tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”.

857 views
721 views

Published on

Nossa palestra, visa uma interação onde iremos navegar e relembrar alguns conceitos, memórias históricas e atuais sobre nosso tema, dispertando uma conversa aberta, mesclando os diversos conhecimentos, experiências presentes e assim compartilhar-mos as visões quanto ao surpreendente universo das possibilidades de ferramentas tecnológicas.
Assim também refletirmos sobre a movimentação da diversidade das informações que se renovam a cada instante e afetam direta ou indiretamente as Organizações e Pessoas.
Apoio ANEFAC - Associação Nacional dos Executivos de Finanças, Administração e Contabilidade.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
857
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

tema : Reunião Técnica de Processos e Riscos: “Segurança de Dados em Tempos de Interconectividade”.

  1. 1. RealizaçãoPalestra : Reunião Técnica de Processos e Riscos “Segurança de Dados em Tempos de Interconectividade”.Palestrante : Hermann Garbeto Nestlehner Hotel Paulista Plaza (Al. Santos, 85, Jardins, São Paulo/SP)Hotel Paulista Plaza (Al. Santos, 85, Jardins, São PauloMosaic Fertilizantes do BrasilAnalista ERP SAP
  2. 2. Realização Nossa palestra, visa uma interação onde iremos navegar e relembrar algunsconceitos, memórias históricas e atuais sobre nosso tema, dispertando umaconversa aberta, mesclando os diversos conhecimentos, experiências presentes eassim compartilhar-mos as visões quanto ao surpreendente universo daspossibilidades de ferramentas tecnológicas. Assim também refletirmos sobre a movimentação da diversidade dasinformações que se renovam a cada instante e afetam direta ou indiretamente asOrganizações e Pessoas.
  3. 3. Segurança da Informação em Tempos de Interconectividade1 Significado da Segurança de Informação2 Quanto valem as Informações ?3 Controle e Monitoramento dos Ríscos4 Controle de Acessos Lógicos5 Conhecendos as Camadas de Segurança da Informação6 Sobre as Normas Técnicas e Padrões de Segurança7 Política da Segurança da Informação8 Planos de Contigência9 Novidades Técnológicas
  4. 4. 1 Significado da Segurança de Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade e disponibilidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005
  5. 5. Segurança de InformaçãoA Segurança da informação é a proteção da informação contra vários tipos de ameaçaspara garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre osinvestimentos e as oportunidade de negócios” [ISO 27002]. • Os tipos de Informações são variáveis e flexíveis, estão dispostas de diversas formas; • Existem diversas formas de ameaças o que exponencialmente diversificam as variedades de pontos e tipos de vulnerabilidade; • Precisamos avaliar as alternativas eficazes de proteção e como aplicar tais recursos constantemente.
  6. 6. 2 Quanto valem as Informações ? O processo de proteção da informação das ameaças a sua integridade, disponibilidade e confidencialidade, caracteriza-se como Segurança Informação. (BEAL, Adriana 2005). RISCO = VULNERABILIDADES x AMEAÇAS x IMPACTOS Sêmola (2003) MEDIDAS DE SEGURANÇA Está claro que vivemos numa sociedade em que a informação nunca foi tão valorizada como é hoje, CARUSO & STEFFEN (2006) afirmam que o bem mais valioso de uma empresa pode não ser o produto fabricado por seus operários ou o serviço prestado ao cliente, mas as informações relacionadas a esse bem de consumo ou serviço. Como o fato de possuir informações poderia tornar algumas pessoas mais poderosas do que outras, o acesso às informações sempre foi restrito. Para CARUSO & STEFFEN (2006, p. 24), “os primeiros suportes para o registro de informações foram as paredes das habitações humanas”. Atualmente, não há organização humana que não seja altamente dependente da tecnologia da informação (CARUSO & STEFFEN, 2006) - Computadores Pessoais, Internet, Quanitidade e velocidade das InformaçõesBEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurança em Informática e de Informação. São Paulo. Editora Senac/sp, 2006.
