Aula 07b - Segurança da informação - NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022

E aí galera beleza a gente vai aqui pra aula complementar né do módulo dois de segurança da informação complementar assim vamos falar do tópico noções sobre gestão de segurança de informação conforme as normas NBR ISO 27001 e 27002 de 2022 beleza e vai ter uma próxima aula só sobre eh noções eu tenho anotado aqui ó prevenção e reação de riscos cibernéticos éo negócio beleza vão ser duas aulas e ambas com questões como eu disse tá galera eh no universo de todas as questões que vão cair de de informática aí de todos os modos etc esses

modos essas eh questões complementares do que não foi gravado que caiu agora no edital né novo eu acredito que deve cair uma ou duas questões no máximo Tá Posso estar errado mas eu acho difícil pela quantidade de de de perguntas né então é isso mas a gente tem que estudar de qualquer forma É lógico que a norma galera Ó tô com a norma aqui na íntegra a 27001 ela tem aqui 10 tópicos principais ó Começando aqui com escopo referências normativas aí ó contexto da organização quatro cinco liderança seis planejamento sete apoio oito operação nove avaliação

de desempenho e 10 melhoria isso aqui eu peguei de uma um exemplar de uma uma cópia de um de um de um de um diretório que tá que tá na internet tá vocês devem conseguir também esses essas normas mas ao meu ver só o conteúdo que tá aqui porque eu copiei tá então assim vocês vão ver no PPT que tá igualzinho eu vim aqui ó e copiei o que tá aqui ó n tipo eu copiei da Norma então vim aqui no Esopo e copiei o que tá aqui exatamente o que tá aqui beleza não fiz

resum nem nada mas eu vou res tentar resumir para vocês olha como eu brinco nas aulas eu falo eh quando a gente fala de Norma etc é meio chato tá principalmente para quem não é da área para mim quando eu vejo falando por exemplo assim ah olha partes interessadas que são relevantes para sistema de gestão de negócio beleza são as pessoas que estão ali no negócio que que que tem alguma ligação com o que vai ser implementado Ah enfim tá para quem é da área faz sentido para mim eu vejo a norma faz sentido para

mim porque eu vivo isso Beleza Eu sei assim consigo ter uma essa essa visão ampla para quem Para vocês vai parecer sopa de letrinha Então vocês tem que se atentar só algumas coisas que são principais eu vou tentar resumir porque é muita coisa é a mesma coisa assim um exemplo ah eh quem é advogado quem é daá de direito enfim quando quando a pessoa passa uma lei paraa pessoa que é leiga por exemplo eu não entendo nada eu vou ler uma lei lá cara não ent é difícil de entender vocês devem quem não é da

área for tentar ler uma lei alguma coisa você vê que é é é difícil de de você entender o que tá ali a mesma coisa disso aqui beleza a 27002 cara ela é muito grande Tá ela tem aqui 203 páginas que são os controles de como que vai ser implementado então isso aqui galera é curso tem Tem empresas daqui no Brasil que vendem curso aí de 40 horas para cada uma delas tá então é um curso com uma certificação específica só para você tirar essa Norma então en viável a gente estudar ela tá beleza a

gente vai aqui dar uma pincelada vamos lá pra gente não ficar enrolando muito M bom esse aqui galera essas três primeiras páginas são resumo tá então Peguei lá os 10 tópicos da 27001 depois vou falar da 27002 e da diferença depois questões beleza a norma foca em estabelecer implementar e manter manter e melhorar o sistema de gestão então lembra disso aqui ó a 27001 ela tem a ver com o sistema de gestão de segurança de informação ajudando as organizações a proteger que que isso significa que tudo o que a gente segue hoje é baseado em

alguma norma é baseado em algum protocolo Vocês já viram eu falando isso nas outras aulas tudo na área de TI de tecnologia é baseado em alguma coisa ninguém tira nada da cabeça é lógico que você vai ver uma empresa pequena ah mas na empresa do meu sobrinho não tem iso 27.0001 é não vai ter né mas assim uma empresa média e grande uma empresa séria implementa isso para seguir aquilo tá então ele segue uma Norma Olha eu preciso que todos os computadores têm antivírus por exemplo cara isso é uma Norma não é mandatório ninguém te

obriga a colocar antivírus na máquina mas hoje com a lei geral de proteção de dados se acontecer alguma coisa se a empresa vazar dados de alguém foi invadida e os caras forem fazer uma auditoria e ver que não tinha antivírus Você se ferrou né o cara toma multa etc porque é o básico né é a mesma coisa do cara eh sei lá fazer um carro e e ele colocar freio só enfim entendeu freio assim você tem coisas que que ah não desculpa Essa não foi uma boa analogia porque é obrigatório no carro ter cinto e

freio mas sei lá pensa em qualquer coisa assim que não é obrigatório Mas se acontecer alguma coisa vai dar problema porque é uma boa prática beleza enfim referências normativas cita normas complementares aqui é que assim a ISO galera ela é uma Norma que veio de fora né a ISO 27001 ela Ela é americana não me lembro agora inglesa não sei se é americano ou inglês enfim e lá de fora ela serve de base para todos os outros países então Os caras pegam e traduzem aquela aquela Norma então por isso que aqui é ABNT NBR porque

