma, as mães esperam que seusfilhos não sejam perdidos, raptados

ou dados aos pais errados.

Módulo 5



Espaço de TrabalhoProteção dos espaços de trabalho

Detecção de Intruso

Salas especiais

Módulo5



Detecção de Intruso

O método mais comum e mais utilizado para detecção passiva deintrusos são os de infravermelho, onde movimentos aparentes são

detectados quando há um objeto com uma temperatura

Módulo 5



Sala Especial – Parte I

Sala deservidores

Sistema derefrigeração

Entrega e retiradasegura

Sala dearmazenamento

de materiaissensíveis

Módulo 5



Sala Especial – Parte II

Baterias e UPS Desumidificador Extintores de incêndio

Módulo 5



Exemplo

1 2

Módulo 5



ObjetoO objeto refere-se a parte mais sensível que tem que ser protegida, ou seja, o anel interno.

Armários à provade fogo Cofres

Módulo 5



Alarmes

Detecção Infravermelho Passivo

Câmeras

Detecção de vibração

Sensores de quebra de vidro

Contatos magnéticos

Módulo 5



Proteção contra Incêndio

Módulo 5



Sinalização e Agentes Extintores

Gases inertes

Espuma

Pó

Água

Areia

Os vários agentes extintores de fogo são:

Módulo 5



Resumo

Agentes extintores

Anel Externo

Construções

Espaço de Trabalho

Objeto

Alarmes

Proteção contra incêndio

Sinalização

Módulo 5



Teste




www.pmgacademy.com

Official Course

Treinamento de ITSM baseada na

ISO/IEC ® 27002 Foundation








Módulo 6

Módulo 6




Gerenciamento de Acesso Lógico

Requisitos de Segurança para SI

Criptografia

Política de Criptografia

Tipos de Sistemas de Criptografia

Segurança de Arquivos de Sistemas

Vazamento de Informação

Módulo 6



Introdução

Proteção dos dados As informaçõesdevem ser confiáveis

Módulo 6



Gerenciamento Lógico de AcessoControle de Acesso Discricionário (DAC). Com o Controle deAcesso Discricionário, a decisão de conceder o acesso àinformação encontra-se com o próprio usuário.

Controle de Acesso Obrigatório (MAC). O controle de acessoobrigatório é definido e organizado centralmente para que aspessoas tenham acesso aos sistemas de informação.

Módulo 6



Exemplo

Módulo 6



Requisitos de Segurança para SI

Os requisitos de segurança precisam ser acordados e documentados nafase de Planejamento do Projeto.

Deve fazer parte de um “Business Case”

Implementar medidas de segurança na fase de concepção do projeto ficageralmente mais barato

Mantenha um contrato com o fornecedor, indicando as exigências desegurança

Módulo 6



Exemplo

Módulo 6



Processamento Correto das Aplicações

Sem perdas Sem erros

SegurasGerenciamento da validação dos dadosque são inseridos no sistema, oprocessamento interno e a saída de dados

ou informações

Módulo 6



Exemplo

Módulo 6



Validação dos dados de Entrada e Saída

Dados deEntrada

Dados de

Saída

Processa

Módulo 6



CriptografiaAnálise Criptográfica serve para:

Desenvolver Algoritmos

Quebrar Algoritmos de Inimigos

Protege aConfidencialidade

Protege aAutenticidade Protege a

Integridade

Módulo 6



Exemplo

Módulo 6



A Política da CriptografiaDeve conter:

Para que a organização usa a criptografia

Que tipo de criptografia é utilizada

Quais aplicações usam criptografia

Controle e gestão de chaves

Backup

Controle

Módulo 6



Gestão das Chaves

São protegidas

Quais pares foram emitidos?

Para quem?

Quando?

Qual a validade?

