1. Medidas
1.1. Importância
1.1.1. Por que?
1.1.1.1. Atuam sobre as vulnerabilidades
1.1.1.2. Evitam ou minimizam perdas
1.1.1.3. Devem ser selecionadas após uma análise de riscos
1.1.2. Categorias de medidas
1.1.2.1. Preventiva
1.1.2.1.1. Torna a ameaça impossível antes de se manifestar
1.1.2.1.2. Exemplo: evitar acessar os sistemas internos via internet
1.1.2.2. Redutiva
1.1.2.2.1. Reduz a probabilidade da ameaça ocorrer ou o impacto se ocorrer
1.1.2.3. Detectiva
1.1.2.3.1. Garante que cada incidente possa se detectado o mais rápido possível e que todo mundo seja informado do que está acontecendo
1.1.2.3.2. Exemplo: vigilância por câmeras
1.1.2.4. Repressiva
1.1.2.4.1. Para minimizar as consequências de um incidente após ele ocorrer
1.1.2.4.2. Exemplo: usar extintor de incêndio
1.1.2.5. Corretiva
1.1.2.5.1. Recuperar algo após um incidente ter ocorrido
1.1.2.5.2. Exemplo: restaurar o banco de dados usando o backup
1.1.2.6. Contratar seguros
1.1.2.6.1. Para minimizar os impactos de alguns incidentes de perdas de ativos.
1.1.2.7. Aceitação
1.1.2.7.1. Quando não há fortes motivos para investir em outras medidas.
1.1.3. Classificação de informação
1.1.3.1. Propósito
1.1.3.1.1. Ativos do negócio, incluindo informações, precisam ser classificados para determinar os níveis de segurança para eles
1.1.3.1.2. Orientam os funcionários sobre como manipular ou guardar as informações de acordo com o nível de sensibilidade
1.1.3.2. Classificações
1.1.3.2.1. Níveis de sensibilidade colocados na marca ou etiqueta de um documento: secreto, confidencial ou público
1.1.3.2.2. As etiquetas de classificação podem ser colocadas fisicamente e de forma visível para que as pessoas saibam o nível de sensibilidade de cada documento