a nossa é meio que voltada pro Brasil beleza só que ela é da família a norma da família 27.000 por qu tem 27.005 27.002 a gente vai falar 275 assim tem outras que eu já nem lembro de cabeça cada uma é por um tipo beleza são normas pros para você que tem uma empresa grande ou para você que tá da área de segurança enfim pegar e seguir aquilo beleza seguir o que que mais ou menos o que que deve ser feito tipo um passo a passo não um passo a passo uma uma ideia né um

guia termos de definições contexo da organização eu vou passar isso porque a gente vai falar eh granular gentee de cada um deles beleza vamos lá esse documento especifica os requisitos para estabelecer implementar e manter e melhorar continuamente esse documento inclui requisitos para avaliação de tratamento de risc riscos estabelecidos ess documentos são genéricos Ou seja que que significa Eh desculpa galera eh significa que não é obrigatório que ele pode ser para qualquer empresa independente do ramo né ele pode ser para uma empresa eh do agronegócio ele pode ser para uma empresa de energia ele pode ser

para um comércio enfim aqui a referência normativa como eu tinha dito ó ISO 27.000 information information technolog secure Technics overview vocabulary enfim é a parte americana eles pegaram da ISO 27.000 da família e fizeram a nosso aqui beleza termos e definições para os efeitos dess documento aplicam-se termos e definições da família 27000 então aqui galera tem alguns links que vocês podem dar uma olhada ISO que é a mãe de todas né electropedia IC Então vamos lá vamos para se preparem aqui talvez essa aula seja um pouquinho grande vou tentar não deixar tão maçante entendendo organização

e seu contexto a organização deve determinar as questões internas e externas são relevantes para o seu propósito e que afetam sua capacidade de alcançar os resultados do seu sistema de gestão de segurança de informação com texto Ou seja a empresa ela tem que entender o propósito dela para poder implementar o o sistema de gestão baseado no seu cenário entendendo a necessidade expectativa das partes interessadas ela deve determinar as partes interessadas requisitos relevantes Quais as S endereçadas pelo sistema de gestão de informação determinar o escopo e os limites da aplicabilidade do sistema de gestão para estabelecer

o seu escopo a questão interna e externa requisitos interfaces de atividades desempenhadas pela aquela organização ou seja isso aqui essa parte de organização é a empresa pegar e a norma e estudar como que ela vai ser melhor encaixada ali dentro a administração deve estabelecer e implementar e melhorar continuamente ou seja não é uma coisa escrita em pedra não é uma coisa fixa né ela ela é multável tudo na área de segurançaa de tecnologia elas mudam conforme o Tempo parte cinco liderança liderança em comprometimento a alta direção deve demonstrar liderança comprimento a relação ao sistema de

gestão de informação o que que isso significa galera significa que a os diretores devem seguir eles devem seguir as normas seguir as normas a diretoria ela deve ser um braço forte em prol daquilo que tá sendo aplicado tá Felipe você tá falando grego imagina que a diretoria vai lá e fala que todo mundo tem que colocar uma senha complexa porque assim quem já trabalhou em empresa grande médio enfim sabe que vem lá de cima as coisas né os diretores decidem Não nós vamos mudar de sistema nós vamos comprar tal computador tá tô falando uma linguagem

do cliente ali na ponta nós vamos eh e colocar um antivírus tal nós vamos ter o bloqueio tal tudas essas coisas que mudam muito com com a com o ambiente com o dia a dia precisa ser apoiado por se os os caras de cima não apoiarem e não ter impulso firme as coisas não vão seguir certo então o diretor ele também tem que ter o comprometimento ele também tem que ter uma relação Direta com o que tá sendo aplicado e estar dentro do da Lei não adianta o cara colocar para todo mundo fazer e ele

não fazer e ele não seguir entendeu É mais ou menos isso então a diretoria ela precisa ter um comprometimento Eu já vi isso na prática entendeu de diretores que não seguiram assim todo mundo seguia mas o cara não seguia o cara não levava a sério ou enfim o que que acontece uma uma diretoria que não acha importante segurança da informação compromete a a a empresa toda porque a empresa começa a ter risco porque os caras não ligam tipo assim ah não vale a pena colocar um Fire ou não vale a pena colocar um antivírus Enfim

então existe esse comprometimento ou seja o cara precisa por exemplo ter um Budget né que é o orçamento para comprar tecnologia eles precisam ter ter isso que é uma coisa que vai agregar paraa empresa Não é custo apenas assegurando que a política e os objetivos estejam estabelecidos sejam compatíveis assegurar que as integração dos requisitos no processo de organização comunicando a importância de uma gestão eficaz assegurando o sistema gestão alcance os resultados pretendidos ou seja implementei tal coisa eu tenho hoje tá assim por aconteceu um vazamento de dados invadiram a empresa sei lá preciso colocar um

fal aqui esse Firo vai bloquear muita coisa a galera não vai mais assistir YouTube durante o horário comercial não vai mais acessar Facebook etc mas isso é para um bem maior os bloqueios são para um bem maior Beleza então qual que é o resultado O resultado é um endurecimento na segurança e consequentemente mais segurança pra empresa Beleza é a mesma coisa de você falar assim ah é é chato eu ter um crachá é chato ter chave para entrar na minha casa é chato não é chato isso é necessário isso é necessário você ter um reconhecimento

