Este documento apresenta um projeto de segurança da informação para uma organização confidencial. O projeto inclui planejamento, diagnóstico da situação atual por meio de entrevistas e visitas técnicas, e elaboração de um plano de ação e política de segurança da informação. O objetivo é avaliar os controles de segurança da informação existentes, identificar riscos e ameaças, e recomendar melhorias para proteger os ativos de informação da organização.
1. Projeto em Segurança da
Informação
Adaptado de um case de diagnóstico em gestão de S.I.
por Fernando Palma e Marcelo Gaspar
www.portalgsti.com.br
2. Objetivos
Abordar os benefícios e objetivos da gestão da
Segurança da Informação na prática
Apresentar o planejamento do projeto de Segurança
da Informação
www.portalgsti.com.br
3. Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
4. Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação da Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
5. Agenda
Equipe do projeto
Segurança da Informação – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
25. Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
26. Segurança da Informação na prática
Segurança da Informação
É a proteção da informação contra
diversos tipos de ameaças
Obtida a partir de um conjunto de controles
O que é?
Como?
Qual o
objetivo?
Garantir a
Continuidade
ao Negócio
Minimizar o
risco ao
negócio
Maximizar
Retorno
sobre
investiment
os
Oportunida
des de
negócio
28. Segurança da Informação – Pilares da S.I.
Confidencialidade
Integridade
Disponibilidade
Somente pessoas autorizadas terão acesso às
informações.
As informações manipuladas devem manter
todas as características originais estabelecidas
pelo proprietário da informação.
A informação deve estar disponível, sempre
que necessário, quando requisitada por
pessoas autorizadas.
Ainda: Autenticidade e Não Repúdio
29. Segurança da Informação – Pilares da S.I.
Confidencialidade
Integridade
Disponibilidade
a) Informações de prontuários do paciente devem ser
visualizadas apenas pelo médico responsável.
b) Informações sobre as Reuniões Estratégicas são
limitadas aos participantes.
Exemplos
Nível de integridade das informações de: a)Relatórios
de glosa b) Informações do paciente
c) Indicação de OPME padronizada não padronizada
c) Medicamentos prescritos para pacientes UTI
Nível de disponibilidade de: a) Relatório financeiro no
fim do mês b) Prontuário do paciente c) Documentos
dos profissionais no RH (carteira de trabalho,
diploma) d) informações pessoais sobre visitantes. e)
informações do controle de estoque
31. Segurança da Informação – casos reais incidentes de S.I.
Confidencialidade
Integridade
Disponibilidade
Impacto na falta de...
Da informação
“A direção do hospital divulgou uma nota neste sábado dizendo que o sumiço
das informações foi constatado na madrugada de quinta-feira, quando seria
feito um back-up dos dados dos servidores.”
32. “A decisão regional acrescentou que a enfermeira fez uso das cópias dos
prontuários nas duas ações, tanto na plúrima quanto na individual, ou seja,
violou segredo profissional em duas oportunidades, e que o fato de não ter
recebido punições disciplinares anteriores não impediria a aplicação da justa
causa.” http://www.tst.jus.br/
Confidencialidade
34. Segurança da Informação –impactos gerais de incidentes de S.I.
Confidencialidade
Integridade
Disponibilidade
Impacto na...
Da informação
Processos Judiciais Perdas financeiras
Exposição Não conformidade
Perda de vida
humana
Perdas financeiras
Tomada de decisão
errada
Impacto na saúde do
paciente
Impacto na imagem
da empresa
Perda de vida
humana
Perdas financeiras
Tomada de decisão
errada
Não conformidade
Baixa performance ou até indisponibilidade
dos processos de negócio: atendimento,
internação, ambulatorial.
36. Segurança da Informação - ameaças
Ameaças físicas
Incêndio
Enchentes
Acesso indevido de pessoas
Problemas elétricos
Ameaças Tecnológicas
Vírus
Bugs de Software
Indisponibilidade de rede
Ameaças Humanas
Sabotagem
Fraude
Negligência
37. “Um grande erro nas organizações é pressupor que pessoas sensatas
fazem coisas sensatas.” (Mintzberg, 2010)
Ameaças são mais comuns do que imaginamos...
39. Segurança da Informação na prática
Segurança da Informação
É a proteção da informação contra
diversos tipos de ameaças
Obtida a partir de um conjunto de controles
O que é?
Como?
Qual o
objetivo?
Garantir a
Continuidade
ao Negócio
Minimizar o
risco ao
negócio
Maximizar
Retorno
sobre
investiment
os
Oportunida
des de
negócio
40. Segurança da Informação – controles
Controles
O que são?
Como?
Políticas
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Devem ser
ImplementadosEstabelecidos
Monitorados
Avaliados criticamente
Melhorados
41. Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Exemplos:
Política de mesa limpa
Política de acesso ao centro cirúrgico
Política de Licenciamento de Software
Uma política define um resultado esperado. São intenções e diretrizes
formalmente expressas pela direção
42. Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Normas estabelecem obrigações e procedimentos definidos de acordo com as
diretrizes da Política. O procedimento instrumentaliza o disposto nas normas.
Norma de controle de acesso a instituição: catraca,
identificação de visitantes
Procedimento de identificação de visitantes: cadastro de
nome, RG, departamento a visitar, etc.
Procedimentos para contabilidade e balanço
43. Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Processo de Gestão da Continuidade de Negócio.