  7. 7. Quanto valem as Informações ?Segundo MEIRELLES (1994), o valor estratégico da informação é difícil de se medir a priori, mas fácil deser justificado quando se avaliam os benefícios em potencial.Gill, 1996 - Utiliza descreve que a informação deve ser utilizada na Gestão estratégica das organizaçõesoposto da utilização para processos produtivos e administrativos básicos.Os sistemas mais importantes passaram a ser os que suportam a estratégia da empresa, cujos objetivospodem ser bastante intangíveis, e portanto de difícil mensuração.CLEMONS (1990) afirma que as inovações mais estratégicas pretendem alterar tão radicalmente oambiente em que a empresa opera atualmente que realizar estimativas sobre os benefícios futuros comum razoável grau de precisão é praticamente impossível.Devido as dificuldades de avaliar e identificar os valores de contríbuíçôes e custos diretos ou indiretosde TI e seus retornos tangíveis ou não, a responsabilidade dos tomadores de decisões não podem maisbasear-se no Feeling dos gestores ou aparente tendências. MEIRELLES, Fernando de Souza. Informática, novas aplicações com microcomputadores. 2 edição, Makron Books, São Paulo, 1994. GILL, Peter. "Creating Virtual Value". Canadian Business Review, outono de 1996. CLEMONS, E. K. "Evaluating strategic investments in information technology". Communications of the ACM (Association of Computing Machinery) 1991,34 (I): págs. 22-36.
  8. 8. Exemplos de Valores x Informações03/01/2013Gastos globais com TI atingirão US$ 3,7 trilhões em 2013, diz GartnerDez tendências para indústria de TI a partir de 2013, segundo o GartnerEstudo confirma que mobilidade, redes sociais, nuvem e analytics vão pressionar mais as companhiasNews ANEFAC21/2/2013 - Como escolher a tecnologia certa para a sua empresa ? – ANEFACVeja exemplos de diversos setores que, através das suas necessidades específicas, aproveitaram a tecnologiapara se desenvolver.5 previsões para a TI em 2013 - DA REDAÇÃO COMPUTER WORLDBig Data, nuvem pública e outras tendências vão marcar a área de tecnologia da informação nos próximosmeses.Relógios Suiços (mecânico x Relógios Japoneses (Quartzo) - Nova técnologia s sugem (anos 60)http://informationweek.itweb.com.br/7084/constante-evolucao-da-tecnologia-exige-rapida-entrega/http://www.tiespecialistas.com.br/2012/09/a-evolucao-da-tecnologia-atraves-dos-tempos/#.US6tQDDvuSo
  9. 9. 3 Controle e Monitoramento dos RíscosOs riscos surgem em decorrência da presença de fraquezas, e, por conseguinte, vulnerabilidades.Neste contexto Beal (2005), acredita que a gestão de risco é o conjunto de processos que permite àsorganizações identificar e implementar as medidas de proteção necessárias para diminuir os riscos aque estão sujeitos os seus ativos de informação, e equilibrá-los com os custos operacionais efinanceiros envolvidos.Como fazer isso ? 1. Relatórios Precisos 2. Avaliando as Necessidades 3. Checar os principais Ríscos Técnológicos, Físicos e Administrativos sendo eles potenciais ou não. a. Para o autor Edison Fontes (2000), risco é a chance (probabilidade) de uma ameaça se transformar em realidade, causando problema à organização; b. Outro autor, Dawel (2005), identificou que3 o risco é apenas uma forma de representar a probabilidade de algo acontecer. Trata-se de uma possibilidade. Portanto, pode ocorrer ou não.
  10. 10. Conceitos e algumas definições de Ríscos Segundo DOWD (1998), tudo muda, tanto para o bem quanto para o mal, e afeta as pessoas e as organizações. Mudanças sempre carregam riscos, sejam eles tanto para o ganho quanto para a perda, e lidar com eles faz parte tanto da vida das pessoas quanto da sobrevivência de uma organização. Lidar com os riscos não significa eliminá-los ou simplesmente ignorá-los. Significa que devemos gerenciar os riscos: decidir quais devemos evitar e como, quais riscos aceitar e em que condições, quais riscos devemos tomar, etc. “(...) 2. Situação em que há probabilidades mais ou menos previsíveis de perda ou ganho (...)”. (FERREIRA, 1999, pág. 1772). “(...)a possibilidade de que os resultados realizados possam ser diferentes daqueles esperados.”. (GITMAN, 1997, pág. 17).Dowd, K. (1998). Beyond Value at Risk: The new science of Risk Management. West Sussex: John Wiley & Sons.FERREIRA, A. B. H.; Novo Aurélio – O dicionário da Língua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772.GITMAN, L. J.; Princípios de Administração Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17.
