SSI-42. IMPLEMENTAÇÃO DE SEGURANÇA OPERACIONAL

1. 42.1. Fundamento

1.1. 42.1.1. Segurança operacional não deve ser improvisada.

1.2. 42.1.2. Deve ser construída com base sólida e alinhada aos riscos mais relevantes para o negócio.

2. 42.2. Avaliação de Estruturas e Diretrizes

2.1. 42.2.1. Estruturas de segurança fornecem modelos de referência reconhecidos.

2.2. 42.2.2. Classificação das estruturas:

2.2.1. 42.2.2.1. Reguladora

2.2.2. 42.2.2.2. Não reguladora

2.2.3. 42.2.2.3. Específica do setor

2.2.4. 42.2.2.4. Nacional

2.2.5. 42.2.2.5. Internacional

3. 42.3. Exemplos de Estruturas de Segurança

3.1. 42.3.1. NIST 800 Series

3.2. 42.3.2. COBIT 5

3.3. 42.3.3. ITIL

3.4. 42.3.4. ISO/IEC 27001

4. 42.4. Guias de Configuração de Segurança

4.1. 42.4.1. Fornecidos por fabricantes ou organizações especializadas.

4.2. 42.4.2. Ajudam a configurar corretamente sistemas e serviços.

4.3. 42.4.3. Suportam a aderência aos princípios das estruturas adotadas.

5. 42.5. Conformidade

5.1. 42.5.1. Garante que exigências legais, normativas e organizacionais sejam cumpridas.

5.2. 42.5.2. Envolve auditorias, relatórios e políticas internas.

6. 42.6. Segurança em Camadas

6.1. 42.6.1. Estratégia que aplica múltiplas barreiras de proteção.

6.2. 42.6.2. Cada camada dificulta o avanço do atacante.

7. 42.7. Defense in Depth (Defesa em Profundidade)

7.1. 42.7.1. Abordagem que amplia a resiliência do sistema através de defesas redundantes.

7.2. 42.7.2. Inclui controles físicos, técnicos e administrativos.

7.3. 42.7.3. Exemplo:

7.3.1. 42.7.3.1. Firewall → IDS → Antivírus → Backup → Políticas de acesso