ISSO-IEC

27001 / 27002

Apresentao IEC-ISSO 27001/27002
Perodo: Junho/ 2014
ISSO-IEC
27001 / 27002

I) Apresentao das Normas
II) Tecnologias de Segurana
III) Aplicabilidade
IV) Concluso
ndice
2
Apresentao IEC-ISSO 27001/27002
ISSO-IEC
27001 / 27002

Apresentao IEC-ISSO 27001/27002
3
Cdigo de Prtica para a Gesto de Segurana da
Informao, que tem como objetivo estabelecer diretrizes
e princpios gerais para iniciar, implementar, manter e
melhorar a gesto de segurana da informao em uma
organizao.
Mas, o que Segurana da Informao (SI)?
Significa proteger as informaes consideradas
importantes para a continuidade e manuteno dos
objetivos de negcio da organizao.
ISSO-IEC
27001 / 27002

Apresentao IEC-ISSO 27001/27002
4
Mas voc deve estar se perguntando para que
serve a ISO 27000 e qual o seu contedo ?

Bem, vamos falar da norma 27001, que contm
os requisitos de auditoria. essa norma que
concentra as informaes mais importantes
desta famlia e ela que o auditor lder tem em
mos (no mnimo...) durante a auditoria de
certificao da empresa.
E da 27002, que fornece um conjunto completo
de controles de segurana baseado nas
melhores prticas de segurana da informao
ISSO-IEC
27001 / 27002

Apresentao IEC-ISSO 27001/27002
5
ABNT NBR ISO/IEC 27002
Substituiu a norma BS 7799-1:1999, e passou a ser
utilizada como o documento de referncia nesta rea
que a intitula.
Esta norma fornece um conjunto completo de controles
de segurana baseado nas melhores prticas de
segurana da informao.
A ISO 27002:2005 composta por 11 captulos, alm de
um captulo introdutrio sobre avaliao e tratamento de
risco, 39 objetivos de controle e 133 controles.
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias IDS
6
A monitorao e a deteco de intrusos eficientes
so to importantes quanto firewalls
sistema implementado para alertar tentativas de
acesso sem autorizao
IDS (Intrusion Detection System)
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
7
Duas grandes famlias distintas de IDS:
Os N-IDS (Network Based Intrusion Detection
System), asseguram a segurana a nvel da rede.
Os H-IDS (Host Based Intrusion Detection
System),asseguram a segurana a nvel dos hspedes
IDS (Intrusion Detection System)
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao -IDS
8
Funciona como um alarme.
Deteco com base em algum tipo de conhecimento:
Assinaturas de ataques.
Aprendizado de uma rede neural.
Deteco com base em comportamento anmalo.
IPS: Intrusion Prevention System
Sistemas de Deteco de Intruso
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
9
Sistemas de Deteco de Intruso (IDS)
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias IDS
10
ISSO-IEC
27001 / 27002

Mecanismo de segurana
Tem como finalidade semelhante a do IDS
no que se refere a identificar ataques, com
a diferena de ser capaz de intervir no
trfego ofensivo tomando ao de bloquear
e impedir que o ataque se efetive.
Assim como o IDS, tambm possvel
utilizar mtodos de deteco baseado em
assinaturas e anomalia.
IPS (Intrusion Prevention System)
ISSO-IEC
27001 / 27002

IPS (Intrusion Prevention System)
O IPS complementa um IDS
detecta e bloqueia o invasor
cancelar uma conexo e at reconfigurar um firewall

ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
13
Firewalls
Conjunto de componentes colocados
entre duas redes e que coletivamente
implementam uma barreira de segurana.
Finalidade
retardar os efeitos de um ataque at que
medidas administrativas contrrias sejam
executadas
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
14
Pode ser implementado utilizando dois
mecanismos bsicos:
filtragem de pacotes
anlise dos pacotes que passam pelo
firewall
servidores proxy
anlise dos servios sendo utilizados
Firewalls
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
15
sniffing - interface de rede que opera modo
promscuo, capturando todos os pacotes.
fcil para um programa sniffer obter username
e password dos usurios Utilizao de sniffer
difcil de serdetectada
Sniffer
ISSO-IEC
27001 / 27002

Alguns tipos de ataques
Sniffing
Captura de pacotes na redes.
Cliente
Servidor
Sniffer
PASWORD
PASWORD
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
17
No existe sistema absolutamente seguro
Toda criptografia pode ser quebrada
Complexidade temporal
Complexidade econmica
Segurana computacional
Criptografia
ISSO-IEC
27001 / 27002