  11. 11. Algumas análises referente aos RíscosEm pesquisa realizada no ano de 2004 pela revista Continuity Insights e KPMG, com a participação de410 empresas, foram apontadas as sete maiores causas de interrupção. São ocorrências normais eque podem afetar os negócios de grandes corporações: • 81% das empresas afetadas por falta de energia. • 65% por desastres naturais. • 62% por falhas na rede de telecomunicação. • 61% por falhas de hardware. • 58% por vazamento de informações. • 57% por erro humano. • 56% por falha de software.Para 64% das empresas entrevistadas, as paralisações ocorridas nos 12 meses anteriores ao períododa pesquisa causaram prejuízo médio da ordem de U$ 100,000 e, para 24% delas, de até U$ 500,000.Segundo o DRII – Disaster Recovery Institute International, de cada cinco empresas que possueminterrupção nas suas operações, por uma semana, duas fecham as portas em menos de três anos.
  12. 12. Ríscos - Tipos de Ameaças - Vulnerabilidades Ataques de Hackers • O FBI, trabalhando junto com o Facebook, conseguiu desmantelar uma gangue de hackers cujos crimes podem ter causado um prejuízo de USR 850 milhões. Fonte BBC • O ataque aos servidores da PlayStation Network e do Sony Online Entertainment .04.2011 77 milhões de pessoas sem acesso • Gawker Media sofreu um duro ataque em dezembro de 2010. Contas dos foram usuários comprometidas. • Em março de 2011, as companhias de segurança Symantec e Kaspersky reportaram diversas tentativas de invasão aos seus bancos de dados. RSA Security, que teve diversos de seus dados roubados por hackers não identificados. • Em 13 de fevereiro de 2009, a Microsoft estava oferecendo 250.000 dólares americanos em recompensa para qualquer informação que levasse à condenação e à prisão de pessoas por trás da criação e/ou distribuição do Conficker. • (Fonte da imagem: Governo dos Estados Unidos)Entre 2005 e 2007, o hacker Albert Gonzalez conseguiu roubar os dados de mais de 45 milhões de números de cartões de crédito e débito acumulados pela loja de departamento TJ Maxx & Marshalls.Conficker, virus foi criado para afetar o sistemas opercionais da Miscrosoft Windows.
  13. 13. Ríscos - Tipos de Ameaças - VulnerabilidadesAtaques de Hackers • 1988 fez com que Robert Tappan Morris. Ficou conhecido no mundo inteiro por criar o virus (WORM) CERTque infectou milhares de computadores e prejuízos a diversas empresas. • (Fonte da imagem: Governo dos Estados Unidos)Em 1982, um ataque perpetuado pela CIA mostrou o estrago físico que um simples código de comando corrupto pode fazer.Tipos de Ameaças (Fonte COMPUTER WORLD) • n° 1: os sindicatos do Cibercrime – São grupos altamente técnicos; • n°2: Pequenos grupos - e as mulas de dinheiro e lavagens que os apoiam - seu objetivo é fraudar de alguma maneira visando dinheiro; • n°3: Hackers ativistas – Visam causar sérios danos aos seus focos e vitimas; • n° 4: roubo de propriedade intelectual e espionagem corporativa • n° 5: Mercenários de malware – Existem “industrias” de programas criminosos; • n° 6: Botnets como serviço - Programas de exploração de computadores • n° 7: Malwares “all-in-one” - Programas sofisticados de infecção e proliferação; • n° 8: A internet - A internet tem suas “aberturas”; • n° 9: Ciberguerra – Processos complexos visando vantagens e prejudicar.• Brasil Eonòmico.05.03.2013 Hackers acessam dados de 50 milhões de usuários da EVERNOTE
  14. 14. 4 Controle de Acessos LógicosSegurança lógicaAtenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backupdesatualizados, violação de senhas, etc.Adequação de procedimentos básicos de controle de acesso em aplicaçõese administração de segurança das aplicações.Suporte aos procedimentos de: • Concessão de acessos a usuários; • Concessão de senhas de acesso; • Exclusão de usuários demitidos, transferidos e desligados; • Utilização de ferramenta única e escalável.A segurança lógica é um modo de controle essencialmente utilizado para regular o acesso a PCs, redes de dados, aplicações e ficheiros.