1.1.3.3. Responsabilidades
1.1.3.3.1. O dono da informação/documento é responsável pela sua classificação
1.1.3.3.2. O dono da informação determina quem tem acesso a determinados ativos do negócio
1.2. Físicas
1.2.1. Conceito
1.2.1.1. Protegem fisicamente os ativos de negócio
1.2.2. Uso de sensores em áreas segura
1.2.2.1. Infravermelhos passivos
1.2.2.2. Câmeras
1.2.2.3. Detecção de vibração
1.2.2.4. Sensores de quebra de vidro
1.2.2.5. Contatos magnéticos
1.2.3. Anéis de proteção
1.2.3.1. Anel externo
1.2.3.1.1. Proteção em torno do prédio da empresa
1.2.3.1.2. Exemplos
1.2.3.2. Edíficio/construção
1.2.3.2.1. Proteção para impedir acesso dentro da empresa
1.2.3.2.2. Exemplos
1.2.3.3. Espaço de trabalho
1.2.3.3.1. Algumas áreas da empresa podem não estar acessíveis a todos, como RH
1.2.3.3.2. Salas especiais (sala de servidores)
1.2.3.4. Objeto
1.2.3.4.1. Refere-se a parte mais sensível que precisa ser protegida
1.2.3.4.2. Exemplos
1.2.4. Medidas para equipamentos
1.2.4.1. Localização e proteção do equipamento
1.2.4.1.1. Usar métodos de detecção de instrusos
1.2.4.1.2. Monitorar acesso a salas
1.2.4.1.3. Backups devem ser armazenados em locais diferentes
1.2.4.2. Armários resistentes a fogo e armários de segurança
1.2.4.2.1. Podem armazenar objetos sensíveis, como fitas de backup
1.2.4.3. Sala de servidores e de rede
1.2.4.3.1. Observar controles de umidade e calor
1.2.4.4. Umidade
1.2.4.4.1. Controlar isto em sala dedicada a equipamentos
1.2.4.5. Proteção contra incêndio
1.2.4.5.1. Observar requisitos obrigatórios
1.2.4.6. Sinalização
1.2.4.6.1. Instalar alarmes de fumaça
1.2.4.7. Agentes de extinção de incêndios
1.2.4.7.1. Eliminam o fogo.
1.2.4.8. Segurança de cabeamento
1.2.4.8.1. cabos precisam ser dispostos de tal maneira que nenhuma interferência entre os cabos separados possa ocorrer.
1.2.4.9. Manutenção de equipamentos
1.2.4.9.1. Convém ser realizada por pessoal autorizado com treinamentos apropriados
1.3. Técnicas (segurança de TI)
1.3.1. Conceito
1.3.1.1. Inclui medidas para sistemas computadorizados e infraestrutura de TI associada
1.3.2. Gerenciamento de acesso lógico
1.3.2.1. Lembrar que controle de acesso à aplicativos/rede é uma medida técnica. Controle de acesso à instalações físicas é uma medida física. E criação de políticas de acessos é uma medida organizacional.
1.3.2.2. Controle de acesso discricionário
1.3.2.2.1. A política de controle de acesso é determinada pelo proprietário (owner) do recurso (O usuário diz quem pode acessar o compartilhamento no seu computador).
1.3.2.3. Controle de acesso mandatório
1.3.2.3.1. A política de acesso é determinada pelo sistema e não pelo proprietário do recurso
1.3.2.4. Passos para conceder o acesso
1.3.2.4.1. Identificação
1.3.2.4.2. Autenticação
1.3.2.4.3. Autorização
1.3.3. Requisitos de segurança para os sistemas
1.3.3.1. Sistemas devem funcionar conforme pretendido
1.3.3.2. Validação de dados de entrada e saída
1.3.4. Criptografia
1.3.4.1. Conceito
1.3.4.1.1. É um meio de manter a informação secreta
1.3.4.1.2. A informação é codificada para não ser lida por pessoas não autorizadas
1.3.4.2. Tipos
1.3.4.2.1. Simétrica
1.3.4.2.2. Assimétrica
1.3.4.2.3. Infraestrutura de Chave Pública
1.3.4.2.4. Criptografia de mão única (hash)
1.3.5. Proteção contra malware, phishing e spam
1.3.5.1. Malware
1.3.5.1.1. Termo genérico para softwares maliciosos
1.3.5.1.2. Pode ser um vírus, worm, trojan ou spyware
1.3.5.1.3. Medidas comuns: usar scanners antívirus e firewall
1.3.5.2. Phishing
1.3.5.2.1. Ato de enganar alguém geralmente para roubar dados pessoais
1.3.5.3. Spam
1.3.5.3.1. Nome do coletivo de mensagens indesejáveis
1.3.5.4. Vírus
1.3.5.4.1. Pequeno programa de computador que se replica
1.3.5.4.2. Carrega código executável
1.3.5.4.3. Tem natureza destrutiva
1.3.5.5. Worm
1.3.5.5.1. Pequeno programa de computador que se replica
1.3.5.5.2. Não depende da ação do usuário para se espalhar pela rede
1.3.5.6. Trojan
1.3.5.6.1. É um programa que conduz atividades secundárias não percebidas pelo usuário
