Segurança da informação (2)

4,730 views

Published on

Apresentação do dia 05/05/11

PPGA-UFRN - prof Manoel Veras

Israel Felipe
Márcio Brito

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,730
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
145
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Segurança da informação (2)

  1. 1. Risco e Segurança da Informação Israel José dos Santos Felipe Márcio Carvalho de Brito UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO PPGA-UFRN
  2. 2. INTRODUÇÃO CONHECIMENTO ORGANIZAÇÕES AMEAÇAS Inteligência Competitiva segundo Elisabeth Braz, PhD em inteligência competitiva pela UFRJ. É um processo sistemático e ético usado para identificar, coletar, analisar e disseminar informações analisadas, ou seja, com valor agregado, de forma a minimizar o risco do tomador de decisão em suas ações. Ex.://www.cimentoitambe.com.br/itambe-empresarial/nao-basta-ter-inteligencia-e-preciso-inteligencia-competitiva/ Fonte: Módulo Risk Manager News. Segurança da Informação e Inteligência Competitiva
  3. 3. DIFUSÃO DO CONHECIMENTO <ul><li>Três Mecanismos de Difusão </li></ul>1º. Aprender através da inspeção física dos produtos patenteados dos concorrentes e através de informações sobre a logística do produto obtidas de várias fontes (fornecedores e distribuidores). 2º. A informação patenteada é também difundida quando se incorpora aos bens de capital produzidos por fornecedores externos. A menos que as empresas na indústria produzam seus próprios bens de capital ou protejam a informação que eles dão aos fornecedores, suas tecnologias podem ser adquiríveis pelos concorrentes.
  4. 4. DIFUSÃO DO CONHECIMENTO <ul><li>3º. A rotatividade da mão-de-obra aumenta o número de pessoas que passa a conhecer o domínio tecnológico, abrindo uma brecha de vulnerabilidade para que essas informações cheguem a outras empresas. </li></ul>Três Mecanismos de Difusão
  5. 5. Gestão do Risco <ul><li>A História do Risco e Fontes de Risco </li></ul><ul><li>Ainda Keynes (apud BERNSTEIN 1997, p. 12) teve de admitir que “se a natureza humana não caísse na tentação de enfrentar riscos...talvez pouco se inventasse como resultado da fria avaliação”. </li></ul><ul><li>A síntese utilizada por Longenecker, Moore e Petty (2004, p. 634), diz-se que “nada é certo, exceto a morte e os impostos”. Os empresários provavelmente ampliaram esse adágio da seguinte maneira: “ Nada é certo, exceto a morte, os impostos e os riscos em pequenas empresas”. </li></ul><ul><li>Entretanto as fontes de risco associado as empresas Gitman e Joehnk (2005) e Delloite apresentam exaustivas literatura a respeito com pontos parecendo comuns. </li></ul>
  6. 6. Definição de Risco <ul><ul><li>“ Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer como resultado das decisões exigidas por toda a organização.” </li></ul></ul><ul><ul><li>Risco está relacionado à escolha , não ao acaso </li></ul></ul><ul><ul><li>Gestão de Riscos é o enfoque estruturado que alinha estratégia, processos, pessoal, tecnologia e conhecimento, com o objetivo de avaliar e gerenciar essas incertezas como forma de criação de valor . </li></ul></ul>
  7. 7. O processo de gerenciamento de riscos <ul><li>Gerenciar o risco é a melhor estratégia para as organizações no contexto atual, Brealey e Myers (2005, p. 309) </li></ul><ul><li>Segundo Bodie e Merton (2002, p.262) discorre que o processo de gerenciamento de risco é uma tentativa sistemática de analisar e de gerir o risco. Portanto as organizações precisam de gestores capazes de assumir e conhecer os riscos inerentes para que possam gerenciá-las de forma sistemática através de ferramentas descritas. </li></ul>
  8. 8. Grupos de Riscos <ul><li>Risco Estratégico : Falta de capacidade da empresa em proteger-se, adaptar-se ou antecipar-se a mudanças (econômicas, tecnológicas, mercadológicas e etc) que possam impedir o alcance dos objetivos e metas estabelecidas; </li></ul><ul><li>Risco Operacional : Fraudes, erros de sistemas de informações, extrapolação de autoridade dos empregados, desempenho insatisfatório, falhas na adoção dos critérios de subscrição; </li></ul>
  9. 9. Grupos de Risco <ul><li>Risco Atuarial : Metodologias e/ou cálculos incorretos da tarifação do seguro, pela insuficiência da manutenção de tabelas de preços, bem como de reajustes periódicos a serem aplicados nas apólices, e pela inadequada constituição das reservas técnicas; </li></ul><ul><li>Risco Legal : Documentação incorreta das transações, descumprimento da legislação vigente, novas leis, decisões judiciais. </li></ul>
  10. 10. Grupos de Riscos <ul><li>Risco de Crédito : Não recebimento de créditos concedidos. </li></ul><ul><li>Risco de Liquidez : Deficiência de fundos, decorrentes de dificuldade de se obter recursos, impossibilitando fazer face aos compromissos assumidos em decorrência de gestão insatisfatória. </li></ul><ul><li>Risco de Mercado : Decorre da variabilidade dos preços e produtos e das variáveis externas que afetam estes dois itens. </li></ul>
  11. 11. Por que a Gestão de Riscos? <ul><ul><li>Tarefa fundamental da direção da empresa. </li></ul></ul><ul><ul><li>Reduz a volatilidade dos ganhos. </li></ul></ul><ul><ul><li>Maximiza valor aos acionistas. </li></ul></ul><ul><ul><li>Promove a melhoria contínua dos processos. </li></ul></ul><ul><ul><li>Assumir riscos é fundamental no propósito do mercado . </li></ul></ul>
  12. 12. RISCOS MAIS RELEVANTES Fonte: Brasiliano & Associados, 2003.
