Post on 01-Jan-2016
description
SEGURANÇA DA INFORMAÇÃO
IMPORTÂNCIA DA INFORMAÇÃO
• A Informação é consideradas atualmente o principal patrimônio de uma organização
• Ela é um ativo que, como qualquer outro ativo importante, deve ser protegido!!
ATIVOS
DEFINIÇÃO
“A Segurança da Informação trata da proteção da informação dos mais
diversos tipos de ameaça”
DEFINIÇÃO
• Segurança envolve:
• Tecnologia• Processos• Pessoas
AMEAÇAS EXTERNAS (EXEMPLOS)
Empresário: Descobrir o plano de marketing estratégico do competidor
Ex-empregado: Vingar-se da demissão
Terrorista: Roubar segredos de guerra
AMEAÇAS INTERNAS (EXEMPLOS)
Roubo de Informações
Alteração de Informações
Danos Físicos
Política de Segurança da Informação
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
• Visa fornecer direcionamentos relativos à Segurança da Informação
• Sua existência é imprescindível para o sucesso da Gestão da Segurança da Informação
CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÃO
• Classe 1: Pública Informações que, se forem divulgadas fora, não
trarão impactos ao negócios (Ex.: Folders)
• Classe 2: Informação Interna Acesso externo as informações deve ser evitado.
Porém, se divulgadas fora, as consequências não são críticas (Ex.: Ramais da organização)
CLASSIFICAÇÃO DOS ATIVOS DE INFORMAÇÃO
• Classe 3: Informação Confidencial Comprometimento das operações da organização em
caso de divulgação externa (Ex.: Dados Pessoais)
• Classe 4: Informação Secreta A confidencialidade e integridade são críticos. Número
restrito de pessoas com meios de acesso a essa classe de informações.
Segurança Lógica
SEGURANÇA LÓGICA
• Visa controlar o acesso a dados, programas, aplicações e redes
• “Tudo deve ser proibido a menos que expressamente permitido”
SEGURANÇA LÓGICA
• Este controle é feito normalmente pelo uso de Login e Senha
• Cada usuário deve ter uma identificação própria
A IMPORTÂNCIA DA SENHA
• Escolha da Senha x Segurança da Rede
• A Senha dá acesso não apenas a configurações pessoais, mas também a documentos do setor, programas, etc.
A IMPORTÂNCIA DA SENHA
• Não escolher senhas óbvias!
• Nunca escreva sua senha!
• Não forneça sua senha a NINGUÉM!
REDES: PROCEDIMENTOS DE SEGURANÇA
• Instalação mínima de componentes
• Desativação de serviços que não são essenciais
• Administradores de Rede
REDES: PROCEDIMENTOS DE SEGURANÇA
• Geração de Logs (conexões externas, arquivos transferidos, etc.)
• Monitoramento de Logs
CRIPTOGRAFIA
• Ciência de escrever em cifras (ou códigos)
• Assinaturas/Certificados Digitais
FERRAMENTAS DE SEGURANÇA
• Firewall Objetiva controlar o acesso as redes de
computadores Deve ser corretamente dimensionado de acordo
com o tamanho da rede (pode se tornar gargalo)
FERRAMENTAS DE SEGURANÇA
FERRAMENTAS DE SEGURANÇA
• Sistema de Detecção de Intrusão (IDS) Ataques internos
• Virtual Private Networks (VPNs) Confidencialidade e integridade no transporte de
informações por meio de redes públicas
FERRAMENTAS DE SEGURANÇA
• Antivírus Tendência: Administração Centralizada
BACKUP
Backup é um termo que se refere a cópia de dados de um dispositivo para o outro e tem como objetivo ter uma maior segurança em caso de problema com os dados originais. Todo backup tem um único propósito, recuperar os dados originais.
Plano de Continuidade dos Negócios
INTRODUÇÃO
• Estratégia integrada para reagir a uma interrupção não programada nas atividades de negócio
• Concentra esforços para prover rápida disponibilidade do ambiente
OBJETIVOS PRINCIPAIS
• Minimizar danos imediatos em situações de emergência
• Assegurar a restauração das atividades o mais rápido possível
PLANOS DE CONTINGÊNCIA
• Planos de contingência são propostos a partir da análise dos riscos
• Contém procedimentos relacionados com a recuperação do ambiente após a ocorrência de um desastre
Segurança Física
DE ONDE VEM O PERIGO?
• Estudo do FBI mostra que casos de roubo, fraude e acidente são causados:
72% das vezes por funcionários da própria empresa
15% a 20% das vezes por terceirizados 5% a 8% por pessoas externas
SEGURANÇA FÍSICA
• Para a obtenção de acesso a qualquer ambiente, indivíduos devem ser:
Autenticados
Autorizados por algum sistema
CONTROLE DE ACESSO FÍSICO
Objetiva proteger ambientes e equipamentos cujos acessos devem ser restritos
Grades, muros e portas Guardas Controle de acesso biométrico
CONTROLES AMBIENTAIS
Objetiva minimizar ameaças potenciais
Fogo Explosivos Fumaça Água
Gestão de Riscos
“GERENCIAR RISCOS” ?
Avaliação: considera a pior situação, no pior momento, no cenário mais pessimistaCenário: consistente com a realidade da OrganizaçãoControle: deveria ser proativo, preditivo e corretivo
Conceitos
Risco: é a medida para um fator de incerteza
Pesquisa feita pela KPMG com 250 empresas brasileiraspublicada em 04/02/04.
Gestão de Riscos
Medo de Que ?