  15. 15. 5 Conhecendo as Camadas de Segurança da Informação (parte I)Para Adachi (2004) estudou a gestão da segurança em Internet Banking , dividiuestes aspectos em três camadas: física, lógica e humana.Para SÊMOLA (2003), a gestão de segurança da informação pode ser classificadaem três pontos: Tecnológica, Física e Humana.Também ressalta, que a todo momento as empresas são alvos de ataquesnesses três aspectos com o objetivo de identificar o ponto mais fraco para umainvestida contra a segurança.Muitas organizações não direcionam esforços para área física e humana, ondejustamente ficam vulneráveis e sucetíveis a ataques. Normalmente as empresastende a focar em Antivírus e Firewall.• Camada fìsica é o local físico onde se encontra o Hardware• Camada lógica é o uso dos Softwares• Camada Humana é formada por todos os recursos humanos da organização Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
  16. 16. Camadas - Algumas prevenções ( parte II ) Camada Física - Apesar de seu pouco rísco devido a estar relacionado ao suporte que armazena as informações alguns controles são importantes: Controle de Acesso Físico - Proteção a sala de Servidores – Acesso de Visitantes Prevenção contra incêncio – Quedas de energia Camada Lógica - Para Adachi (2004) ela é caracterizada pelo uso de softwares e pela realização de transações em base de dados organizacionais, criptografia de senhas, ou seja, “regras, normas, protocolo de comunicação e onde, efetivamente, ocorrem as transações e consultas”. Foi desenvolvido um guia pela Interpool sobre segurança e métodos de prevenção de crimes de TI (interpoll ,2000) Adachi (2004), com algumas medidas a serem implantadas: • Registro (Log – histórico dos acessos) - Backup de dados - Firewall (Filtro das informações) • Sistema Detector de intrusões – Atualização de Aplicativos/Softwares e correções(pathes) • Não permitir instalações suspeitas - Procedimentos de Recuperação e ContingênciaSêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.
  17. 17. Camadas - Algumas prevenções ( parte III ) Camada Humana - Das três camadas, esta é a mais difícil de avaliar os riscos e gerenciar a segurança, pois envolve o fator humano, com características psicológicas, sócio-culturais e emocionais, que variam de forma individual (SCHNEIER, 2001). A gestão desta camada envolve mais do que software e hardware, equipamentos e programas só estarão vulneráveis caso algo seja negligenciado ou configurado de forma incorreta, ao contrário das pessoas que, comumente executam ações e colocam dados em perigo mesmo sabendo que isso pode trazer sérios danos para a empresa. Educar as pessoas é o maior desafio num ambiente tecnológico. (CARUSO & STEFFEN, 2006). Segundo a norma de qualidade NBR ISO/IEC 17799 (2005), deve-se levar em consideração três momentos referentes aos recursos humanos em uma corporação: • Antes da contratação; • Durante a execução das funções; • Encerramento das atividades profissionais. A norma NBR ISO/IEC 17799 (2005, p.13) Confidencialidade das InformaçõesSêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.SCHNEIER, Bruce. Segurança. com;: segredos e mentiras sobre a proteção na vida digital. RJ, editora Campos, 2001.
  18. 18. 6 Sobre as Normas Técnicas e Padrões de Segurança ( Parte I )Como surgiu a norma da Segurança da Informação – Um pouco da históriaEm outubro de 1967 foi criado um documento chamado “Security Control for Computer System” quemarcou o passo inicial para criação de conjunto de regras para segurança de computadores.DoD também não ficou fora disto e teve grande participação na elaboração de regras.Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria”por DoD. A versão final deste documento foi impresso em dezembro de 1985.Em 1988 o Governo Canadense formou o Canadiam System Security Center (CSSC) e em maio de 1989foi publicada a primeira versão draft do CTCPEC, ou Canadiam Criteria, cuja versão mais recente é a 3.0,publicada em janeiro de 1993.Em 1989 o governo Alemão publicou, através do West German Information Security Agency, seu critériode avaliação de sistemas computacionais que, ao contrário do TCSEC, não se preocupava somente comquestões de segurança do sistema, mas também com a integridade, disponibilidade e segurança darede.O Departamento de Defesa dos Estados Unidos (DOD ou DoD ( Department of Defense)
  19. 19. Sobre as Normas Técnicas e Padrões de Segurança ( Parte II ) Como surgiu a norma da Segurança da Informação – Um pouco da história Ao mesmo tempo o Britsh Commercial Computer Security Center (CCSC) desenvolvia o critério Britânico, escrito em uma linguagem clara permitindo aos desenvolvedores de sistemas a fácil compreensão e implementação dos critérios em seus produtos. Esta ISO se originou de um esforço do governo britânico, que em 1987, através do UK DTI (Departamente of Trade Center) criou o CCSC (Comercial Computer Security Centre), cujo objetivo era a criação de critérios para a avaliação da segurança e de um código de segurança para os usuários das informações, de uma forma geral. No ano de 1989 foi publicada a primeira versão do código de segurança, que na época foi denominado de PD0003 - Código de Gerenciamento de Segurança da Informação. Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“.nova edição ISO/IEC 27002 .COBIT – Control Objectives for Information and related Technology ( guia formulado como framework destinado a gestão de TI)
  20. 20. Sobre as Normas Técnicas e Padrões de Segurança (Parte III )Sintese das NormasCOIBIT - – Control Objectives for Information and related Technology . Prevê boas práticas degerenciamento e gestão de TI com amplas recomendações de segunaça da informação.NBR ISO/IEC-17799 - a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novoesquema de numeração como ISO/IEC 27002. Código de Prática para a Gestão deSegurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios geraispara iniciar, implementar, manter e melhorar a gestão de segurança da informação em umaorganização”. . .
