Fundamentos de Segurança da Informação com Base na ISO/IEC 27002

HomeTreinamentosFundamentos de Segurança da Informação com Base na ISO/IEC 27002

A informação sempre foi a mola propulsora das empresas, e sua segurança uma peça fundamental para a sobrevivência das mesmas. Com o advento da computação essas informações se tornaram cada vez mais informações digitais, e com a comunicação em massa promovida pelas novas tecnologias sua exposição tornou-se ao mesmo tempo necessária (para as pessoas autorizadas) e um fator de risco a ser tratado com planejamento e processos maduros.

Com o aumento da demanda por serviços, e das dúvidas da comunidade de tecnologia da informação e segurança da informação, a indústria passou a organizar-se em associações para discutirem soluções e capacitarem a mão de obra, visando garantir que os esforços sejam convergentes, e que as empresas possam capacitar seus profissionais para obter o máximo de eficiência e segurança dessas tecnologias.

Dentro desse contexto, a ISO desenvolveu a família 27000, dedicada à Segurança da Informação. Sua principal norma é a ISO/IEC 27002 (antiga ISO/IEC 17799), que fornece um código de práticas para a proteção da informação, baseado na experiência de profissionais de todo o mundo, que se reúnem em associações como a ABNT, para contribuir para a constante evolução dessa norma.

Objetivos do Curso

O curso visa apresentar os fundamentos da informação, de acordo com os princípios descritos da ISO/IEC 27002, assim como alguns tipos de medidas para reduzir os riscos à confidencialidade, integridade e disponibilidade da informação dentro de organizações, de qualquer tipo ou tamanho.

Público Alvo

Todo pessoal envolvido com a gestão da segurança da informação, o que inclui os proprietários das informações e os custodiantes das mesmas. Dentre esses profissionais destacamos:

  • Gestores, consultores, pessoal de suporte e gerentes de projetos de serviços de TI;
  • Analistas e gerentes de áreas de negocio (financeiro, RH, engenharia, etc);
  • Desenvolvedores, integradores e arquitetos de sistemas;
  • Engenheiros e especialistas de rede, e;
  • Profissionais de segurança da informação

Pré-Requisitos

Conhecimentos básicos de tecnologia da informação.

Carga Horária

16 horas.

Conteúdo Programático

Este treinamento foi desenvolvido para apresentar os conceitos fundamentais da segurança da informação, cobrindo os principais aspectos da ISO/IEC 27002 através de exposição de casos e um exercício prático ao final de cada módulo que auxilia na fixação do conhecimento adquirido em sala de aula.

O conteúdo apresentado em aula é ainda enriquecido pelo uso de diversos documentos de suporte, artigos públicos sobre o assunto e material exclusivo desenvolvido pela equipe de instrutores.

Módulo 1 – Informação e Segurança

Através do entendimento dos conceitos fundamentais e do histórico da segurança da informação, os alunos aprendem os conceitos fundamentais para a proteção dos ativos de informação da organização.

  1. Conceitos Fundamentais: explica os conceitos de informações em seus diversos formatos, seu ciclo de vida, as diferenças entre dados e informações e a infraestrutura básica para armazenamento e proteção da mesma;
  2. Valor da Informação: discorre sobre o valor estratégico da informação para as organizações, como a informação pode influenciar no desempenho da organização e como as práticas de segurança da informação protegem esse bem da organização;
  3. Aspectos de Confiabilidade: apresenta os aspectos da segurança da informação (confidencialidade, integridade e disponibilidade – CID), detalhando seus requisitos de avaliação.
Módulo 2 – Alinhamento Estratégico

Neste segundo módulo, apresentamos as formas de se alinhar as ações de segurança da informação com os objetivos estratégicos da organização, protegendo de forma eficiente os ativos de informação de acordo com sua importância para o negócio e consequentemente aumentando o retorno para a organização dos investimentos em segurança.