  13. 13. <ul><li>PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO//2003 </li></ul><ul><li>EMPRESA MÓDULO SECURITY SOLUTIONS S.A. </li></ul><ul><li>RESULTADO: FUNCIONÁRIOS INSATISFEITOS E VAZAMENTO DE INFORMAÇÃO </li></ul>DIFUSÃO DO CONHECIMENTO
  14. 14. PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Fonte: Módulo Security, 2003
  15. 15. <ul><li>MINIMIZAÇÃO DE PERDAS E MAXIMIZAÇÃO DOS LUCROS SEM GERAÇÃO DE RECEITAS </li></ul><ul><li>PREVENÇÃO DE PERDAS </li></ul><ul><li>SEGURANÇA EMPRESARIAL (patrimonial, pessoal e da informação) </li></ul><ul><li>SEGURANÇA DE SAÚDE OCUPACIONAL; </li></ul><ul><li>MEIO AMBIENTE; </li></ul><ul><li>SEGURANÇA DO TRABALHO. </li></ul>
  16. 16. <ul><li>*1º Incêndio – 1ª REVOLUÇÃO INDUSTRIAL </li></ul><ul><li>FLORESCIMENTO DAS SEGURADORES </li></ul><ul><li>AUMENTO DE SINISTROS X ATOS CRIMINOSOS </li></ul><ul><li>*GERAÇÃO DE PADRÕES DIFERENCIADOS DOS ATIVOS – de acordo com o cuidado da empresa na PREVENÇÃO. </li></ul>INDÚSTRIA DO SEGURO – Ator coadjuvante para prevenção de PERDAS POTENCIAIS.
  17. 17. E O QUE SIGNIFICA PREVENÇÃO e menores custos para segurar o ativo? <ul><li>Projeto consistente; </li></ul><ul><li>Treinamento; </li></ul><ul><li>Proximidade com equipes de bombeiros ou próprios. </li></ul>
  18. 18. OUTRAS AMEAÇAS foram surgindo para PERDA DE PRODUÇÃO: <ul><li>ROUBOS PELOS FUNCIONÁRIOS; </li></ul><ul><li>ATOS DE VANDALISMO; </li></ul><ul><li>PERDAS DE MATERIAIS E EQUIPAMENTOS POR FALTA DE CONTROLE. </li></ul>
  19. 19. AS SEGURADORAS IMPÕE OUTROS PADRÕES DE PREVENÇÃO: <ul><li>Prêmios para indústrias com procedimentos preventivos para controle de perdas devido as sabotagens industriais e sindicatos com diminuição dos ativos representados pela terra e bens de produção. </li></ul>
  20. 20. <ul><li>ATUALMENTE É A SOCIEDADE DO CONHECIMENTO – ATIVO MAIS VALORIZADO QUE NÃO DEPRECIA COM O TEMPO, AO CONTRÁRIO, AUMENTA A VALORIZAÇÃO. </li></ul>Segundo Peck: Aumenta a tendência da aplicação de ativos inatingíveis com RISCOS diretamente relacionados a valor e custo de proteção ao bem.