biométrico para entrar na empresa você ter uma chave você ter segurança você ter câmera você ter entendeu extintor de incêndio tem que ter isso tem que ter beleza aqui orientando e apoiando as pessoas para contribuir com a eficácia promover melhoria continuo e apoiar outros papéis relevantes beleza política a alta direção deve 5.2 deve estabelecer uma política de segurança de informação a famosa PSI política de segurança de informação seja apropriada pro negócio inclua objetos de segurança forneça estabelecer objetivo de segurança de informação inclui comprometimento de satisfazer os requisitos inclu comprometimento de melhoria contínua galera tem muita

empresa que os caras não t uma PSI que é a política é o seguinte Olha a tudo que que for dentro da empresa ela tem que seguir essa Norma o cara só pode comprar por exemplo um computador da marca tá ou dos requisitos Tais Ele só pode entrar na rede assim a senha dele tem que ser complexa com maiúscula minúscula Tô dando um exemplo básico ele não consegue acessar um wi-fi que não seja da empresa tá ele não consegue usar o a porta USB ele não consegue rotear bluetooth do computador ele não consegue entendeu assim

são bloqueios e normas que devem ser seguidas Ah o cara só pode enviar e-mail acessar o sistema da empresa no horário comercial ele tem que fazer isso isso isso então assim são coisas que que no final das contas tudo é baseado nisso Norma de segurança é sempre P um bem maior por já aconteceram coisas ruins que a empresa não quer que ela que ela passe ou porque ela viu que uma outra empresa passou ou porque ela sabe que isso pode acontecer é a mesma coisa galera com uma sabe o pessoal de segurança do trabalho né

que os caras vão lá usa capacete usa bota usa colete com refletor etc assim eu já trabalhei no agronegócio já trabalhei em diversos segmentos já trabalhei na parte de indústria que de construção assim eu era da parte de de tecnologia passar caba etc no meu começo Então eu vi Ficava muito com os engenheiros etc de grandes projetos e eu vi caras teimosos falar Ah para que que eu tenho que colocar capacete aí tem que vir a menina do do segurança do do trabalho dá uma bronca no caro fala ó você vai tomar uma divertência você

vai enfim né podendo até ser mandado embora porque os caras batiam a cabeça e assim eu já Participei de um projeto Dando um exemplo que foi eh que o cara morreu por eh como eu tava na parte de cabeamento de rede eu falava muito com os com a parte de engenharia dos Engenheiros eletricistas e era mais essa parte de engen eletricista e assim tinha uns caras que passavam cabo lançava cabo por cima do Fogo etc e teve uma situação do cara morrer eletricutado e aí no desenrolar foram ver que o seguinte aquele cara não era

para est ali ele não precisava mexer naquilo ele tava com com uma luva que não era aquela luva ele tava usando uma escada que não era aquela escada era um andame ele aqueles de motorzinho enfim foi uma série de erros e o cara morreu porque ele ficou grudado porque ele achou não ah eu vou ter que pegar o Talu vou ter que descer vou ter que ir lá no Era longe né tipo assim um lugar gigante ter que ir lá no no depósito pegar não vamos resolver isso aqui então nesse vamos resolver isso aqui o

cara ficou grudado e morreu Vocês entenderam então tô fazendo só uma analogia de que muitas vezes as pessoas acham que é chato etc mas bloquear o seu USB bloquear acesso bloquear Tudo isso a gente quem tá na ponta acha ruim mas quem tá no lado de defesa sabe que é necessário está disponível informação documentada ou seja todo mundo tem que tem direito a acessar se você entrar numa empresa grande média você tem que saber o que que os caras estão monitorando tá então você tem que assinar um termo falando olha eu sei que T monitorando

eu sei que eu não posso acessar o Facebook eu sei que eu não posso assim dep a empresa até deixa tal mas assim Tem coisa que pode ser justa Cal você não pode acessar pornografia durante o horário de trabalho com o computador da empresa você não pode prestar trabalho para uma outra empresa com o computador da empresa enfim entendeu então ah mas eu não sabia que Como assim eles me monitoram Lógico que te monitora você tá com um computador de empresa você tá dentro da rede da empresa enfim você é monitorado e cabe a empresa

te notificar quanto a isso né quando você entra na empresa no famoso onboarding que é recepção Você assina vários termos ó Você assina um documento que você tá recebendo um um crachá que você tá recebendo um notebook que você está recebendo uma um uniforme enfim né que você tem que devolver depois eh papéis responsabilidades a alta direção deve assegurar que as responsabilidades e autoridades eh dos papéis da segurança de informação sejam atribuídos e comunicados assegurar que o sistema de gestão esteja em conformidade relatar sobre o desempenho Enfim seis planejamento ação para abordar os riscos e

oportunidades deve considerar que os estabelecidos determinados riscos de oportunidades assegurar que o sistema possa alcançar resultados meio repetitivo isso né por isso que eu falei que é meio chato prevenir ou reduzir efeitos indesejados alcançar a melhoria contínua ação para abordar o r oportunidades integrar e implementar ação dentro dos processos avaliar eficácia risco a critérios citação de risco realizar avaliação de risco que que significa identificar risco ou seja por exemplo eh para uma empresa abrir uma filial ela vai abrir um filial no interior do da amazia do Amazonas ali Chove muito pode cair energia pode cair

internet pode enfim a empresa pode ficar incomunicavel então é um risco tem que ser avaliada esse risco ou seja como que eu mitigo esse risco eu coloco por exemplo bateria essa né que o somamos nobreak banco de bateria eu posso colocar um gerador com diesel né que se faz isso muito em data center que é você faz os caras fazem tambores de diesel que fica enterrado e esse diesel ele sempre tem que tá sendo trocado tem que ter uma pessoa responsável para olhar medir se o diesel tá ali porque você sabe que o diesel tem

