1 / 33

Política de Segurança: Gestão de Ativos

Política de Segurança: Gestão de Ativos. Agenda. Introdução Objetivos Justificativa Bibliografia utilizada Termos e Definições Gestão de Ativos Responsabilidade pelos ativos Classificação da Informação Exercício de Fixação de Conceitos Ferramenta para Gestão de Ativos Conclusão.

judah-santana
Download Presentation

Política de Segurança: Gestão de Ativos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Política de Segurança: Gestão de Ativos

  2. Agenda • Introdução • Objetivos • Justificativa • Bibliografia utilizada • Termos e Definições • Gestão de Ativos • Responsabilidade pelos ativos • Classificação da Informação • Exercício de Fixação de Conceitos • Ferramenta para Gestão de Ativos • Conclusão

  3. Objetivos • Conhecer os ativos e seus tipos, a responsabilidade pelos ativos e como é feita a classificação da informação. • Conhecer os controles e diretrizes que devem ser observados para: • Alcançar e manter a proteção adequada dos ativos da organização • Assegurar que a informação receba um nível adequado de proteção

  4. Justificativa Quantos gerentes não se confrontam com as seguintes questões: • Quantos computadores a empresa possui? • Qual o número de notebooks? • Temos os requisitos de hardware e software para implementação de um novo sistema? Um inventário atualizado de todos Ativos de uma empresa é exigido para adequação à normas fiscais e contábeis, como a ABNT NBR ISO/IEC 17799 A verdade é que hoje, muitas empresas têm dificuldade em responder tais perguntas, pois o grande desafio que falamos aqui é de uma gestão eficiente dos ativos de TI.

  5. Bibliografia utilizada • Norma ABNT NBR ISO/IEC 27001:2006 • Requisitos para SGSI • Norma ABNT NBR ISO/IEC 17799:2005 • Código de Prática para o SGSI

  6. Seções de Controle – NBR ISO/IEC 17799:2005

  7. Termos e definições • Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada • Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados • Integridade: propriedade de salvaguarda da exatidão e completeza de ativos

  8. Termos e definições (cont.) • Ativo: qualquer coisa que tenha valor para a organização • Proprietário: uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso e a segurança dos ativos. Isso não significa que a pessoa tenha qualquer direito de propriedade pelo ativo.

  9. Tipos de Ativos • Ativos de informação: • base de dados de arquivos, • contratos e acordos, • documentação de sistema, • informações sobre pesquisa, • manuais de usuário, • material de treinamento, • planos de continuidade do negocio • plano de recuperação de desastres, • trilhas de auditoria, • procedimentos de suporte ou operação e • informações armazenadas;

  10. Tipos de Ativos (cont.) • Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários; • Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos; • Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração; • Pessoas e suas qualificações, habilidades e experiências; • Intangíveis: reputação e a imagem da organização

  11. Gestão de Ativos • Responsabilidade pelos ativos • Classificação da Informação

  12. Responsabilidade pelos ativos • Inventário dos ativos • Proprietário dos ativos • Uso aceitável dos ativos

  13. Gestão de Ativos Responsabilidade pelos ativos: tem como objetivo alcançar a proteção mais adequada para os ativos da organização. • Subseções e controles:

  14. Inventário dos ativos Diretrizes para implementação: • Identificar e documentar todos os ativos e sua importância; • Incluir todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo de ativo, formato, localização, informação sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio; • Procurar não duplicar outros inventários desnecessariamente, porém deve-se assegurar que seu conteúdo está coerente.

  15. Proprietário dos ativos Diretrizes para implementação: • O proprietário pelo ativo deve responsabilizar-se por: • Assegurar que os ativos e as informações associadas com recursos de processamento estejam adequadamente classificadas; • Definir e periodicamente analisar as classificações e restrições de acesso de acordo com a política de controle de acesso • O proprietário pode ser designado para: • Um processo do negocio; um conjunto de atividades definidas; uma aplicação ou conjunto de dados definido Obs.: tarefas de rotina podem ser delegadas, contudo a responsabilidade permanece com o proprietário

  16. Uso aceitável dos ativos Diretrizes para implementação: • Convém que todos os funcionários, fornecedores e terceiros sigam as regras para uso permitido de ativos e informações e de ativos associados aos recursos de processamento da informação tais como: • Regras para uso da Internet e de correio eletrônico • Diretrizes para o uso de dispositivos moveis, especialmente para uso fora das instalações da organização

  17. Classificação da Informação • Recomendações para classificação • Rótulos e tratamento da informação

  18. Tipos de Informação • “Não importa a forma que a informação toma, ou os meios pelos quais ela é compartilhada ou armazenada. Ela deve • sempre ser apropriadamente • protegida.”

  19. A informação pode ser: • Criada • Transmitida • Processada • Usada • Armazenada • Corrompida • Perdida • Destruída

  20. Tipos de informações a serem protegidas • Internas da companhia • Informação que você não gostaria que a concorrência soubesse • De clientes e fornecedores • Informação que eles não gostariam que você divulgasse • De parceiros • Informação que necessita ser compartilhada com outros parceiros comerciais

  21. Gestão de Ativos Classificação da Informação: tem como objetivo assegurar que a informação receba um nível adequado de proteção. • Subseções e controles:

  22. Recomendações para classificação Diretrizes para implementação: • A classificação da informação deve considerar: • a definição de níveis para a classificação da informação em função da sua importância para a organização; • Necessidades de compartilhamento ou Restrições de informações e seu impacto nos negócios; • Convenções para classificação inicial e reclassificação ao longo do tempo; • O proprietário do ativo deve definir sua classificação e reclassificação e assegurar atualização no nível apropriado • Tomar cuidado para que a quantidade de categorias não se torne excessiva e inconveniente

  23. Rótulos e tratamento da informação Diretrizes para implementação: • Os procedimentos para rotulação da informação devem ser os mesmos tanto para ativos no formato físico quanto no eletrônico; • Informações classificadas como sensíveis ou críticas devem receber rótulo apropriado; • Considerar procedimentos para identificar rótulos de classificação de outras organizações (compartilhamento de informações);

  24. Exercício para fixação de conceitos

  25. Resposta do exercício 1

  26. Resposta do exercício 2

  27. Ferramenta de Administração de Ativos

  28. Conclusão

More Related