Projeto de Segurança da Informação
Prof. Giuliano Prado
Tópicos a estudar
► Cenário da Segurança da Informação
► Metodologia
► Projeto Senior:
§ Inventário de Ativos
§ Análise de Vulnerabilidades
§ Análise de Risco
§ Política de Segurança da Informação
Cenário Atual de Informação
►
Aumento da integração entre sistemas
►
Aumento da distribuição dos sistemas
►
Uso de tecnologias mais complexas
►
Aumento de
Vulnerabilidades
►
Informações com
maior valor estratégico
►
Transações financeiras on-line
►
Maior dependência das organizações em
relação às informações
►
Aumento de Ativos de Informação
Cenário Atual de Informação
► Incidentes causam prejuízos financeiros:
§ Indisponibilidade de serviços ou informações
§ Fraude e Roubo de informações
§ Pagamento de multas contratuais
§ Processos Judiciais por parte de clientes,
parceiros e fornecedores
Cenário Atual de Informação
► Incidentes prejudicam a imagem da
organização perante clientes, parceiros e fornecedores:
§ Indisponibilidade de serviços ou informações
§ Vazamento de informações confidenciais
Incidentes nos EUA
Incidentes no Brasil
Pesquisa Nacional
de Segurança da Informação
(Módulo, 2006)
► 33% das empresas não sabem quantificar perdas por incidentes
► 21% das empresas não sabem identificar os responsáveis
► 48% dedicam-se apenas a corrigir as falhas
encontradas
Pesquisa Nacional
de Segurança da Informação
(Módulo, 2006)
► Nas empresas que identificaram os ataques:
§ 24% causados por funcionários
§ 20% causados por hackers
Metodologia
► ISO 27001: Sistemas de Gestão de Segurança da Informação
► ISO 17799: Controles para Gestão de Segurança da Informação
► Metodologia de projeto baseada em
PMBOK
Metodologia
►
NIST SP 800-40: Gerenciamento de Vulnerabilidades
►
NIST SP 800-42: Teste de Segurança
►
NIST FIPS PUB 199: Classificação da Segurança
►
NIST SP 800-55: Guia de Métrica de Segurança
Projeto de
Segurança da Informação
►
Identifica Ativos
►
Define Controles
►
Integridade
►
Confidencialidade
►
Disponibilidade
►
Autenticidade
►