1.3.5.6.2. Usado frequentemente para coletar informações confidenciais do sistema infectado
1.3.5.7. Hoax
1.3.5.7.1. Mensagem que tenta convencer o leitor da sua veracidade e então persuadí-lo a fazer alguma ação
1.3.5.8. Bomba lógica
1.3.5.8.1. Pedaço de código deixado dentro de um sistema que é programado para ativar em determinadas circustâncias
1.3.5.9. Spyware
1.3.5.9.1. Programa de computador que coleta informação de um computador e envia para um terceiro
1.3.5.10. Botnet
1.3.5.10.1. Uma rede de computadores utilizando software de computação distribuída.
1.3.5.11. Rootkit
1.3.5.11.1. Conjunto de ferramentas de softwares utilizado por um hacker
1.3.6. As mudanças nos sistemas precisam ser gerenciadas
1.3.6.1. Testes e aceites antes de entrar em produção
1.4. Organizacionais
1.4.1. Conceito
1.4.1.1. Diz respeito ao trabalho dos funcionários na organização, políticas, plano de continuidade, sistema de gestão da segurança da informação
1.4.2. Sistema de Gestão da Segurança da Informação (SGSI)
1.4.2.1. É uma medida organizacional
1.4.2.2. A ISO 27001 ajuda a definir uma estrutura para SGSI
1.4.2.3. Serve para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação
1.4.2.4. Baseado no ciclo PDCA
1.4.2.4.1. Plan
1.4.2.4.2. Do
1.4.2.4.3. Check
1.4.2.4.4. Act
1.4.2.5. Inclui estrutura organizacional, políticas, atividade de planejamento, responsabilidades, práticas, procedimentos e recursos
1.4.2.6. Existe para preservar a confidencialidade, integridade e disponibilidade
1.4.3. Política de segurança da informação
1.4.4. Código de conduta
1.4.5. Gestão de RH
1.4.5.1. Pessoas e seus conhecimentos são ativos importantes e precisam ser protegidos
1.4.5.2. Pessoal precisa seguir o código de conduta
1.4.5.3. Novos funcionários precisam passar por uma checagem de ficha limpa
1.4.5.4. Dependendo do cargo é necessário assinar um Non Disclosure Agreement (NDA) - Acordo de confidencialidade
1.4.6. Segreção de funções
1.4.6.1. Conceito
1.4.6.1.1. Separar as funções e responsabilidades de cada um
1.4.6.2. Benefícios
1.4.6.2.1. Evita mudanças sendo realizadas por pessoas não autorizadas
1.4.6.2.2. Diminui os riscos quando uma atividade critica tem mais de uma pessoa envolvida (exemplo: transferências bancárias)
1.4.6.2.3. Com base na função se estabelece que informações podem ser acessadas
1.4.7. Gerenciamento da continuidade do negócio
1.4.7.1. Propósito
1.4.7.1.1. Visa garantir a continuidade das operações após um desastre (enchentes, terremotos, ataques terroristas, etc)
1.4.7.2. Continuidade
1.4.7.2.1. Envolve manter disponibilidade dos sistemas de informação no momento em que eles são requeridos após um desastre