Adaptações em processos. Ex: internação de pacientes
Processo de análise contínua de riscos de SI
44. Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Escritório de Segurança da Informação
Comitê de Segurança da Informação
Departamento de segurança coorporativa
Funções e papeis
45. Segurança da Informação - controles
Controles
Procedimentos/
Normas
Processos
Estruturas
organizacionais
Práticas
Políticas
Conscientização e capacitação em S.I. para todos profissionais
Documentação da política da Segurança da Informação (faz
parte do escopo deste projeto).
Ações cotidianas ou ocasionais
46. Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
48. Introdução ao projeto - metodologia
Seção Alguns controles
1) Política de segurança da
informação
(...) “documento da política de segurança da informação”(...)
“Convém que a política de segurança da informação seja
analisada criticamente”
2) Organizando a S.I. (...) ” Convém que a direção apoie ativamente a segurança
da informação” (...) “Convém que sejam mantidos acordos
de confidencialidade” (...)
3) Gestão de Ativos (...)” Convém que a organização identifique todos os ativos
e documente a importância destes ativos.” (...)
4) Segurança em recursos
humanos
(...) ”Convém que exista um processo disciplinar para os
funcionários que tenham cometido uma violações.”
5) Segurança Física e do Ambiente (...)
6) Gerenciamento de operações (...)
7) Controle de Acesso (...)
8) Aquisição, desenvolvimento e
manutenção de sistemas
(...)
9) Gestão de Incidentes de SI (...)
10) Gestão de Continuidade (...)
11) Conformidade (...)
49. Introdução ao projeto - metodologia
Exemplos de controles aplicáveis
Controle de acessos:
• Implantação de catracas / identificação de colaboradores e
visitantes.
• Identificar autores de possíveis incidentes, assim como
mitigá-los
Segurança em Recursos Humanos:
• Na contratação: Solicitar antecedentes criminais para áreas
que necessitem. Solicitar comprovação por diploma para
cargos de nível superior
• Possíveis impactos: incidentes intencionais ou por
imprudência.
50. Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto da <<confidencial>>
Introdução
Escopo e Andamento
51. Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
Já executado
A executar
52. Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
53. Escopo do Projeto
Planejamento
Conduzir reuniões de planejamento
Estudo inicial da organização
Levantamento de histórico
Elaboração do plano global do
projeto
Visitas preliminares
Conduzir palestras iniciais
Responsável(eis): gestor do projeto com apoio do líder do comitê gestor do
projeto
Datas previstas: 29/07 a 09/08
Entrega prevista
Plano Global do Projeto
Escopo do trabalho
Cronograma
Riscos previstos
Detalhes sobre as entregas
Plano que está sendo apresentado
neste instante
54. Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
Processo de Análise da Situação atual
55. 1) Análise
preliminar
2) Entrevistas
3) Visitas
técnicas
4) Análise de
dados e
elaboração
de relatórios
Fase de Planejamento
Fase de Diagnóstico
Plano de Ação
Escopo do Projeto
Política de Segurança
da Informação
Processo de Análise da Situação atual
56. Escopo do projeto – análise preliminar e entrevistas
1) Análise
preliminar
Fase de Planejamento
Visita inicial
Responsável(eis): consultor <<confidencial>> gestor do projeto e consultor em
segurança com o apoio do líder do comitê gestor (cliente)
Datas previstas:
Fase de diagnóstico
2) Entrevistas
Entrevistas
com
coordenadores
Detecção de
riscos de SI
57. Fase de diagnóstico
3) Visitas
técnicas
Escopo do projeto – Visitas técnicas
Colher de evidencias
necessárias para
diagnósticos realizados
Obter informações que
contribuam com a análise
de impacto para
controles não
identificados;
Análise dos riscos de SI
Responsável(eis): consultor <<confidencial>> de S.I. com o apoio do líder do
comitê gestor (cliente)
Datas previstas:
58. Fase de diagnóstico
4) Análise de
dados e
elaboração
de relatórios
Escopo do projeto – Relatórios de diagnóstico
Entrega prevista
Relatório de Análise da Situação Atual
Controles avaliados;
Ameaças e consequentes riscos
Avaliação dos processos relacionados
recurso humanos e responsabilidades
Lista, classificação e prioridade dos riscos
Recomendações.
Data prevista:
Apresentação
prevista:
59. Escopo do Projeto
Diagnóstico e Plano de ação
em Segurança da Informação
Planejamento
do Projeto
Avaliação da
Situação atual
Elaboração do
Plano de Ação
Elaboração da
Política de
Segurança da
Informação
60. Entrega prevista
Política de Segurança
Objetivos, aplicações,
princípios
Responsabilidades
Gestão de recursos
Humanos, Segurança
Física, gerenciamento
de operações, controle
de acesso, gestão de
incidentes,
conformidade, entre
outros itens.
Escopo do projeto – Plano de Ação
Entrega prevista
Plano de Ação
Lista e detalhamento das
recomendações
Categorização das
recomendações
Recomendações a curto,
médio e longo prazo
Responsabilidades,
esforços, instrumentos
Estrutura e ambiente
previstos
Data prevista:
Provisão apresentação:
Elaboração
do Plano de
Ação
Elaboração
da Política
de S.I.
Data prevista:
Previsão apresentação:
61. Agenda
Equipe do projeto
Segurança da Informação (S.I.) – overview
Incidentes comuns em Segurança da Informação
Segurança da Informação na Prática
O projeto
Introdução
Escopo e Andamento