Segurança da Informação e Políticas de Segurança

Segurança da Informação e Políticas de Segurança Gilberto Sudré gilberto@sudre.com.br vidadigital.blog.br www.gilberto.sudre.com.br Gilberto Sudré ©

2 Gilberto Sudré

Agenda ➢ A Segurança da Informação ➢ Serviços de Segurança da Informação ➢ Classificação de Segurança ➢ Riscos e Ameaças ➢ Vírus ➢ Internet ➢ Políticas de Segurança 3 Gilberto Sudré

A Segurança da Informação Gilberto Sudré ©

Nova economia ➢ Acirramento da competição científica e econômica ➢ O conhecimento como expressão de poder e vantagem competitiva ➢ Capital intelectual – Ativo das organizações 5 Gilberto Sudré

Conhecimento e Informação ➢ Natureza estratégica ➢ Diferencial competitivo ➢ Alto valor agregado ➢ Instrumento de poder 6 Gilberto Sudré

Desafios da segurança ➢ Redução do riscos contra vazamento de informações confidenciais ➢ Redução da probabilidade de fraudes ➢ Diminuição de erros devido a treinamentos e mudanças de comportamento ➢ Manuseio correto de informações confidenciais 7 Gilberto Sudré

Desafios da segurança ➢ Administrar uma gama muito grande de: ➢ Ambientes ➢ Usuários ➢ Sistemas e Aplicações ➢ Perfis de Trabalho ➢ Especialidades ➢ Mudanças 8 Gilberto Sudré

Eu odeio segurança !! ➢ Todos nós odiamos as restrições impostas pelos controles de segurança em nossa liberdade de ir, vir, ler, escrever e falar. ➢ Ninguém gosta de ter que carregar chaves de portas e de lembrar de senhas. ➢ Ficamos impacientes em esperar por aprovação para entrar em um prédio ou na sala de espera em um aeroporto. Reclamamos das portas de segurança dos bancos e dos limites de de velocidade das vias públicas. ➢ Mas ela é cada vez mais necessária... 9 Gilberto Sudré

10 Gilberto Sudré

Definições de Segurança segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção. [Aurélio] 11 Gilberto Sudré

Definições de Segurança Segurança em sistemas de computadores resume-se a uma série de soluções técnicas para problemas não técnicos. [Garfinkel e Spafford] 12 Gilberto Sudré

Definições de Segurança “Segurança não é uma questão técnica, mas uma questão gerencial e humana. Não adianta adquirir uma série de dispositivos de hardware e software sem treinar e conscientizar o nível gerencial da empresa e todos os seus funcionários” Christopher Klaus CTO - Chief Technology Officer ISS – Internet Security System 13 Gilberto Sudré

Solução de Segurança Ferramentas Controles Políticas de Segurança 14 Gilberto Sudré

Pergunta... O que é pior que não termos segurança alguma em nossos sistemas? 15 Gilberto Sudré

! ! ! ... É possuírmos a falsa impressão de segurança 16 Gilberto Sudré

Serviços de Segurança da Informação Gilberto Sudré ©

Serviços de Seg. da Informação ➢ Existem diferentes aspectos que caracterizam a segurança de um sistema de computadores. Estes aspectos são denominados serviços de segurança. ➢ Os serviços de segurança devem ter: ➢ Confidencialidade ➢ Integridade ➢ Autenticidade ➢ Disponibilidade ➢ Controle de acesso ➢ Não-repúdio ➢ Auditoria 18 Gilberto Sudré

Classificação de Segurança Gilberto Sudré ©

Classificação de Segurança ➢ O que é segurança? 20 Gilberto Sudré

Classificação de Segurança Segurança Física ➢ Backups ➢ Ambientes de alta disponibilidade ➢ Plano de Contingência ➢ Dualização de servidores ➢ Área Segura ➢ Controle de acesso ➢ Limitado pelo Perímetro de Segurança ➢ Descarte e lixo ➢ Política de mesa e tela limpas ➢ Segurança de Equipamentos 21 Gilberto Sudré

Classificação de Segurança Segurança Lógica ➢ Antivírus ➢ Autenticação ➢ Senhas ➢ Biometria ➢ Criptografia ➢ Ferramentas de: ➢ Bloqueio de acesso ➢ Detecção de invasões ➢ Detecção de Vulnerabilidades ➢ VPN (Virtual Private Network) 22 Gilberto Sudré

Riscos e Ameaças Gilberto Sudré ©

Vírus de Computador ➢ Como surgiram? ➢ Início dos anos 80 ➢ Fred Cohem, estudante da University of Southern California ➢ Experiências com códigos “hostis” ➢ Tese de doutorado ➢ Qual foi o primeiro Vírus? ➢ 1986 ➢ Origem Pakistão ➢ Nome: Brain 24 Gilberto Sudré