  21. 21. Sobre as Normas Técnicas e Padrões de Segurança (Parte IV)Sintese das NormasÉ preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799,mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema denumeração como ISO/IEC 27002. Seções. • Política de Segurança da Informação – Políticas, Princípios, Diretrizes e outros. • Organizando a Segurança da Informação – Estrutura de gerenciamento. • Gestão de Ativos - Tudo que possue valor na empresa – Seu controle total. • Segurança em Recursos Humanos - Consciêntização, Treinamentos, outros. • Segurança Física e do Ambiente – Avaliar ríscos gerais em toda estrutura. • Gestões das Operações e Comunicações – Recomendações para integridade. • Controle de Acesso - Ativar monitoramento contínuo interno e externo. • Aquisição, Desenvolvimento e Manutenção de Sistemas - Fazer gestão em todo o processo. • Gestão de Incidentes da Segurança da Informação - evidênciar possíveis ríscos, antecipar. • Gestão da Continuidade do Negócio – Estar preparados para qualquer evento de paradas. • Conformidade - Aspéctos de direitos autorais e privacidade. . .
  22. 22. Sobre as Normas Técnicas e Padrões de Segurança (Parte V)Algumas análises equivocadas quantoa Segurança da InformaçãoAlgumas organizações criaram pensamentos e práticas equivocadas durante muitos anos conforme osautores Caruso e Steffen (1999) bem referenciaram. • Uma vez implantada a segurança, as informações estão seguras; • A implantação da segurança é um processo simples; • A segurança é um assunto de esclusiva responsabilidade da área de segurnaça; • A estrutura de segurança é relativamente estática. • A segurança de informação é responsabilidade somente da área de TI; • Outras áreas quanto a informações serem subordinadas nas decisões de segurança; • Limitar investimentos pensando somente na área de TI; • Ter planos somente reativos e não preventivos; • Pensar que TI nada tem a ver com negócio; • Ti é custo, não é investimento; • Utilização do paliativo ao invés do correto e seguro; • Não dissiminar a importância da Segurança e boas práticas ; • Tratam a Segurança da Informação como um projeto. Deve ser um processo evolutivo. . .
  23. 23. 7 Política da Segurança da Informação ( Parte I )A segurança da informação visa preservar três princípios básicos pelos quais norteiam asua implementação e devem estar bem consubstanciados na política de segurança:Confiabilidade – Toda informação deve ser protegida de acordo com o grau de sigilo deseu conteúdo, visando à limitação de seu acesso e uso apenas às pessoas para quemelas são destinadas.Integridade – Toda a Informação deve ser mantida na mesma condição em que foidisponibilizada pelo seu proprietário, visando protegê-las contra alterações indevidas,intencionais ou acidentais.Disponibilidade – Toda a informação gerada ou adquirida por um individuo ou instituiçãodeve estar disponível aos seus usuários no momento em que os mesmos delasnecessitem para qualquer finalidade. (SÊMOLA, 2003, p.45).
