Sistemas de Informação

Gestão de SI- seção 4.4 Gestão da segurança da informação

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 1

Segurança

• Dados e informações devem estar bem guardadas e cuidadas

• Vulnerabilidades (externa e interna) – Acesso sem autorização – Divulgação indevida – Fraudes

• Ataques – Hackers e outras pessoas com competência técnica – Exploram falhas de sistema

diegofernandes.weebly.com

Prof. Me. Diego Fernandes Emiliano Silva diego.fernandes@pitagoras.com.br

2

LINK

Vulnerabilidades

• Podem ocorrer por erros de

– Softwares e sistemas

– Rede

– Acidentes e desastres

• Incêndios/ enchentes/ quedas de energia

• Pessoas também podem cometer equívocos no uso da tecnologia

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 3

Necessidade

• Para redução de riscos, toda organização deve desenvolver políticas, procedimentos e ações, monitoramento e controle para prevenir problemas

• Planejamento envolve – Compreensão das estratégias organizacionais

– Análise das vulnerabilidades e riscos

– Considerar todas as partes interessadas • Fornecedores / empresa / clientes

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 4

Exemplo real

• Por que a empresa Vivo me ligou hoje?

• Como ela sabe o meu número e os meus dados, inclusive da operadora que eu escolhi no momento?

• Quem vendeu informação?

• Será que a empresa não imagina que isso só desgasta a minha visão em relação a imagem dela?

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 5

Mecanismos de proteção

• Criptografia – Dados embaralhados, inteligíveis a terceiros

• Assinatura digital – conjunto de dados criptografados, associados a um

documento, que garantem integridade e autenticidade

• Antivírus

– software capaz de identificar e remover arquivos ou programas nocivos

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 6

ISO 27000

• Voltada a organização e a estrutura de segurança da informação... Alguns conceitos – Ameaça: causa potencial de um incidente indesejado, que pode resultar em

danos para um sistema ou entidade

– Ataques: ações de destruição, alteração, exposição, inutilização, roubo, acesso não autorizado, ou uso não autorizado de ativos

– Controle de acesso: assegurar acesso e restrição baseada na natureza do trabalho e parâmetros de segurança

– Gestão de risco: atividades coordenadas para dirigir e controlar uma organização em relação ao risco

– Risco: possibilidade de ocorrência de um evento, bem como suas consequências

ISOs

ISO 27001

Modelo para estabelecer, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de Gestão de Segurança da Informação

ISO 27002

Desenvolve políticas de segurança da informação

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 8

ISO 27003 - PDCA

ISO 27003

Se relaciona com aspectos críticos necessários para implementar um projeto bem-sucedido, desde sua concepção até implementação

ISO 27004

Voltada para levantar indicadores e métricas para checar eficácia da segurança da informação (CHECK)

ISO

ISO 27005

Observa os riscos da TI, e prevê análises e avaliações de possíveis impactos

ISO 27006

Especifica requisitos para empresas que prestam serviços de auditoria e certificação de um Sistema de Segurança da Informação

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 10

Implantação de Sistema de Gestão de Segurança da Informação

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 11

MA

RTI

NS;

SA

NTO

S, 2

00

5

O perigo está em casa Fonte: Exame, 26 jun. 2008

Práticas indevidas dos funcionários colocam em risco muitos dados corporativos (1)

Copiam informações confidenciais da empresa em pen drives 51%

Compartilham senhas com colegas de trabalho 46%

Já perderam equipamentos portáteis de armazenamento de dados 39%

Enviaram documentos da empresa em anexo para e-mails pessoais 33%

Aparelhos portáteis mais utilizados para transportar dados corporativos

Laptop 41%

Pen drive 22%

CD-ROM 13%

Celular ou smartphone 3%

Prejuízo: 1,82 milhão de dólares é o custo médio de um incidente de vazamento de dados

(1) Base: 893 respostas (mundo) Fontes: McAfee,Ovum e Ponemon Institute 12

Segurança da informação

Segundo Marciano e Marques (2006)

Segurança da informação é um fenômeno social no qual os usuários (aí incluídos os gestores) dos SI têm razoável conhecimento acerca do uso destes sistemas, incluindo os ônus decorrentes expressos por meio de regras, bem como sobre os papéis que devem desempenhar no exercício deste uso.

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 13

Pós-Aula

• Fazer os exercícios faça valer a pena do livro institucional + atividades de aprendizagem do portal da seção 4.4

diegofernandes.weebly.com Prof. Me. Diego Fernandes Emiliano Silva

diego.fernandes@pitagoras.com.br 14