1.4.7.3. Desastre
1.4.7.3.1. Incidente de grande impacto
1.4.7.4. Plano de Recuperação de Desastre (PRD)
1.4.7.4.1. Destina-se à recuperação imediatamente após um desastre.
1.4.7.5. Plano de Continuidade de Negócios (PCN)
1.4.7.5.1. É mais completo que o PRD
1.4.7.5.2. Está preocupado em recuperar ao estado anterior ao desastre
2. Legislação e regulamentação
2.1. ISO 27002
2.1.1. Não é uma lei
2.1.2. É um código de boas práticas para a segurança da informação
2.1.3. Há práticas que ajudam a atender a leis e regulamentos
2.2. Conformidade
2.2.1. Refere-se à tratabilidade, obrigatoriedade, tolerância e dedicação
2.2.2. Legislação, regulamentos e obrigações contratuais devem sempre ser observados antes dos regulamentos internos da empresa
2.2.3. A análise de riscos ajuda a identificar os níveis de segurança adequados para atender aos regulamentos
2.2.4. As medidas de segurança para atender a leis e regulamentos são obrigatórias, não é opcional
2.2.5. Procedimentos precisam ser desenvolvidos para que os usuários apliquem estes regulamentos na prática
2.3. Propriedade intelectual
2.3.1. Precisam ser considerados quando a empresa usa sofware ou material sujeito à tal
2.3.2. Deve haver orientações internas para proteger estes direitos
2.4. Proteção de dados pessoais
2.4.1. A empresa precisa observar a legislação local para isto
2.4.2. Independente de obrigação regulatória, as empresas precisam se preocupar
2.5. Prevenção de abuso das facilidades de TI
2.5.1. Refere-se ao uso de recursos de TI da empresa para propósitos particulares e não autorizados
2.5.2. Isto deve ser tratado também na política de segurança
2.5.3. Medidas disciplinares podem ser adotadas
2.5.4. Estabelecer código de conduta
2.5.4.1. Estipula direitos e deveres do empregador e do funcionário
2.5.4.2. O empregador tem o direito de monitorar o uso dos seus sistemas
2.5.4.3. O funcionário precisa estar ciente do monitoramento
2.5.4.4. A legislação local deve ser observada
2.6. Responsabilidade
2.6.1. A alta gerência é a responsável final pelo cumprimento de leis e regulamentos
2.6.2. Cada gerente deve observar leis e regulamentos na sua área
2.6.3. Pode ser elegido alguém que seja responsável por observar leis em determinadas áreas
3. Mapa desenvolvido pela TIEXAMES
3.1. www.tiexames.com.br
3.2. Não divulgar este material
3.3. Somente alunos matriculados no curso devem usá-lo
3.4. Entendendo todos os tópicos deste mapa é possível passar no exame
3.5. Não disponível para impressão, somente consulta online
4. Informação e segurança
4.1. Dados
4.1.1. partes de informação que não têm significado
4.1.2. São uma série de fatos discretos
4.2. Informação
4.2.1. É algo que tem significado
4.2.2. É um conjunto de dados estruturados (exemplo: relatório)
4.2.3. É necessário analisar os dados no contexto para que eles se transformem em informação com significado
4.2.4. É o conhecimento que alguém adquiriu
4.2.5. É um fator de produção, assim como matéria-prima, mão de obra e capital
4.3. Valor da informação
4.3.1. É geralmente determinado pela importância que o destinatário atribui a ela.
4.3.2. Mas também pode variar de acordo com o contexto e partes envolvidas
4.3.3. Informação é um ativo (bem)
4.4. Aspectos de confiabilidade / 3 requisitos de qualidade
4.4.1. Confidencialidade
4.4.1.1. Conceito
4.4.1.1.1. É o grau no qual o acesso à informação é restrito a um grupo definido de pessoas autorizadas a terem este acesso.
4.4.1.2. Características
4.4.1.2.1. Exclusividade
4.4.1.2.2. Privacidade
4.4.1.3. Exemplos de medidas
4.4.1.3.1. Acesso à informação condicionado à necessidade de informação
4.4.1.3.2. Funcionários que garantam que as informações não serão exibidas para quem não precisa delas
4.4.1.3.3. Gerenciamento de acesso lógico estabelecendo direitos de acesso p/ cada usuário
4.4.1.3.4. Segregação de funções para determinar o que cada cargo/função pode acessar nos sistemas
4.4.1.3.5. Algumas informações do RH não devem ser acessadas por outros departamentos
4.4.1.3.6. Uso de senha para acessar os computadores na rede
4.4.2. Integridade
4.4.2.1. Conceito
4.4.2.1.1. Propriedade da exatidão e completeza da informação.
4.4.2.2. Características
4.4.2.2.1. Completeza
4.4.2.2.2. Correção/Corretude
4.4.2.2.3. Precisão
4.4.2.2.4. Validade
4.4.2.2.5. Verificação
4.4.2.3. Exemplos de medidas
4.4.2.3.1. Autorização para mudanças nos sistemas e em dados.
4.4.2.3.2. Sempre que possível, convém serem construídos mecanismos para forçar as pessoas a usar o termo correto.
4.4.2.3.3. Registro de ações dos usuários de forma que possa ser determinado quem fez uma mudança na informação.
4.4.2.3.4. Ações vitais do sistema, como aprovar um pagamento, não podem ser realizadas por apenas uma pessoa.
4.4.2.3.5. A integridade dos dados pode ser assegurada também através de técnicas de criptografia, o que protege a informação de acesso ou alteração sem autorização.