Ti d Si d C i fi

Módulo 6



Tipo de Sistemas de Criptografia

Simétrico Assimétrico

Oneway

Módulo 6



Simétrica

A raposaataca o cãopreguiçoso


CRIPTOTEXTO TEXTO

Dhl*7Ytt_)*ND6̈ 85L<P`=-_W2#D

Criptografa Descriptografa

Mesma chave(segredo

compartilhado)

Módulo 6



Assimétrica



CRIPTOTEXTO TEXTO

Dhl*7Ytt_)*ND6̈ 85L<P`=-_W2#D

Criptografa Descriptografa

Origem Destino

Chave Pública Chave Privada

Chave diferentes

Módulo 6



Exemplo

Companhia de SeguroMédico

CertificationAuthority

Solicita acesso

Acesso concedido

Módulo 6



Criptografia One-Way

Função Hash

TEXTO

CRIPTO

128 bits

Chave128 bits

128 bits

Pode ser usado também para:

Checa dois valores

Valida apenas a integridade

Módulo 6



Segurança do Sistema de Arquivos

Gestão de Acesso aos Códigos-Fonte doPrograma

Segurança de Dados de Teste

Segurança nos Processos deDesenvolvimento e Suporte

Módulo 6



Vazamento de Informações

Através de canais secretos de comunicação:

Para manutenção

Ou back door

Exemplo atual:

Módulo 6



Terceirização do Desenvolvimento de Sistemas

c

Supervisionado pelo contratante

Avalie a obtenção de direitosde propriedade

Verifique questões de segurança, como os canaisocultos

ResumoMódulo 6



ResumoGerenciamento de Acesso Lógico

Requisitos de Segurança

Criptografia

Chaves Públicas

Simétricas

Assimétricas

Política de Criptografia

Tipos de Sistemas de Criptografia

Segurança de Arquivos

Vazamento de Informação

Módulo 6



Teste



Clique acima em

“Sair da Atividade”


www.pmgacademy.com

Official Course






www.pmgacademy.com

Official Course









Módulo 7



IntroduçãoMedidasOrganizacionais

ISO/IEC 27001 e27002

Desastres

Comunicação

Módulo 7



Política de Segurança da Informação

A Política de Segurança da Informaçãodeve ser aprovada pelo conselho

administrativo e publicada à todos osinteressados e envolvidos.

Pode ser incluída no processo deadmissão de um funcionário.

Mantido na Intranet, por exemplo.

Módulo 7



Hierarquia

Módulo 7



Exemplo

O Grupo Virgin Richard Branson, perdeu umCD contendoo nome de 3.000 clientes

A li d P lí i d SI

Módulo 7



Avaliando a Política de SI

Ter uma Política é uma coisa, cumpri-la é outra.

Uma Política contém: Procedimento, Política deDocumento, Diretrizes, etc.

Parte de um ISMS (Information SecurityManagement System)

d l

Módulo 7



Modelo PDCA

Plan

Check

DoAct

Os 18 domínios do ISO/IEC 27002:2013

Módulo 7



Os 18 domínios do ISO/IEC 27002:2013

1 – Escopo10 - Criptografia

11 – Segurança Ambiental e Física

12 – Segurança Operacional

9 – Controle de Acesso

4 – Estrutura da Norma

2 -Referências Normativas

3 – Termos e Definições

5 - Políticas de Segurança da Informação

13 – Segurança da Comunicação

14 – Manutenção, Desenvolvimento eAquisição de Sistemas

0 - Introdução

15 – Relacionamento com Fornecedores

7 – Segurança de Recursos Humanos

6 – Segurança da Informação Organizacional

8 – Gerenciamento de Ativos

16 – Gerenciamento de Incidentes deSegurança da Informação

17 – Aspectos de Segurança da Informação doGerenciamento de Continuidade de Negócio

18 - Conformidade

Segurança dos Recursos Humanos

Módulo 7



Segurança dos Recursos Humanos

Responsabilidades

Contrato e Código de Conduta

Antes Durante Depois

A h d lí i d SI

Módulo 7



Acompanhamento da política de SI

A política de segurança da informação éavaliada periodicamente e, se

necessário, modificada. Para qualqueralteração na política deve se ter a

permissão do conselho administrativoda empresa.

A O i ã d S d I f ã

Módulo 7



A Organização da Segurança da Informação

Devem ser aceitos por todos

Alta Direção devem dar exemplo

Depende da natureza da empresa

Definição de responsabilidades

P l

Módulo 7



PessoalPatrimônio da empresa

Todos são responsáveis pela empresa

Conhecimento do código de conduta

Definição de responsabilidades

Penalidade e sanções frente à um incidente

Rigorosos procedimentos de desligamento

A d d Nã Di l ã

Módulo 7



Acordo de Não-Divulgação

Trabalhos que exigem confidencialidade, exige-se um NDA assinado

C t t t

Módulo 7



Contratantes

Os acordos escritos com o fornecedor,como uma agência de recrutamento,

devem incluir sanções em caso deviolações.