Worms (vermes) ➢ Termo genérico utilizado para qualquer software capaz de propagar a si próprio em redes de computadores ➢ Normalmente utilizam a exploração de falhas de código ➢ Exemplo: ➢ Code Red ➢ Explora falha de buffer overflow no Microsoft IIS Web Server 25 Gilberto Sudré

Cavalo de Tróia (Trojan Horse) ➢ Programa que é executado na máquina atacada (Servidor), controlado a partir do programa cliente instalado na máquina do atacante (Cliente) ➢ Normalmente não se propaga automaticamente, aguarda que o usuário o instale em sua máquina 26 Gilberto Sudré

Hackers ➢ Experimentadores (“Lammers” , “Script Kiddies”) ➢ Vândalos ➢ Cybercriminosos (“Crackers”) ➢ Soldados (“InfoWarFare”) 27 Gilberto Sudré

E-mail e Mensagens Instantâneas ➢ Meio de propagação de vírus e outras pragas virtuais ➢ Divulgação de informações enganosas e mentirosas ➢ Perda de produtividade ➢ Vazamento de informações sigilosas 28 Gilberto Sudré

Programas piratas ➢ Ilegal ➢ Multa até 2000 x o valor da cópia original ➢ Responsabilidade criminal ➢ Administradores ➢ Caixa de surpresas ➢ Você nunca sabe o que tem dentro !!! 29 Gilberto Sudré

Navegação na Internet ➢ Disseminação de Vírus e Cavalos de Tróia ➢ Captura de informações pessoais ➢ Perda de produtividade 30 Gilberto Sudré

Política de Segurança O que é? ➢ Política de segurança é a expressão formal das regras pelas quais é fornecido acesso aos recursos tecnológicos da empresa. ➢ Quem, quando e como pode ter acesso as informações ➢ Considerações ➢ Serviços oferecidos X Segurança fornecida ➢ Facilidade de uso X Segurança ➢ Custo da segurança X Risco da perda 32 Gilberto Sudré

Política de Segurança ➢ É importante para: ➢ Garantir a implementação de controles de segurança apropriados ➢ Auxiliar na seleção de produtos e no desenvolvimento de processos ➢ Documentar as preocupações da alta direção sobre segurança ➢ Evitar responsabilidade da empresa nos casos de quebra de segurança ➢ Transformar a segurança em um esforço comum 33 Gilberto Sudré

Política de Segurança Tipos ➢ Fechada ➢ Tudo aquilo que não é permitido explicitamente é proibido. ➢ Aberta ➢ Tudo aquilo que não é proibido explicitamente é permitido. 34 Gilberto Sudré

Política de Segurança ➢ Segurança da Informação precisa ser tratada corporativamente ➢ Verdadeiro ➢ É fator crítico de sucesso tratar os problemas de segurança de forma ampla e completa, pois diferente disso, as empresas terão apenas soluções isoladas e pontuais que pouco contribuirão para elevar o nível de controle e segurança das informações da empresa 35 Gilberto Sudré

Política de Segurança O que não deve prever ? ➢ Detalhes técnicos ➢ Copiar políticas e implementações de outro local 36 Gilberto Sudré

Política de Segurança Comitê de Segurança ➢ Montar comitê representativo da Cultura da Organização (exemplos) ➢ Infra-estrutura ➢ Informática, Engenharia ➢ Apoio ➢ RH, Auditoria, Jurídico, Qualidade, Segurança ➢ Atividades-fim da Organização 37 Gilberto Sudré

Uma solução evolutiva Planejamento Elaboração Monitoramento Implantação e 38 Gilberto Sudré treinamento

Conclusão ➢ A informação é o ativo mais importante da sociedade atual ➢ Segurança da informação é fator fundamental para garantir o uso correto das informações em um sistema de computadores ➢ A solução completa de segurança da informação deve contar, além dos recursos tecnológicos, com uma política e administração de segurança global, sistematicamente controlada (Pessoas, Procedimentos e Técnicas) 40 Gilberto Sudré

Perguntas !!

Segurança da Informação e Políticas de Segurança Gilberto Sudré gilberto@sudre.com.br vidadigital.blog.br www.gilberto.sudre.com.br Gilberto Sudré ©

http://katiuscecunha.blogspot.com	78
http://www.slideshare.net	53
http://katiuscecunha.blogspot.com.br	30
http://katiuscecunha.blogspot.pt	16
http://feeds.feedburner.com	1

Segurança da Informação e Políticas de Segurança

by Gilberto Sudre on Dec 10, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

5 Embeds 178

Statistics

Segurança da Informação e Políticas de Segurança — Presentation Transcript