Tcnicas e Tecnologias Segurana da Informao
18
ISSO-IEC
27001 / 27002

Apresentao IEC-ISSO 27001/27002
19
ISSO-IEC
27001 / 27002

A Tecnologia - DLP Data Loss Prevention
20
DLP a sigla da expresso Data Loss Prevention (Preveno contra
perda de dados), atualmente grande parte das empresas possuem
dados sensveis a exposio, contudo com o avano da tecnologia,
foi aberto nova possibilidades de fuga ou roubo de informaes.
Para que seja possvel a preveno de vazamento de informaes
foi criado a tecnologia DLP que une, descoberta de informaes
confidenciais, monitoramento e proteo dos dados. Com isto
possvel monitorar a movimentao dos dados da empresa como:
Envio de e-mail;
Publicao de informaes em redes sociais;
Gravao de arquivos em dispositivos por USB, como Pendrives
por exemplo;
Impresso no autorizada;
At mesmo print screen. Com a tecnologia possvel criar uma
poltica slida aonde definido para aonde os arquivos esto indo,
quem possui acesso aos mesmos e bloqueio de movimentaes no
permitidas.
ISSO-IEC
27001 / 27002

Benefcios - IEC-ISO 27001/27002
21
Os principais benefcios proporcionados pela adoo da ISO so:
Reduo do risco de responsabilidade pela no
implementao de um SGSI ou determinao de
polticas e procedimentos;
Oportunidade de identificar e corrigir pontos fracos;
A alta direo assume a responsabilidade pela
segurana da informao;
Permite reviso independente do sistema de gesto da
segurana da informao;
Oferece confiana aos parceiros comerciais, partes
interessadas e clientes;
Melhor conscientizao sobre segurana;
Oferecer mecanismos para se medir o sucesso do
sistema.
ISSO-IEC
27001 / 27002

ABNT NBR ISO/IEC 27002
22
Para implementar a SI em uma
organizao necessrio que seja
estabelecida uma estrutura para
gerenci-la.
Para isso, as atividades de segurana da
informao devem ser coordenadas por
representantes de diversas partes da
organizao, com funes e papis
relevantes.
ISSO-IEC
27001 / 27002

ABNT NBR ISO/IEC 27002
23
As Sees so (Inicia-se no 5):
Seo 5 - Poltica de Segurana da Informao
Seo 6 - Organizando a Segurana da Informao
Seo 7 - Gesto de Ativos
Seo 8 - Segurana em Recursos Humanos
Seo 9 - Segurana Fsica e do Ambiente
Seo 10 - Gesto das Operaes e Comunicaes
As Sees mais importantes so:
Seo 11 Controle de Acesso
Seo 12 - Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao
Seo 13 - Gesto de Incidentes de Segurana da
Informao
Seo 14 - Gesto da Continuidade do Negcio
Seo 15 Conformidades
ISSO-IEC
27001 / 27002

APLICABILIDADE O QUE PRECISO
24
ISSO-IEC
27001 / 27002

APLICABILIDADE O QUE PRECISO
25
ISSO-IEC
27001 / 27002

ADOO DAS RECOMENDAES DA NORMA
26
Uma estratgia vencedora pra implementao de melhores prticas adotar os
frameworks atravs de nveis organizacionais, ou seja:
1. Politicas
1. Estabelecer o nvel estratgico a ser cumprido na adoo das melhores
prticas. atribuda pelo nvel diretivo das organizaes e estabelece as
diretrizes gerais a serem observadas por todos.
2. Normas:
1. Estabelecer o nvel ttico e estabelece as regras a que as reas
operacionais devero observar para o cumprimento das diretrizes
ditadas pelas polticas. atribuda aos gerentes e gestores das reas
envolvidas em cada framework a ser adotado.
3. Procedimentos
1. Estabelecer o nvel operacional e estabelece o "como ser feito!",
descrevendo passo a passo as atividades, responsveis, evidncias a
serem produzidas, e ainda em um segundo momento, podero ser
adotadas mtricas que possibilitem a medida de eficincia e de nvel de
servio auferido pelo processo. Adotar a implantao dos modelos
atravs destes trs nveis possibilita a formalizao dos processos
recomendados pelas melhores prticas, e distribui o escopo de cada
recomendao nos diversos nveis da organizao.
ISSO-IEC
27001 / 27002

Documentao de Apoio
27
Guias de usurios
Ementas dos mdulos
Plano Diretor ANEEL
ISSO-IEC
27001 / 27002

Apresentao IEC-ISSO 27001/27002
28
ISSO-IEC
27001 / 27002

Apresentao IEC-ISSO 27001/27002
29
ISSO-IEC
27001 / 27002

30
Concluso
Em resumo, nota-se claramente
ao longo de toda a norma, que a
caracterstica predominante a
preveno, evitando-se a todo o
custo, a adoo de medidas de
carter reativo.
Mesmo as que forem reativas,
como por exemplo a execuo de
um plano de continuidade de
negcios, so previamente
planejadas para que, no momento
oportuno e se necessrias, sejam
devidamente implementadas.
ISSO-IEC
27001 / 27002

31
Concluso
QUESTES
BRBARA REGINE DOS ANJOS CASTRO SILVA
ISSO-IEC
27001 / 27002

32