A i P i

Módulo 7



Arquivos Pessoais

Dados como acordos assinados,declarações, perfil do cargo,

contrato de trabalho, NDA, etc.

Conscientização da SegurançaMódulo 7



ç g ç

Cursos

Sensibilização

Documentação

Conscientes

Proteção contraEngenharia

Social

E emplo

Módulo 7



Exemplo

Acesso

Módulo 7



Acesso

Uso obrigatório de um crachá

Registro de entrada e saída

Visitantes são monitorados desde arecepção

Gerenciamento de Continuidade de Negócio

Módulo 7



Gerenciamento de Continuidade de Negócio

BPC – Business Continuity Planning DRP – Disaster Recovery Planning

Continuidade

Módulo 7



Continuidade

Continuidade diz respeito à disponibilidadedos sistemas de informação no momentoem que eles são necessários.

O que são Desastres?

Módulo 7



O que são Desastres?

Placa de rede com defeito

Uma inundação

Falha em um sistema

Falha de energia

Alerta contrabomba

Plano de evacuação

DRP

Módulo 7



DRP

DRP – Disaster Recovery Planning

DRP: Existe agora um desastre e tenho quevoltar a trabalhar;

BCP: Nós tivemos um desastre e tenho quevoltar à situação de como era antes dodesastre.

Exemplo

Módulo 7



Exemplo

Locais Alternativos

Módulo 7



Local Alternativo

Ações e Considerações

Site Redundante: Para empresas que tem diversaslocalidades e um único Data Center

Hot Site sob demanda: Site Móvel

Teste o BCP, já que as catástrofes não acontecem só com os outros

Mudanças nos processo de negócios devem refletir no BCPPessoas são ativos da empresa, consequentemente podem não estar maisdisponíveis após um desastre



Gestão de Mudanças

Módulo 7



Gestão de Mudanças

Planejar antecipadamente

Cada mudança tem uma consequência

Definida como pequena, média e grande

mudança

Segregue as funções

Segregação de Funções

Módulo 7



Segregação de FunçõesTarefas e responsabilidades devem ser separadas para evitar que alterações nãoautorizadas sejam executadas e alterações não intencionais ou evitar o uso indevido

de ativos da organização

Revisão deveser realizada

Determine oacesso à

informação

Tarefas sãodivididas

Segregue asfunções

Desenvolvimento Teste Homologação

Módulo 7



Desenvolvimento, Teste, Homologação

e Produção

Ambientes para cada finalidade

Exemplo

Módulo 7



Exemplo

Gestão de Serviços de Terceiros

Módulo 7



Gestão de Serviços de TerceirosNem todas as atividades importantes são feitas internamente

Elaborar um bom contrato

Estabeleça um SLA

Valide através de uma auditoria

Exemplo

Módulo 7



Exemplo

1/3300 profissionais

de TI

33% 47%

Proteção contra Phishing Malware e Spam

Módulo 7



Proteção contra Phishing, Malware e Spam

Malware é uma combinaçãode palavras suspeitas e

programas indesejáveis, taiscomo vírus, worms, trojans

e spyware.

Phishing é uma forma de fraudena internet onde a vítima recebe

um e-mail pedindo-lhe paraverificar ou confirmar seus dadosbancários

Spam é um nomecoletivo para

mensagens indesejadas

Exemplo

Módulo 7



Exemplo

Exemplo

Módulo 7



Exemplo

Internet Banking

Backup e Restore

Módulo 7



Backup e Restore

Estabeleça regularidade

Teste

Atendimento aos requisitos

Armazene

Gerenciamento de Segurança de Rede

Módulo 7



Gerenciamento de Segurança de Rede

Intranet

VPNExtranet

Exemplo

Módulo 7



e p o

Exemplo

Módulo 7



p

Manuseio de Mídia

Módulo 7



Publicação não autorizada

Alteração

Deleção ou destruição

Interrupção das atividades empresariais

Exemplo

Módulo 7



p

Equipamento Móvel

Módulo 7



q p

Eles são mais do que apenas um hardware, eles também contêm software e dados.Muitos incidentes ocorrem envolvendo equipamentos móveis.