que ser trocado Então esse diesel alimenta um motor a diesel que aciona se cair energia pra empresa não parar entendeu ah internet então você tem que ter uma se não tiver internet afib tem que ser a rádio tem que ser de satélite enfim tem que colocar duas tipos de internet porque se uma caça tem a outra então tudo isso é um risco a empresa tem que avaliar e contornar né basicamente isso determinar os níveis eh avaliar o risco priorizar os riscos enfim eu só dei um exemplo de risco tá tratar ele selecionar forma apropriada do

eh as opções de tratamento Como eu disse levando em consideração os resultados determinados controles são necessários comparar os controles com aqueles do anexo a enfim eh com ter lista de possíveis controles de segurança controle de seguranças listados P pá pu pu então sim eh eu eu criei esse falei esse cenário mas imagina qualquer outro cenário imagina que é um outro país imagina por exemplo o Google Galera vocês sabem que é uma das maiores empresas do mundo então eles quando eles vão abrir uma filial onde Ou eles vão construir um data center onde vai ficar todos

os servidores a gente não sabe muito bem onde tá cada data center a gente sabe que tem por exemplo no Brasil em São Paulo mas onde ele tá ali em São Paulo eles mantém meio que em sigilo se on de vocês souberem beleza eu posso estar comendo músca mas não tem essa informação tão fácil publicamente então é um risco já eles se exporem Mas beleza então esses caras por geralmente eles mantém num ambiente controlado numa cidade que tem um certo assim num lugar da cidade que tem um certo controle eh não tem tanto risco por

exemplo os caras não vão montar um data center numa favela no topo do morro no Rio de Janeiro por exemplo não to não tô levando em consideração preconceito nada tem nada a ver tá tô dizendo que é um risco para eles por é um ambiente que não é apropriado ah os caras não vão fazer por exemplo colocar um data center mesma coisa em São Paulo eles não vão colocar eles vão colocar mais afastado da cidade num lugar longe um pouco da civilização né Por quê Ali é tem mais segurança os caras assim porque os dados

são importantes tô levando em consider tô falando disso tá isso é um fato então assim ah por exemplo os caras não vão construir um data center onde lugar que tem tsunami eles não vão construir um Data Center no lugar que tem atividade eh de terremoto Ah o cara não vai colocar um data center próximo de Santiago no Chile porque ali tem Tem atividade de terremoto por exemplo é um risco os caras entendeu mesma coisa com tsunami terremoto eu dei o exemplo de favela Tá mas Vocês entenderam o que eu quis dizer então é o tudo

é avaliado os caras não vão colocar por exemplo lá na faixa de gasa um servidor no data center porque é um risco de guerra de guerra civil o que tá acontecendo entendeu então tudo isso é avaliado e nisso dentro dessa parte do planejamento eles vem os controles necessários Como eu disse ah se eles vão colocar num lugar que precisa vamos supor Ah beleza os caras precisam colocar um servidor local ali próximo de Israel com a faixa de Gá precisa porque enfim Israel deve ter os servidores deles lá mas eu só tô dando um exemplo de

uma empresa do que que ela avalia beleza Vamos colocar é um risco é um risco mas o retorno é maior então Os caras vão colocar porque vai dar dinheiro então ele vai ver que ele precisa de colocar um controle e justificar esses controles por exemplo cara vai precisar de segurança armada vai precisar de câmera vai precisar de cerca elétrica com serpentino vai precisar de muro alto esse muro tem que ser tem que ter duas camadas e tem que ter parede blindada vai ter que ter enfim Vocês entenderam então assim são controles físicos eu dizendo só

no casão de controles físicos mas também Existem os controles virtuais digitais que é Fire antivírus por exemplo tá então o cara precisa ter uma um bom controle da parte virtual eu só só disse da parte física né mas também tem um controle E o planejamento da parte virtual que são os controles de segurança o feijão com arroz ali Fire o Ant vírus Fire paraa parte web né que é o af web application Fire o cara precisa ter uma boa configur Furação dos roteadores dele ele precisa que os sites estejam atualizados ele precisa que todos os

usuários senhas tenham senha forte e que tenham dupla autenticação ou seja o cara não tem só usuário 100 ele precisa também de um token do celular dele enfim a organização deve estabelecer os objetivos e funções em níveis relevantes ser consistente ser mensurável praticável ou seja tudo aquilo que tá sendo aplicável ele precisa ser palpável dá pro cara viajar na maionese pensando que dá para fazer Aquila coisa aquilo não dá levar em conta requisito aplicável resultado ser monitorado ser comunicado ser atualizado ou seja perdão se alguma coisa vai ser melhorada ou implementada ela precisa ser comunicada

para todos ou pelo menos para as partes interessadas implementação de sistemas manutenção de sistemas tudo aquilo que vai ser impactado então por exemplo vocês devem receber Ou você já trabalha numa empresa ou sabe Ah vai dar teremos manutenção no na internet na sexta-feira às 18 horas ou seja vai cair a internet ou vai oscilar é um aviso é um comunicado vamos melhorar o sistema tal ele vai ficar indisponível durante dois dias beleza Seria tipo isso ao planejar e alcançar a organização deve o que será feito quais recursos quem será responsável quando planejar mudança quando a