4.4.3. Disponibilidade
4.4.3.1. Conceito
4.4.3.1.1. É o grau no qual a informação está disponível para o usuário e para o sistema de informação que está em operação no momento que a organização precisa dele
4.4.3.2. Características
4.4.3.2.1. Prontidão
4.4.3.2.2. Continuidade
4.4.3.2.3. Robustez
4.4.3.3. Exemplos de medidas
4.4.3.3.1. Gerenciamento e armazenamento de dados de forma que a probabilidade de perder a informação seja mínima.
4.4.3.3.2. Procedimentos de backup considerando os requisitos de quanto tempo os dados devem ser armazenados.
4.4.3.3.3. Criação de procedimentos de emergência para garantir que as atividades possam ser retomadas o mais rapidamente possível após uma interrupção de larga escala.
5. Ameaças e riscos
5.1. Elementos do conceito de risco
5.1.1. Ameaça
5.1.1.1. Potencial causa de um incidente indesejado que pode resultar em dano a um sistema ou organização.
5.1.1.2. agente de ameaça
5.1.1.2.1. A entidade que tira vantagem de uma vulnerabilidade
5.1.2. Vulnerabilidade
5.1.2.1. Fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças.
5.1.3. Impacto
5.1.3.1. Dano ou consequência caso a ameaça explore a vulnerabilidade
5.1.4. Risco
5.1.4.1. É a probabilidade de um agente de ameaça tirar proveito de uma vulnerabilidade e do impacto no negócio correspondente.
5.1.4.2. Risco = Ameaça X Probabilidade de ocorrência X Impacto no negócio
5.2. Incidente de segurança
5.2.1. Conceito
5.2.1.1. Ocorre quando uma ameaça consegue explorar a vulnerabilidade
5.2.1.2. Indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
5.2.2. Alguns exemplos
5.2.2.1. Hacker conseguiu invadir a rede
5.2.2.2. Informações confidenciais vazaram no mercado
5.2.2.3. Um documento importante foi perdido
5.2.2.4. Usuário esqueceu um documento na impressora
5.2.2.5. A porta de acesso à sala de servidores foi esquecida aberta
5.2.2.6. O monitor está apresentando mensagens estranhas
5.3. Desastre
5.3.1. Um grande incidente que ameaça a continuidade do negócio.
5.4. Tipos de ameaças
5.4.1. Humana intencional
5.4.1.1. Danos à informação causados por pessoas de forma proposital
5.4.1.2. Exemplos: hackers, empregados revoltados, engenharia social
5.4.1.3. Engenharia social
5.4.1.3.1. Quando alguém tenta ganhar confianca de um funcionário se passando por colega, cliente ou fornecedor, mas está tentando obter informação confidencial
5.4.2. Humana não intencional
5.4.2.1. Danos causados por pessoas de forma involuntária
5.4.2.2. Exemplos: pressionar botão delete sem querer, pen-drive com vírus, uso inadequado de extintor de incêndio
5.4.3. Não-humana
5.4.3.1. São normalmente influências externas
5.4.3.2. Exemplos: raios, incêndio, inundação, tempestade
5.5. Tipos de danos
5.5.1. Conceito
5.5.1.1. Dano resultante da manifestação de ameaças
5.5.2. Tipos de danos
5.5.2.1. Dano direto
5.5.2.1.1. Danos diretos provocados pela manifestação de uma ameaça
5.5.2.1.2. É a primeira perda provocada pelo incidente de segurança
5.5.2.1.3. Exemplos
5.5.2.2. Dano indireto
5.5.2.2.1. É o dano consequente que pode ocorrer após uma ameaça se manifestar
5.5.2.2.2. Exemplos
5.5.2.3. Expectativa de perda única
5.5.2.3.1. Esta perda é considera a partir de uma única ocorrência do incidente
5.5.2.3.2. É diferente da expectativa de perda anual, que considera a perda durante um ano
5.5.2.3.3. Exemplo: Um armazém tem valor patrimonial de R$ 500.000 e a porcentagem de perda em caso de um incêndio é de 25%. Logo, o SLE = 500.000 x 0,25 = R$ 125.00
5.5.2.4. Expectativa de perda anual
5.5.2.4.1. É uma quantidade que é atribuída a vários eventos relacionados a uma ameaça durante um ano.
