Definição
Documento
Contém conjunto de
Normas
Métodos
Procedimentos
Deve ser
Comunicado a todos os funcionários
Revisado
Periodicamente
Quando houver necessidade
Deve ser feita uma análise crítica
Define
Quem pode usar os ativos
Quem é autorizado a usar
NBR ISO/IEC 27001:2005
Informação
É um
Processado
Com valor a empresa
Dado
Representa
Um ponto de vista
Conhecimento
Ativo da entidade
Uma dos recursos mais importantes da empresa
Contribui para
Diferenciação da empresa
Competitividade
Poder
Ativo
Conjunto de
Bens
Todos os direitos de quem, quando, onde e como usar as informações da empresa
Classificação
ISO 27001
Confidencial
Restrita/Privada
Publica
Uso interno
Norma ISO que define sobre a classificação
Qualquer pessoa/entidade pode ter acesso
O mais alto nível de confidencialidade
Pessoas de dentro da empresa podem acessar
Não tão confidencial
Pessoas diferentes da empresa podem classificar a mesma informação de forma diferente
Quanto maior o valor da informação maior é sua classificação
Direitos
Em uma entidade
Tudo aquilo que possui valor
Principal ativo #
Ameaça
É um
Agente externo
Aproveita as vulnerabilidades
Quebra os princípios de
Disponibilidade
Integridade
Confidencialidade
Pode ser
Natural
Involuntárias
Intencionais
Vulnerabilidade
É uma fragilidade/fraqueza
Ativo
Grupo de Ativos
Pode ser explorada #
por uma ou mais Ameaças
Intencionamente
Não intencionalmente
Resulta
Quebra dos princípios da segurança
É possível
Identificar os riscos
Definir medidas de segurança apropriadas
Risco
Risco = ameaça X vulnerabilidade X Risco
Backup
Recomendado
Fora das instalações da Empresa
O mais longe possível
Prédios diferentes
Um dos procedimentos mais efetivos para segurança da informação
Assegura a continuidade
Em sinistros
Incêndios
Desastres
Segurança Física
Acesso a
Quem for autorizado
Criar perímetro de segurança
Tipos
Biometria
Chaves
Portas com cartão
Portões elétricos
Vigias
Restrição para materiais
A sala deve ser protegida de
Fogo
Água
Manifestações
Poeira
Vazamentos
Insetos
Redes elétricas mal formadas
Elaboração da Política
Formar um comitê
Tornar um gerente responsável
Profissionais de diversos segmentos
Advogado
TI
Administrador
Engenharia
Deve
Divulgar a toda a empresa
Estabelecer as melhores práticas
Reunir periodicamente
Deve validar as decisões tomadas pelo comitê
Avisar os funcionarios
Avisos
Palestras
Elaboração de Guias Rápidos
Deve ser
Clara
Simples
Objetiva
Para não gerar dúvidas
Todos os funcionários
Ser treinados
Conhecer as vulnerabilidades/ameaças/riscos
Estar preparados para ajudar quando um problema acontecer
Equipados com o necessário para ajduar
Precisa do apoio da alta direção
Todos devem saber priorizar