  21. 21. <ul><li>“ A medida que o conhecimento se torna mais essencial para a criação de riqueza, a empresa começa a ser considerada uma intensificadora do conhecimento, necessitando, portanto, promover mecanismos de proteção das suas informações e ao mesmo tempo desenvolver meios de obtenção de informações sobre os planos, os produtos e os lucros de seus adversários.” </li></ul>A GUERRA TOTAL PELA INFORMAÇÃO
  22. 22. ESPIONAGEM INTELIGÊNCIA COMPETITIVA MILITARES AMBIENTES DE NEGÓCIOS Espionagem Empresarial X Inteligência Competitiva A GUERRA TOTAL PELA INFORMAÇÃO
  23. 23. <ul><li>Associação Brasileira dos analistas de inteligência competitiva ABRAIC. </li></ul><ul><li>Lei da Espionagem econômica e Industrial Brasileira; </li></ul><ul><li>Contra – Inteligência Competitiva; </li></ul><ul><li>SEBRAE em parceria com a ABRAIC; </li></ul><ul><li>PLATT, Washington (1974) e SANTOS, Néri dos (2000). </li></ul>INTELIGÊNCIA COMPETITIVA NO BRASIL
  24. 24. Fonte: PLATT, Washington (1974) e SANTOS, Néri dos (2000). SEMELHANÇAS NAS ABORDAGENS ENTRE IE E IC. INFORMAÇÕES ESTRATÉGICAS – IE INTELIGÊNCIA COMPETITIVA – IC A produção de uma informação sobre determinado assunto compreende a seleção e reunião dos fatos relativos ao problema, sua avaliação, seleção e interpretação, e a expressiva, como informação acabada, oral ou escrita. É um processo sistemático de agregação de valor, que converte dados em informação e, na seqüência, informação em conhecimento estratégico para apoiar a tomada de decisão organizacional.
  25. 25. www.gomesebraga.com.br www.informal.com.br www.abraic.org.br SUGESTÕES PARA APROFUNDAMENTO EM IC .
  26. 26. <ul><li>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO </li></ul>
  27. 27. Conforme o autor Kovacich (1998) ..Embora não exista uma forma padronizada de se classificar a informação existente nas organizações , do ponto de vista de seu conteúdo ela costuma ser divida em três (03) categorias, a saber: CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  28. 28. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Informação Pessoais </li></ul><ul><li>Informação de Segurança Nacional </li></ul><ul><li>Informação de Negócio </li></ul>
  29. 29. <ul><li>Podem incluir dados individuais de empregados, clientes e outras pessoas, incluindo </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação Pessoais Idade Endereço Números de telefone Peso Salário, etc
  30. 30. <ul><li>É toda aquela que precisa ser protegida para </li></ul><ul><li>GARANTIR A SEGURANÇA </li></ul><ul><li>da sociedade </li></ul><ul><li>e do Estado. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação de Segurança Nacional
  31. 31. <ul><ul><li>Correspondem ás informações utilizadas pelas organizações para desempenhar sua </li></ul></ul><ul><ul><li>MISSÃO. </li></ul></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação de Negócios
  32. 32. <ul><li>Segundo a NBR ISO/IEC 17799 a segurança de um ambiente é caracterizada pela manutenção de três fatores primordiais </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Confidencialidade </li></ul><ul><li>Integridade </li></ul><ul><li>Disponibilidade das Informações Críticas </li></ul>
  33. 33. <ul><li>Para a NBR a Informação é </li></ul><ul><li>&quot;um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para organização e conseqüentemente necessita ser adequadamente protegido“. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  34. 34. <ul><li>É definida pela NORMA como sendo: </li></ul><ul><li> a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas , ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico . </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Confiabilidade
  35. 35. <ul><li>Implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Integridade
  36. 36. <ul><li>É a garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Disponibilidade
  37. 37. <ul><li> Afirmar que um ambiente é aderente à Norma de Segurança da Informação significa dizer que o mesmo utiliza os recursos adequados para garantir a </li></ul><ul><li> Disponibilidade </li></ul><ul><li>Confidencialidade </li></ul><ul><li>e a Integridade de suas </li></ul><ul><li>informações. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  38. 38. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Mas para isto devem ser aplicados ao ambiente alguns ou todos os controles existentes na norma de segurança. </li></ul>