5.5.2.4.2. Esta perda considera a taxa de ocorrência deste evento ao longo de um ano.
5.5.2.4.3. Exemplo: se a empresa tem uma média de 10 laptops roubados a cada a ano, a expectativa de perda anual é o valor dos 10 laptops, incluindo os dados e softwares instalados neles
5.6. Gerenciamento de riscos
5.6.1. Conceito
5.6.1.1. Atividades coordenadas para dirigir e controlar uma organização em relação aos riscos.
5.6.1.2. É o processo contínuo que identifica, examina e reduz os riscos a um nível aceitável
5.6.2. Responsável principal
5.6.2.1. Chief Information Security Officer (CISO)
5.6.3. Avaliação/análise de riscos
5.6.3.1. Conceito
5.6.3.1.1. É o processo de identificação, análise e avaliação (evaluation) de riscos.
5.6.3.1.2. É uma etapa do gerenciamento de riscos
5.6.3.2. Objetivo principal
5.6.3.2.1. É usada para garantir que as medidas de segurança serão implementadas de uma forma rentável e oportuna, e, consequentemente, fornecer uma resposta eficaz às ameaças
5.6.3.3. Objetivos
5.6.3.3.1. Identificar os ativos de informação e seus valores
5.6.3.3.2. Deteminar vulnerabilidades e ameaças
5.6.3.3.3. Determinar o risco de ameaças se tornarem uma realidade e impactar os processos operacionais da empresa
5.6.3.3.4. Determinar um equilíbrio entre custos de um incidente os custos de uma medida de segurança
5.6.3.4. Tipos de análises de riscos
5.6.3.4.1. Qualitativa
5.6.3.4.2. Quantitativa
5.6.4. Medida ou controle de segurança
5.6.4.1. Posta em prática para evitar ou mitigar o risco potencial.
5.6.4.2. Se não aplicada a organização está mais vulnerável a ameaça
5.6.5. Estratégias para riscos
5.6.5.1. Evitar (ou prevenir)
5.6.5.1.1. Medidas são tomadas para que a ameaça seja eliminada de forma que não conduza a um incidente (não se manisfeste)
5.6.5.1.2. Exemplo: para evitar a ferrugem, em vez de usar material de ferro usa-se material plátisco
5.6.5.1.3. A maioria das medidas tomadas são preventivas
5.6.5.1.4. Muito usada para serviços de missão crítica
5.6.5.2. Neutralizar (reduzir ou mitigar)
5.6.5.2.1. As medidas são tomadas para que as ameaças não se manifestem ou, se o ocorrerem, o dano seja minimizado.
5.6.5.2.2. Também conhecido como mitigação de riscos
5.6.5.2.3. A maioria das medidas tomadas são uma combinação de medidas preventivas, detectivas e repressivas
5.6.5.3. Transferir
5.6.5.3.1. Terceirizar uma atividade ou compartilhar com outra entidade para que esta assuma o ônus associado a um risco.