  24. 24. Política da Segurança da Informação ( Parte II )A Política de Segurança da Informação deve envolver todos que trabalham numaorganização e, no processo de gestão da informação, devem possuir responsabilidadesbem definidas. Tais agentes podem ser classificados em (CARUSO, 1999, p. 34):• Gestor da Informação – Nível de decisão quanto a todas informações;• Custodiante – Responsável pela organização, processamento, guardar as informações ;• Usuário – Todos os colaboradores. A Política de Segurança da Informação precisa prover controles nos ambientes corporativos para identificação de vírus, controles de acesso lógico e mecanismos de controle de acesso físico envolvendo nesse processo o Gestor da informação, o Custodiante e todos usuários do sistema.
  25. 25. Política da Segurança da Informação ( Parte III ) Algumas sugestões de definição de procedimentos a serem adotados : • Políticas de acessos externos à organização; • Política de uso da Intranet; • Política de uso da Internet: • Política de acesso físico; • Política de acesso lógico; – Outros • Classificar as informações corporativas, segundo seu grau de sensibilidade, sigilo e acessibilidade em: confidenciais, corporativas e públicas; • Conscientizar, delegar responsabilidades quanto as informações; A importância da conscientização da equipe de profissionais é consenso entre os especialistas em segurança (BARBOSA, 2001, p. 27).BARBOSA, Alexandre. E-Bussiness com Segurança. Internet Bussiness, São Paulo-SP, ano 5, 27 de setembro de 2001, 49p
  26. 26. Política da Segurança da Informação ( Parte IV ) Obstáculos comuns numa Implantação de Política de Segurança Pesquisa de Segurança da Informação realizada pela empresa Módulo, foram citados os principais obstáculo para a implementação da segurança da informação. Citaremos eles:  Falta de conscientização dos executivos e usuários ( indicado por 55% dos entrevistados );  Falta de orçamento ( 28% dos entrevistados );  Falta de profissionais capacitados ( 8% );  Falta de soluções específicas para minha necessidade ( 3% );  Falta de ferramentas no mercado ( 2% ). Outros desafios são citados pelo livro Seccurity Officer [33]: Questões políticas, Poder, Resistência a Mudanças, Ambientes sem senso de Urgência x Necessidade Para Howard (apud GRUM, 1972), a informação real nunca é tão boa quanto a informação perfeita, embora esta última represente o limite que deve ser perseguido para a boa informação. 1 - percepção limitada; 2 - informação parcial; 3 - lógica da satisfação; 4 - Interferência políticaA Módulo é uma empresa brasileira, com atuação internacional, especializada em soluções para Governança, Riscos e ComplianceGRUM, Allen F. et al. The trials and tribulations of the tribnian situation: a pilot level decision analysis of intelligence resource allocation. Stanford Research Institute, novembro de1972.
  27. 27. 8 Planos de ContigênciaCARUSO & STEFFEN apud WEIGHTS (2006) recomenda a adoção de alguns passos para a elaboraçãodo plano de contingência: 1. Formação da equipe de planejamento; 2. Avaliação das atividades críticas; 3. Lista do pessoal necessário; 4. Equipamentos necessários; 5. Dados, Software e documentação; 6. Alternativas de coleta de dados e distribuição de saídas; 7. Acordos de backup em locais alternativos; 8. Manuais de contingência; 9. Testes de contingência periódicos: CARUSO & STEFFEN (2006) afirmam que é na realização dos testes que costuma-se encontrar os pontos fracos do plano de contingência. De nada valem os conceitos contidos no plano de contingência, se a empresa não souber identificar corretamente as suas necessidades. (SÊMOLA, 2003). E acima de tudo, saber prever formas decontornar os possíveis problemas. Para CARUSO & STEFFEN (2006, p. 334) “a vulnerabilidade do centro de processamento de dados pode ser a vulnerabilidade da própria empresa e a sua destruição pode equivaler ao fim da própria organização”.