Os procedimentos devem serdesenvolvidos para o armazenamento e

manuseio de informações, a fim deprotegê-lo contra a publicação não

autorizada ou o uso indevido. O melhormétodo para isso é a classificação ou

graduação

Troca de Informação

Módulo 7



ç

Fazer acordos internos e externos

Expectativas claramente documentadas

Cuidados com as Mensagens Eletrônicas

Cuidados com os Sistemas de InformaçõesEmpresariais

Exemplo

Módulo 7



p

Serviços para e-commerce

Módulo 7



ç p

Proteção extra

Confidencialidade e Integridade

Exemplo

Módulo 7



p

Informações Publicamente Disponíveis

Módulo 7



ç p

Corretas, íntegras e seguras De empresas privadas e públicas

Resumo

Módulo 7



Política de Segurança

Os domínios da ISO/IEC

Pessoal e Segregação de Funções

NDA

Continuidade de Negócio (DRP e BCP)

Gerenciamento de Mudanças

Gerenciamento de Comunicação

Vírus, Malware, Phishing, Rootkit, Botnets, Spyware,Logic Bomb, Hoax, Trojan e Worm

Gerenciamento de Segurança

Teste

Módulo 7




www.pmgacademy.com

Official Course









Módulo 8

O que veremos neste módulo?Ob â i d R l L i

Módulo 8



Observância dos Regulamentos Legais

Conformidade

Direitos de Propriedade Intelectual

Proteger documentos comerciais

Confidencialidade

Prevenção do uso indevido

Política e Padrões de SegurançaMedidas de Controle e Auditoria

Introdução

Módulo 8



A legislação abrange as áreas de

tributação, contabilidade, privacidade,financeiro e regulamentação para os

bancos e empresas.

Observância dos regulamentos legais

Módulo 8



Cada empresa, deve observar a legislação local,regulamentos e obrigações contratuais,

principalmente, onde serão executadas asoperações comerciais, ou seja, em outros paises.

Exigências legais podem variarbastante, particularmente na área da

privacidade e, portanto, a maneira

que se lidará com a informação, quepode ser privada e diferente.

Conformidade

Módulo 8



RastreabilidadeObrigatoriedade

Flexibilidade

Tolerância

Dedicação

Exemplo

Módulo 8



Medidas para a Conformidade

Módulo 8



Política Interna contendo as legislações e as regulamentações nacionais

Procedimentos para aplicação prática

Análise de Riscos para assegurar os níveis de segurança

Direitos de Propriedades Intelectuais

Módulo 8



Publicar uma Política

Conscientização e inclusão do DPI à Política

Incluir os direitos de Uso

Comprar softwares de fornecedores idôneosRespeitar a forma de licenciamento de código aberto

Identificar e manter registro dos ativos

Mantenha as licenças de uso dos programas

Exemplo

Módulo 8



Proteção de Documentos Empresariais

Módulo 8



Documentos precisam ser protegidos contra perda,destruição e falsificação

Os registros devem ser classificados de acordo com o tipo

Prazo e meios de armazenamentos devem ser

determinadosConsidere a perda de qualidade do armazenamento aolongo do tempo

Estabeleça procedimentos para evitar a perda deinformações

Confidencialidade

Módulo 8



Sob uma legislação

Política de proteção

Nomeação de um responsável

Medidas técnicas de proteção

Exemplo

Módulo 8



Prevenção do uso indevido dos recursos de TI

Módulo 8



Como os recursos são utilizados

Monitore o uso

Cumpra os regulamentos

Código de conduta

Veja a legislação do país

Exemplo

Módulo 8



Política e Padrões de Segurança

Módulo 8



ConselhoAdministrativo

Gerentes

FuncionaisOperacional

Medidas de Controle e Auditoria

Módulo 8



Está incluído na política?

É observado na prática?

Será que a medição esta sendo feita?

Exemplo

Módulo 8



Auditoria de Sistema da Informação

Módulo 8



Envolve riscos

Afeta a capacidade

Cuidados com o exame de um item por duaspessoas destintas

Emissão de notificação de auditoria

Proteção auxiliar utilizando os Sistemas de

Módulo 8



Informação

Não importa como uma organização planejou a sua segurança, a segurança é tão

forte quanto o elo mais fraco!

• Medidas de segurança são válidas também para osauditores

ResumoOb â i d R g l t L g i

Módulo 8



Observância dos Regulamentos Legais

Conformidade

Direitos de Propriedade Intelectual

Proteger Documentos Comerciais

Confidencialidade

Prevenção do Uso Indevido

Políticas e Padrões de Segurança

Medidas de Controle Auditoria

Teste

Módulo 8

curso oficial iso 27002:2013 foundation

Documents