5.6.5.4. Aceitar (suportar ou reter)
5.6.5.4.1. A empresa pode aceitar riscos menos prioritários ou riscos residuais
5.6.5.4.2. Justificada quando os custos das medidas de segurança excedem o dano possível
5.6.5.4.3. Neste tipo de estratégia, a organização pode adotar medidas repressivas somente quando a ameaça de fato se manisfestar
6. Abordagem e organização
6.1. Política de segurança da informação
6.1.1. Serve para a gerência fornecer direção e suporte à organização
6.1.2. Documento importante do SGSI
6.1.3. Deve ser divulgada para todos na organização
6.1.4. Pode-se usar o ciclo PDCA para verificar se a política está sendo seguida ou pode ser melhorada
6.1.5. Precisa ser escrita de acordo com as necessidades do negócio, legislação e regulamentos
6.2. Código de conduta
6.2.1. Para estabelecer as responsabilidades de segurança da informação do funcionário ou parte externa também em relação a segurança da informação
6.2.2. Pode orientar como os funcionários podem usar os recursos de TI
6.2.3. Importante o usuário assinar este código
6.3. Política para o uso de dispositivos móveis
6.3.1. Para laptops, celulares, etc.
6.4. Política para trabalho remoto
6.4.1. Elementos importantes
6.4.1.1. Como se dará a autorização para permitir o usuário trabalhar remotamente
6.4.1.2. Como será a provisão para equipamentos
6.4.1.3. Como será a segurança da informação para trabalho remoto
6.4.1.4. Práticas de uso de equipamento para trabalho remoto.
6.5. Gestão de ativos
6.5.1. Ativo de negócio
6.5.1.1. Qualquer coisa que custa dinheiro ou tem certo valor para o negócio
6.5.1.2. Exemplos: informação, computadores, mídias, pessoas e seus conhecimentos
6.5.2. Proprietário do ativo é responsável por classificar e definir níveis de segurança para ele
6.5.3. Bring Your Own Device
6.5.3.1. Aplica-se quando o funcionário traz para o trabalho um dispositivo eletrônico
6.5.3.2. Empresa tem que ter uma política para isto
6.6. Papéis na segurança da informação
6.6.1. Chief Information Security Officer (CISO)
6.6.1.1. Desenvolve a estratégia geral de segurança para a empresa inteira
6.6.2. Information Security Officer (ISO)
6.6.2.1. Desenvolve uma política para uma unidade de negócio com base na política da empresa
6.6.3. Information Security Manager (ISM)
6.6.3.1. Desenvolve uma política de segurança da informação para a área de TI
6.7. Incidente de segurança
6.7.1. Conceito
6.7.1.1. Ocorre quando uma ameaça se torna real
6.7.2. Relato de Incidente
6.7.2.1. Os funcionários devem reportar os incidentes o mais rápido possível
6.7.2.2. Normalmente reportados ao helpdesk
6.7.3. Gerenciamento de incidente
6.7.3.1. Processo para resolver incidentes o mais rápido possível
6.7.4. Tipos de escalação
6.7.4.1. Funcional (horizontal)
6.7.4.1.1. Incidente é repassado para alguém que tem mais conhecimento técnico para resolver
6.7.4.1.2. Exemplo: repassar uma falha no firewall para o administrador da rede
6.7.4.2. Hierárquica (vertical)
6.7.4.2.1. Incidente pode ser reportado para alguém que tem mais autoridade e pode precisar tomar alguma decisão
6.7.4.2.2. Exemplo: notificar o gerente do funcionário sobre o seu comportamento suspeito
6.7.5. Ciclo de vida
6.7.5.1. 4 Estágios: Ameaça - Incidente - Dano - Recuperação
6.7.5.2. Medidas para cada estágio
6.7.5.2.1. Redutivas
6.7.5.2.2. Preventivas
6.7.5.2.3. Detectivas
6.7.5.2.4. Repressiva
6.7.5.2.5. Corretiva
6.7.5.2.6. Avaliativa