organização determina necessidade para mudança do sistema de gestão sgi e elas devem ser conduzidas de forma planejada parte sete apoio a organização deve determinar e prover recursos necessários para estabelecer implementar e manter continuamente ela deve determinar as pessoas que vão realizar o trabalho que afete o desempenho da segurança de informação assegurar que essas pessoas sejam competentes com base educação treinamento experiência apropriada que que isso aqui significa essa parte aqui ó essa e essa aqui a empresa galera empresas grandes e sérias tá elas elas precisam colocar profissionais para cuidar daquelas coisas eh quando o cara vai

cuidar do sistema tal ele precisa ter um treinamento sobre aquele sistema ele precisa ter alguma formação alguma experiência Enfim nem sempre às vezes o cara tem um treinamento mas ele teve uma experiência nem sempre ele tem certificação Mas ele tem experiência na minha área tem muito disso tem cara que nem fez faculdade por exemplo mas o cara trabalha desde os 15 anos é um crânio vocês devem saber dos caras a hacker de 15 anos fez isso isso isso o cara é um crânio ele nem nem não que ele não precise de faculdade mas ele tem

um conhecimento autodidata então acontece isso então isso é baseado na experiência dele então tudo que a empresa for ter o o apoio para poder implementar alguma coisa ela precisa de equipe competente para fazer aquilo tem algumas empresas ao contratar por exemplo Vocês que são daárea bancária etc sabem que por exemplo o cara para entrar num banco ele precisa ter lá sei lá qualquer banco Chuta aí Itaú Bradesco Banco do Brasil não Banco do Brasil já é concurso né Vamos pegar os particulares Itaú por exemplo o cara PR entar na parte ali para ele ser um

consultor enfim qualquer coisa ele precisa ter o tal do CPA não é CPA 10 20 enfim é o mínimo é o mínimo cara se o cara Estudou nessa prova ele lá não lembra etc ele não tá enfim é o mínimo a mesma coisa de um advogado para ele ser considerado advogado ele precisa passar no obab então tem empresas que consideram o mínimo Ah para você entrar em tal área você precisa ter isso Ah para você se aqui entrar na área de contabilidade você precisa ter formação na área de contábil você precisa enfim ah PR a

parte administrativa você precisa ser formada em administração então o mínimo Então é isso que eles estão querendo dizer conscientização para que as pessoas realizem um trabalho sobre o controle da organização deve estar política da segurança de informação a eficácia das implicações de não conformidade conscientizar sobre o que o porquê daquilo e os treinamentos então tem muita empresa assim grande parte das empresas que eu trabalhei tinha essa parte as maiores né tinha essa parte do do treinamento de conscientização que era a galera saber o que que era um risco o que que não era Olha você

em tal coisa você fazer isso você fazer aquilo você informar as pessoas do porquê daquilo basicamente isso e Delas saberem eh e elas terem treinamentos constantes o o mínimo é uma vez por ano duas vezes por ano ter esses treinamentos então a conscientização não é só das normas é uma conscientização Geral do ambiente das práticas né do do das políticas enfim comunicação organização deve determinar a necessidade da comunicação interna e externa relev o que comunicar quando com quem como se comunicar a sistema de gestão deve incluir informação documentada requerida informação documentada determinada o tamanho da

organização seu tipo de atividade processo produtos e serviço a complexidade competência das pessoas informação documentada criar tá quase lá galera então na metade Criar e atualizar informação documentada a organização deve assegurar de forma apropriada identificação por escrito título data autor número de referência formato linguagem que que isso aqui galera tudo que for documentado que tiver um controle ele tem que ter um controle de versão aqui e tem que ter um controle de versão tá agora a na água que até secou aqui controle diversão eh por quê para saber que aquela Norma nova é a versão

2.0 substituiu a 1.5 sei lá entendeu então tem empresas que elas têm normas diferent por país tá empresa multinacional tem isso então ela tem uma Norma só pro Brasil ela tem uma Norma só pro Equador só pro paraa Argentina só paraos Estados Unidos enfim E essas normas tem a versão a versão da língua ela tem o autor dela tem título tem assim o número de referência enfim eu que sou da área bancária também sei porque dentro da área bancária tem diversas normas diversos conteúdos assim política que mais tem então cada política ela tem um número

de referência ela tem um porque isso tudo controla pelo pessoal de governança então eles eles eles controlam também essa PS Idis que eu tô olhando para vocês né política de segurança e informação que também é baseado na ISO porque tem outras normas também então Os caras documentam aquilo olha saiu uma Norma uma nova Norma do bacem agora em 2024 que tem que fazer isso isso isso então Os caras vão disparar um e-mail vai comunicar todo mundo vai eh enviar por e-mail ou vai aparecer no sistema para você dar o aceite você lê olha essa é

versão 2.0 da Norma do bassé referente a segurança no Home Office sei lá entendeu então tem ali Quem foi Escreveu etc então assim precisa ser claro basicamente precisa ter precisa ter transparência na comunicação e nas atualizações tudo isso para que a o sgi ele seja uma coisa eh que sirva de sustentação paraa empresa basicamente isso o controle da informação esteja disponível protegida distribuída acesso etc armazenada a preservação incluindo a preservação de legitimidade controle de mudança etc parte oito operação a organização deve planejar implementar e controlar os processos necessários para atender os requisitos implementar ações determinadas