  39. 39. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Contudo, a lista dos controles que devem ser aplicados depende de características do próprio ambiente, como por exemplo: </li></ul><ul><li>forma e local de armazenamento das informações, </li></ul><ul><li>valor das informações armazenadas, </li></ul><ul><li>quem pode acessá-las, </li></ul><ul><li>quais servidores estão instalados, </li></ul><ul><li>que tipo de serviços são disponibilizados aos usuários da rede interna e da rede externa e etc. </li></ul>
  40. 40. <ul><li>De acordo com o nível de segurança necessário um conjunto de &quot;Controles de Segurança&quot; deve ser implementado </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  41. 41. <ul><li>Política de segurança da informação: </li></ul><ul><li>este é um documento que descreve quais atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas. </li></ul><ul><li>É de vital importância que a alta administração apóie o uso da Política e demonstre o seu comprometimento com a aplicação de suas penalidades cabíveis; </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  42. 42. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Definição das responsabilidades de segurança: este controle visa esclarecer a quem &quot;pertence&quot; cada ativo da organização, bem como quem deve ser contactado em caso de problemas de segurança relacionados a ativo em questão; </li></ul>
  43. 43. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>A melhor forma de evitar mal uso das informações é educar seus usuários, </li></ul>Assim é de vital importância que todo e qualquer usuário passe por um treinamento antes de ter acesso as informações contidas no ambiente. Processo de treinamento
  44. 44. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos. </li></ul>
  45. 45. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Como nos dia atuais, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela, houve a necessidade do desenvolvimento de métodos e técnicas que permitissem a sua proteção. </li></ul>
  46. 46. SEGURANÇA FÍSICA SEGURANÇA DA INFORMAÇÃO
  47. 47. INTRODUÇÃO <ul><li>Segurança física e lógica </li></ul><ul><li>Base para proteção de qualquer investimento </li></ul><ul><li>Sistemas vulneráveis = perda de todos os recursos </li></ul>
  48. 48. INTRODUÇÃO <ul><li>Estatísticas: </li></ul><ul><li>72% próprios funcionários </li></ul><ul><li>15% a 20% terceiros formalmente autorizados </li></ul><ul><li>5% a 8% pessoas externas </li></ul><ul><li>Fonte: FBI </li></ul>
  49. 49. CONTROLE DE ACESSO LÓGICO <ul><li>Alternativas: </li></ul><ul><li>Manual; </li></ul><ul><li>Automático; </li></ul><ul><li>Híbrida. </li></ul><ul><li> O Security Office tem o papel de analisar e escolher a melhor solução. </li></ul>
  50. 50. CONTROLE DE ACESSO LÓGICO <ul><li>Segundo Ferreira (2003,p. 124), “o controle de acesso físico (manual ou automatizado) deve ser capaz de distinguir entre a pessoa autorizada e a não autorizada, mediante sua identificação[...]”. </li></ul>
  51. 51. CONTROLE DE ACESSO LÓGICO <ul><li>Deve-se respeitar pelo menos duas entre três premissas básicas: </li></ul><ul><li>Quem é o indivíduo? </li></ul><ul><li>O que o indivíduo possui? </li></ul><ul><li>O que o indivíduo sabe? </li></ul>
  52. 52. CONTROLE DE ACESSO LÓGICO <ul><li>Sistemas de controle de acesso com apenas uma premissa: </li></ul><ul><li>Invasões ocasionadas por perda; </li></ul><ul><li>Uso indevido e falsificações. </li></ul>
  53. 53. CONTROLE DE ACESSO LÓGICO <ul><li>Características: </li></ul><ul><li>Proteção contra ataques forçados; </li></ul><ul><li>Atualização do produto/ferramenta; </li></ul><ul><li>Registro dos acessos; </li></ul><ul><li>Autenticação por senha; </li></ul><ul><li>Bloqueio de múltiplos acessos; </li></ul><ul><li>Flexibilidade; </li></ul><ul><li>Monitoração; </li></ul><ul><li>Backup de segurança; </li></ul><ul><li>Proteção do computador. </li></ul>
  54. 54. CONTROLE DE ACESSO LÓGICO <ul><li>Cada organização tem sua própria realidade e os níveis de segurança exigidos acabam sendo diferentes de empresa para empresa. </li></ul>
  55. 55. <ul><li>Segundo Ferreira (2003,p.127) “o controle de acesso físico é toda e qualquer aplicação de procedimentos ou o uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações de acesso restrito ”. </li></ul>CONTROLE DE ACESSO FÍSICO
  56. 56. <ul><li>A política e o investimento... </li></ul><ul><li>Ativos </li></ul><ul><li>Custo/benefício </li></ul><ul><li>Uma política de controle de acesso físico eficaz depende muito mais da gestão dos modelos de segurança do que apenas o uso de tecnologias. </li></ul>CONTROLE DE ACESSO FÍSICO