  28. 28. 9 Novidades Técnológicas• Datashow para smartphones e tabletes. Alta capacidade, definição e pouco espaço.• Dinheiro físico e Cartões de Crédito - Near Field Communication (NFC) e aplicações em nuvem, como PayPal, meios de pagamento que serão mais utilizados a partir de 2013.• Fim dos Cabos e Adptadores - o wireless vai se tornar o padrão para a conexão em todos os smartphones, laptops e tablets.• Carros Inteligentes – sistemas de prevenção de colisão, estacionamento. Segurança.• Mídia desconectada: VOD (vídeo sob demanda), nuvem e interconectividade de dispositivos serão mais populares entre os usuários em 2013 que os tradicionais cabos e satélites.• Desktops – Tablets e smartphones concorrendo para substituí-los.• Telefone Físico - Cada vez mais a transição pois hoje quase todos estão ON LINE, com um celular por exemplo. (ITWEB)• USB X Tecnologias de Nuvem para armazenagem ou movimentação das Informações. – Dropbox e Google Drive• Softwares Corporativos : Cloud Computing, forte tendência e evolução nas plataformas CRM e ERP. Exemplo SAP HANA.A ideia do Dropbox criada em 2008 por Drew Houston (EX- Hacker).SAP HIGH PERFORMANCE ANALYTIC APPLIANCE (SAP HANA) A PRÓXIMA ONDA DA COMPUTAÇÃO EM MEMÓRIA DA SAP.
  29. 29. Novidades Técnológicas • Chris Anderson para Revista Exame 01.12.2012 - Fala da disponibilização cada vez maior e acessibilidade das técnologias a menores custos. Exemplo da impressora 3D que custava milhões, hoje feita pela MakerBot e custo em torno de 2 mil dólares. • Pesquisa da empresa de consultoria inglesa Delloite aponta que a “gamificação” está no ranking das dez tendências tecnológicas em 2012. Uso na Educação. • Chips - Transponders - microchips – Implantados em pessoas e animais com informações. Applied Digital Solutions lançou o VERICHIP contendo dados para portadores de doenças. Fonte Jusnavegandi. • John Brandon, CIO/EUA.18.02/2013 – BYOD (Bring Your Own Device ) Regras e usos para aparelhos mòveis; – Impressão 3D; – Desaparecimento das senhas. Segurança por Biometria; – Salas de aulas On Line; • Algumas outras fontes, Metropole WEB, Revolução Digital. • Brasil Econômico, 05.03.2012 APPlE investindo no relógio Inteligente Página 14.Chris Anderson tem 44 anos e escreveu o livro A Cauda Longa (Campus/Elsevier), no qual defende o crescimento dos mercados de nicho. É formado em Física, trabalhou nasrevistas Science, Nature e The Economist. Hoje é editor-chefe da revista americana Wired.FDA (Food and Drug Administration), agência que regula o uso de medicamentos e alimentos nos Estados Unidos, liberou o implante de transponders em seres humanos paraessa finalidade
  30. 30. Alguns pontos a considerarmos 2.
  31. 31. Bibliografias e Fontes das InformaçõesReferências• BEAL, Adriana - Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. -São Paulo: Editora Atlas, 2005.• CARUSO, Carlos A. A.; STEFFEN, Flavio Deny. Segurança em Informática e de Informação. São Paulo. Editora Senac/sp, 2006.• MEIRELLES, Fernando de Souza. Informática, novas aplicações com microcomputadores. 2 edição, Makron Books, São Paulo, 1994.• GILL, Peter. "Creating Virtual Value". Canadian Business Review, outono de 1996.• CLEMONS, E. K. "Evaluating strategic investments in information technology". Communications of the ACM (Association of Computing Machinery) 1991,34 (I): páginas. 22-36.• DAWEL, George - A Segurança da Informação nas Empresas – Rio de Janeiro: Editora Ciência Moderna, 2005.• FONTES, Edison Luiz Gonçalves - Vivendo a segurança da informação: orientações práticas para as organizações. - São Paulo: Editora Sicurezza,2000.• Dowd, K. (1998). Beyond Value at Risk: The new science of Risk Management. West Sussex: John Wiley & Sons.• FERREIRA, A. B. H.; Novo Aurélio – O dicionário da Língua Portuguesa; Nova Fronteira, 1999, 3a ed.; ISBN 85-209-1010-6; p. 1772.• GITMAN, L. J.; Princípios de Administração Financeira; Harbara Editora, 1997, 7a ed.; ISBN 85-294-0060-7; p.17.• Sêmola, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva. Rio de Janeiro, Ed. Campus, 2003.• SCHNEIER, Bruce. Segurança. com;: segredos e mentiras sobre a proteção na vida digital. RJ, editora Campos, 2001.• BARBOSA, Alexandre. E-Bussiness com Segurança. Internet Bussiness, São Paulo-SP, ano 5, 27 de setembro de 2001, 49p
  32. 32. THANK YOU!

×