na sessão seis que a gente já falou estabelecendo critérios para os processos implementando os controles isso aqui vocês viram Caramba isso aqui parece muito com as outras com algumas outras sessões elas meio que se entrelaçam né não parece uma sopa de letrinha tudo parecido parece eh a organização deve controlar as mudanças etc então assim os caras usam isso como uma base Como eu disse para vocês então aqui também ó já fala de avaliação de risco também tratamento dos riscos parte nove avaliação de desempenho monitoramento medição e análise e avaliação O que é preciso ser monitorado

e medido incluindo processos e controles métodos de monitoramento quando o monitoramento deve ser realizado o que deve ser medido quando os resultados como deve ser analisado que que é essa parte tudo na área de tecnologia existe monitoramento para dá para monitorar tudo desde o que Você clicou tempo que você ficou dentro do sistema para quem foi enviado aquele pix por exemplo de onde que surgiu aquele acesso eh tudo tudo dá para ser monitorado e essa sessão tá dizendo sobre avaliar o desempenho de monitoramento no todo então por que que o sistema Travou Por exemplo Ah

vamos supor na Black Friday Black Friday os sistemas eh tem muito acesso imagina um e-commerce tipo Amazon sei lá pega um grande Amazon Magazine Luiza sei lá esses assim fest shop enfim quando chega na black friday Os caras estão sobrecarregados os sistemas porque tem muita gente acessando pelo pelo menos se a black se o desconto for bom né então o que que acontece os caras precisam entender que na última black friday por exemplo tiveram 2 milhões de acesso simultâneo por dia por exemplo para pro sistema suportar aqueles 2 milhões o sistema precisa ter capacidade performance

tal ele precisa ter sei lá 120 GB de Ram ele precisa ter isso balanceado em outro servidor e etc blá blá e tudo isso a equipe de redes infraestrutura tem que saber disso para medir então Os caras sabem Poxa caiu o sistema a tal hora a gente perdeu tantos reais de dinheiro por quê Porque não suportou aqueles aqueles 2 milhões de acesso por dia então a gente vai ter que melhorar pro próximo ano então beleza não é 120 GB a gente vai colocar 200 GB de Ram num sistema nenhum dos ambientes por exemplo sei lá

entendeu se Tô dando uma mensor para vocês então tudo isso aqui não é só log de acesso não é o que o cara fez de ER nem nada então tudo deve ser medido tudo não é só Acesso é o porqu quando onde eh ainda mais algumas empresas por exemplo banco ele precisa ter aquilo porque um ambiente crítico então quanto mais crítico o ambiente mais medidas de segurança mais monitoração mais avaliação mas assim tipo tudo tem que ser controlado Ou pelo menos chegar próximo do estado da arte disso né então Os caras medem e monitoram tudo

que é possível e dentro dessa parte aqui tem a auditoria interna intervalos planejados para prover informações sobre Então se tá em conformidade se os requisitos estão dentro do documento se tá implementado e mantido Então tem que ter um programa de auditoria que é auditar Tem empresas que T equipes internas que se audita que audit outras outras outras equipes mas também tem empresas que precisam passar por uma certificação precisam passar pel uma auditoria externa para poder receber um aval de que tá ok né então por exemplo o tem existe uma uma uma Norma eh uma Norma

chamado PCI e eh PCI dss essa Opa desculpa pess tocou aqui essa Norma do PCI e dss ela deixa eu colocar no mudo aqui celular essa Norma do PCI da SS ela é para todos os as empresas que tratam dados de cartão de crédito então a empresa ela precisa seguir para ela ganhar essa Norma para ela falar assim olha ela tem a a PCI dss Ela precisa passar por auditoria externa essa auditoria vê todas as coisas do ambiente interno se os ambientes o ambiente tá atualizado se ele não tem vulnerabilidade você tá requisito ten todos

os requisitos de segurança Então isso é um exemplo que eu dei a de de auditoria externa beleza para poder passar na certificação para ela poder vender e ter um e-commerce por exemplo por isso que tem muitas empresas que elas não t a norma porque é muito caro e Moroso então ele ele pega um gator de pagamento por exemplo Ah eu vou lá e fiz um site para vender camisa sei lá vender essa vender camisas em vez de eu pegar e fazer um site do zero com todo um sistema de pagamento complexo que eu vou gastar

dinheiro e tudo mais que que eu faço eu eu vou lá e uso pago por um gator de pagamento eu pago pro mercado pago eu pago pro PayPal né os caras vão me arrancar ali eh 3% por transação 4 5% é o preço você não vai fazer todo o sistema você vai usar o sistema dos caras Então na hora que alguém for pagar uma camisa no carrinho de compra vai direcionar lá pro PayPal né pro mercado pago enfim esses assim Vocês entenderam E aí vai vai ser pago por lá beleza entradas de análise crítica pela

direção situação das ações mudanças nas questões internas e externas mudanças n necessidades expectativas feedback sobre o desempenho de segurança não conformidade Resultados de auditoria feedback às partes interessadas oportunidade de melhoria contínua resultado o resultado da análise crítica pela direção deve incluir decisões relativas às oportunidades de melhoria e qualquer necessidade de mudança Então essa seria a parte e por último galera a parte 10 é melhoria contínua que é o ciclo como se a gente estivesse vendo uma seta assim ó nossa senhora ficou horrível imagina uma bola meu Deus do céu eu desisto de fazer uma bola