  1. Modelagem de Processos: toda organização possui diversos processos de negócio, que são suportados por vários tipos de ativos (TI, pessoas, instalações físicas, etc). Para a otimização do uso dos recursos de TI, é necessário que se identifique os processos prioritários, e todos os ativos que os suportam, visando diminuir o risco relacionado a esses ativos;
  2. Governança: neste tópico, os participantes são convidados a refletir como os objetivos das áreas de TI e segurança da informação podem se alinhar aos objetivos estratégicos de negócio de suas organizações;
  3. Classificação da Informação: analisa o valor da classificação da informação e a forma de classifica-las para uma correta aplicação das medidas de segurança.
Módulo 3 – Ameaças e Riscos

Este módulo apresenta os conceitos básicos de risco, gestão de riscos e análise e avaliação de riscos.

  1.  Ameaças e Riscos: apresenta os conceitos de ameaça, probabilidade, risco e análise de riscos. Os participantes identificam vários tipos de riscos, danos, a relação entre uma ameaça e um risco, assim como a estratégia para tratamento dos riscos;
  2. Riscos a CID: estuda-se a relação entre ameaças, riscos e a confiabilidade da informação. Vários tipos de ameaças são estudadas, assim como os danos causados pela possível realização destes riscos.
Módulo 4 – Abordagem e Organização

Este módulo fornece uma visão da construção das políticas de segurança e a organização da segurança da informação.

  1. Políticas de Segurança e Organização da Segurança: descreve os objetivos e a composição de uma política de segurança, assim como a organização da segurança da informação;
  2. Organização da Segurança: apresenta os fatores fundamentais para o bom funcionamento da política de segurança como: código de conduta, propriedade de ativos e papéis principais na segurança da informação;
  3. Gestão de Incidentes e Escalação: descreve a importância de uma rotina de gestão de incidentes, apresentando um ciclo onde os mesmos devem ser reportados de forma correta, analisados e escalados funcional ou hierarquicamente. Descreve também os efeitos negativos de falhas neste processo.
Módulo 5 – Medidas de Segurança

Descreve a importância das medidas de segurança para a organização e a forma como são estruturadas de acordo com sua classificação e possível impacto à organização.

  1. Importância das Medidas de Segurança: descreve as formas como as medidas de segurança podem ser estruturadas, fornece exemplos de medidas de segurança, explica a relação entre os riscos e as medidas apropriadas para a redução desses riscos;
  2. Segurança Física: analisa os riscos envolvendo falhas nas medidas de segurança física e fornece exemplos de ameaças e medidas relacionadas à segurança física;
  3. Uso da Tecnologia: analisa os riscos envolvendo aspectos tecnológicos como a má utilização e manutenção dos ativos de tecnologia, softwares maliciosos (vírus, trojans, etc) e discute as soluções tecnológicas para redução de riscos como a criptografia, backup e antivírus;
  4. Desenvolvimento e Manutenção de Software: descreve as ameaças decorrentes da falta de uma análise de segurança em todo o processo de desenvolvimento de softwares e a necessidade de manutenção e atualização de qualquer tipo de software, incluindo sistemas operacionais, páginas web e firmwares de ativos como roteadores e firewalls;
  5. Medidas Organizacionais: descreve a importância das medidas organizacionais para a segurança da informação e os riscos envolvendo as falhas na criação ou aplicação dessas medidas;
  6. Gestão de Pessoas: analisa o papel dos colaboradores na segurança da informação e descreve os principais pontos de controle para a contratação, conscientização, monitoração e desligamento dos mesmos;
  7. Controle de Acesso: descreve as medidas de segurança relacionadas ao acesso físico ou lógico das informações como: uso de senhas, segregação de funções, autorização e auditorias de acessos;
  8. Continuidade de Negócios: fornece uma visão geral sobre a necessidade de um bom plano de continuidade de negócios, os passos para a criação de um plano de continuidade, assim como a importância da validação, treinamento e exercícios para garantir a validade dos planos.
Módulo 6 – Conformidade

Neste último módulo são avaliados a importância e os efeitos da legislação e das regulamentações para a organização.

  1. Legislação e Regulamentação: exemplifica leis e regulamentações relacionadas à segurança da informação, assim como seus objetivos e controles utilizados para atendê-las;
  2. Avaliação: descrevem as formas de avaliação da efetividade da segurança da informação, através de auditoria, auto avaliação, mensuração e geração de evidências da efetividade das medidas de segurança.

Para maiores informações sobre o curso e próximas turmas entre em contato.