com setas que seria um ciclo ali né conade quando não conformidade ocorre tomar ação para controlar e corrigir lidar com as consequências avaliar as necessidades analisar criticamente a não conformidade determinando as causas ET implementar quais ações necessárias realizar as mudanças enfim essa é parte de melhoria seguimos agora a gente vai falar da ISO 272 galera a ISO 7002 é uma Norma internacional que fornece diretrizes para as melhores práticas de gestão de segura da informação ela é parte de uma família mais Ampla como eu disz da família 27.000 e foi Projetada para ser utilizada por qualquer

tipo de organização independente do tamanho e ou Setor ela trouxe algumas atualizações aqui estão alguns detalhes importantes estrutura e conteúdo a norma estruturada em torno de temas de controle então lembra disso aqui controle de segurança com cada tema abordando diferentes aspectos a versão 2022 introduziu eh mudanças na categorização de segurança em quatro sessões total de 93 controles essas sessões são pessoas organização tecnologias controles físicos em acho que tá escrito aqui e ambientais galera basicamente essa 27002 a outra é um geralzão tipo assim um um guia básico fácil de entender a a 27 mais assim mais

generalista a 272 ela tem uns controles ali granular gentee por isso tem 200 e poucas páginas Ali vai falar onde o cara tem que fazer um backup e eh que ele tem que fazer isso que ele tem que fazer aquilo no sistemas Windows ele tem que ter isso no sistema Linux ele precisa ter um controle tal assim não falando tão granular do sistema operacional mas assim dos controles então assim o cara tem que ter um controle físico um controle digital então assim dentro das sessões ó vou pegar aqui para mostrar para vocês com um exemplo

Vamos aqui na 27.002 né Vamos aqui ó hum informação de autenticação não vamos pegar aqui ó ó mesa limpa e tela limpa página 90 Ah não aqui eu tô na página 90 mas a 90 da que tá ali embaixo mesa limpa e tela limpa tipo de controle preventivo confidencial propriedade segur confidencialidade Qual que é o conceito de proteger convém que as regras de mesa limpa para documentos impress Mia de armazenamento removível e regras de tela limpa para os recursos de tratamento sejam definidos adequadamente reduzir o risco de não autorizado perda de danos orientação convém a

organização Estabeleça e comunique a política sobre a mesa de tela mesa limpa e tela limpa bloquear informações de negócios sensíveis eh mídia digital tá ou mídia física tá em um cofre proteger o dispositivo de endp através de cadeados os outros meios de segurança encerrar a sessão do endp fazer com que o autor colete saídas de impressora multifuncionais imediatamente armazenar de forma segura os documentos olha só que loucura Vocês entenderam que assim é muito mais específico que que essa mesa limpa tá dizendo que existe um controle por exemplo de sessão time out de sessão que é

o computador vai bloquear Dentro de 10 minutos 15 minutos porque se o cara sair o computador dele não pode ficar desbloqueado porque tem informação importante Ah o cara não pode grudar um potit na tela dele com senha de de outros sistemas não pode isso é isso é mesa limpa tela limpa o cara não pode ter um caderno com senha anotada aqui por galera porque alguém pode pegar não só outro funcionário Com intenção e uma intenção mas um prestador de serviço que que pode que pode se passar para alguém e pegar aquelas informações Isso não é

coisa de cinema tá isso é real Beleza então aqui fala sobre isso vamos pegar um outro exemplo aqui ó proteção contra ma na 111 ó tá aqui proteção contra m implementar regras de controle que impeçam ou detecta uso do software não autorizado reduzir que que isso significa que galera não pode sair instalando o programa porque acha que que pode mas aí isso já cai numa outra Norma que é a de acesso restrito a administrador local ou seja não você já devem trabal ter trabalhado ou quem já trabalhou em empresa que você podia instalar qualquer coisa

eu já eu já vi absurdo de o cara instalar jogo tipo Counter Strike GTA Need for Speed etc qualquer desses jogos no computador da empresa cara iso é loucura então a empresa falhou por ela não teve um software que detectou e segundo aquele cara era administrador local porque quem instala programa no computador local no computador dele ele tem que ser administrador daquela máquina e não pode o cara não pode fazer nada na máquina quem tem que ser administrador é só a galera do suporte entendeu então pro cara instalar qualquer coisa tem que bloquear então Vocês

entenderam tá senão a gente vai ficar aqui o dia todo falando disso mas Vocês entenderam que a regra da a 272 ela é muito mais granular sobre o que deve ser feito a norma atualiza reflete novas preocupações com proteção de dados pessoais segurança em nuvem ameaça cibernética e o trabalho remoto flexibilidade a norma oferece flexibilidade de implementação para qualquer organização independente né tamanho e natureza avaliação de risco exige que as organizações identifiquem analisem e avalie os riscos de segurança benefício melhoria de segurança ajuda a organização a melhorar a gestão de proteção a empresa precisa ter

essas normas implementadas por quê dependendo do tamanho dela ela só consegue expandir fazer algumas coisas se ela tiver as normas eh implementadas Então galera isso aqui eu sei que é chato mas na visão de um diretor de segurança ele precisa que isso aqui se seja seguido a risca porque não tem como o cara implementar uma Norma por exemplo Ah eu quero expandir eu tô só no Brasil a empresa já é milor é grande não tá se ela fosse grande ela já teria implementado Mas vamos supor que o cara vai vender um cara do agronegócio ele

tem uma fazenda de de gado e ele vai vender pros chineses e a empresa dele já é grande os chineses vai falar assim que Norma que você tem de segurança de informação risco cibernético Ah não tem então não vou comprar gado de você basicamente isso tem muitas empresas de Fora que cobram normas de outras empresas por quê é um risco para eles se associar uma empresa que não cuida de dentro de casa que não tem Norma de segurança que já teve vazamento Então você sabe que uma empresa teve vazamento de dados teve os dados comprometidos

você fica meio com pé atrás a empresa fica meio queimada no eh no fica queimada no entre outras empresas e os e eh entre os clientes Então isso é extremamente ruim se ela não fori implementada e a empresa que deseja adotar 27 como parte suas práticas podem também buscar a certificação 27.000 que é Norma de requisitos beleza é uma ferramenta valiosa para buscar e fortalecer sua postura são duas beleza agora galera a gente vai paraa diferença as duas normas fazem parte da família 27001 mas servem propósitos de diferentes e complementares lembra disso aqui ó dentro

do contexto de gestão de segurança de informação a 27.1 específicos requisitos para estabelecer implementar e melhorar continuamente o sgi especifica os requisitos ela fornece o Framework necessário para gestão de segurança de informação a certificação uma organização pode ser certificada com a is 27000 significa org implementou a sgi conforme os requisitos avaliação e risco e Gestão de Risco a norma exige organização avaliação de risco bar trat os incidentes beleza e 27002 foco em diretrizes e melhores práticas fornece diretrizes e melhores práticas para seleção implementação e gestão ela oferece um catálogo então aqui ó controle de segurança

Então sempre que vocês lembrarem Esse cara é controle de segurança sem certificação direta ela não tira a 27.002 ela tira 27.001 essa é a norma usada como guia de referência que que eu disse ele é um guia de referência no qual os caras sabem mais ou menos que deve ser feito complementaridade a 27.000 e 27.002 é considerada complementar a 27.001 servindo como manual detalhado por isso que ele tem 200 poucas páginas com melhores práticas de controle de segurança pode ser aplicadas no contexto Ou seja a 27001 tá aqui que tem certificação etc a 27002 tá

acima para poder complementar e servir como uma coisa com mais granularidade riqueza de detalhes ali para quem tá implementando A 27001 beleza não sei se ficou Claro para vocês galera porque é um tema não tão fácil resumo da diferença em resumo a 27.000 é focada nos requisitos para criação e manutenção criação a manutenção incluindo a avaliação de risco e a seleção de controles dos adequados para mitigar o risco ele é a norma para qual organizações podem buscar então 27.001 certificação já 27.002 oferece um guia de guia 27.002 guia detalhado de controle de segurança e práticas

recomendadas que apoiam a implementação da 2711 Então ela serve de apoio a primeira a 27.001 mas não é uma Norma certificada por si só ela só é uma mais granular beleza finalmente Realmente vamos PR as questões vamos lá a ISO 272 estabelece requisitos de segurança que podem ser utilizados por uma organização dentro da Norma esses requisitos são chamados de acabamos de falar controles de contoles I falar controle de segurança são controles beleza em relação à gerência de riscos disposição das normas NBR 27002 as políticas de senha e as políticas de senha julgue o item a

seguir a contratação de essa aqui é a contratação de seguros contra sinistros digitais é uma medida de transferência de risco relacionada a possíveis impactos potencialmente causados por unidade a contratação de seguros contra sinist é uma medida de transferência de risco certo por galera a gente não falou disso é assim eu não acredito que caia uma nessa nessa nesse nível mas o que que significa a transferência de riscos isso tá na 27.2 tá a empresa ela quando ela não consegue cuidar de alguma coisa por exemplo Ah eu vou contratar uma outra empresa só para cuidar da

segurança da informação por eu não vou contratar pessoa gerenciar uma pessoa vou terceirizar segurança de informação ou seja qualquer coisa que acontecer com vazamento invasão quem vai responsabilizar essa empresa a terceira É tipo isso então ela é uma medida de transferência de risco beleza é transferência de risco Qual a relação entre as normas 27.000 e 27002 a define os controles de segurança hum define os requisitos de sistema de G define os controles de segurança e define os requisitos tá invertido tá vendo é uma norma é uma Norma subs substituta não substitui nada 27.0001 são equivalentes

podem ser usad ind hum não se aplica apenas organizações governamentais enquanto a 272 é para empresa privada ambas servem para qualquer uma delas lembra gente ficou com as duas Qual é vamos voltar ali ó Qual é de controle de segurança 27002 guia detalhado de controles de segurança então aqui a gente já mata beleza cont controles de segurança e a outra requisitos então a gente ficou com a letra B galera beleza Assim é um tema já pra gente já finalizar tá é um tema não tão gostoso e legal de estudar porque tem muita coisa mas eu

acredito que as perguntas possam ser simples tá porque eles não vão cobrar porque isso é mais voltado pra área de de tecnologia Então se fosse um concurso para uma um cargo que envolva ser na lista de segurança alguma coisa aí beleza mas não é Então vão ser se atentem só aos basos ali as partes do resumo beleza eu coloquei tudo porque a gente tem que falar entendeu mas eu eu me atentaria os resumos entender os resumos entender a diferença delas é isso Beleza E outra coisa tem bastante conteúdo também galera se vocês não entenderem tem

outros conteúdos tem coisa na internet Falando diferença de cada uma delas então é um tema bem amplo bem vasto que dá para entender e estudar aí tranquilamente Beleza qualquer dúvida podem me chamar abraço