  57. 57. <ul><li>Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos. </li></ul>CONTROLE DE ACESSO FÍSICO
  58. 58. CONTROLE DE ACESSO FÍSICO <ul><li>Tipos de controle de acesso físico. </li></ul><ul><li>Grades, muros e portas; </li></ul><ul><li>Guardas; </li></ul><ul><li>Crachás; </li></ul><ul><li>Controle de acesso biométrico. </li></ul>
  59. 59. CONTROLES AMBIENTAIS <ul><li>De acordo com Ferreira (2003) os equipamentos devem ser fisicamente protegidos contra ameaças à segurança e perigos ambientais. </li></ul><ul><li>Alguns itens à serem considerados: </li></ul><ul><li>As instalações de processamento e armazenamento de informação que tratam as informações sensíveis devem ser projetadas para reduzir riscos de espionagem de informação durante o seu uso; </li></ul>
  60. 60. <ul><li>Os itens que necessitam de proteção especial devem ser isolados para reduzir o nível geral de proteção exigida; </li></ul><ul><li>Adotar controles de forma a minimizar ameaças potenciais; </li></ul><ul><li>Aspectos ambientais devem ser monitorados para evitar condições que possam afetar a operação das instalações de processamento da informação; </li></ul><ul><li>Utilização de métodos de proteção especial (equipamentos); </li></ul><ul><li>Desastre nas proximidades da instalação. </li></ul>CONTROLES AMBIENTAIS
  61. 61. SEGURANÇA FÍSICA DE COMPUTADORES PESSOAIS <ul><li>Deve ser adotada uma política formal. </li></ul><ul><li>Devem ser tomadas precauções ao utilizar recursos de computação móvel em locais públicos. </li></ul><ul><li>Recursos de computação móvel nunca devem ser deixados sem observação. </li></ul>
  62. 62. INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL <ul><li>1º Passo </li></ul><ul><li>Análise dos riscos e vulnerabilidades físicas que a organização possa estar exposta. </li></ul><ul><li>2º Passo </li></ul><ul><li>Levantamento das necessidades de componentes e processos de segurança física. </li></ul>
  63. 63. INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL - Cont. <ul><li>3º Passo </li></ul><ul><li>Implementação do plano de segurança física. </li></ul>
  64. 64. CONSIDERAÇÕES FINAIS <ul><li>Os controles de segurança devem atender às necessidades de segurança da organização. </li></ul>
  65. 65. Política de Segurança <ul><li>Definição </li></ul><ul><li>A Política de Segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes para a empresa. Garantindo confidencialidade, integridade e disponibilidade. </li></ul>
  66. 66. Construção da Política <ul><li>Aspectos importantes </li></ul><ul><li>Estabelecimento do conceito que as informações são um ativo importante da organização; </li></ul><ul><li>Envolvimento da alta administração com relação à segurança da informação; </li></ul><ul><li>Responsabilidade formal dos colaboradores sobre os recursos da informação; </li></ul><ul><li>Estabelecimento de padrões para a manutenção da SI. </li></ul>
  67. 67. Considerações importantes para o desenvolvimento da Política <ul><li>Deve ser criada antes da ocorrência de problemas com a segurança; </li></ul><ul><li>Criação de um Comitê de Segurança da Informação composta por diversos profissionais, cada um responsável pelo controle de acesso. </li></ul>
  68. 68. As Políticas devem ser: <ul><li>Simples; </li></ul><ul><li>Compreensíveis; </li></ul><ul><li>Homologadas e assinadas pela Alta administração; </li></ul><ul><li>Estruturadas de forma a permitir implantação por fases; </li></ul><ul><li>linhadas com estratégias de negócios da empresa, padrões e procedimentos já existentes; </li></ul><ul><li>Flexíveis; </li></ul><ul><li>Positivas. </li></ul>
  69. 69. Etapas da Construção da Política <ul><li>O processo de desenvolvimento é dividido em 04 fases: </li></ul><ul><ul><ul><li>Fase I – Levantamento das Informações; </li></ul></ul></ul><ul><ul><ul><li>Fase II – Desenvolvimento do Conteúdo das Políticas e Normas de Segurança; </li></ul></ul></ul><ul><ul><ul><li>Fase III - Elaboração dos Procedimentos de Segurança da Informação; </li></ul></ul></ul><ul><ul><ul><li>Fase IV – Revisão, Aprovação e Implementação das Políticas, Normas e Procedimentos de Segurança da Informação. </li></ul></ul></ul>
  70. 70. Fatores comuns a todas as Políticas <ul><li>As Políticas de Informações contemplam os seguintes aspectos: </li></ul><ul><ul><ul><li>Especificação da Política; </li></ul></ul></ul><ul><ul><ul><li>Declaração da Alta Administração; </li></ul></ul></ul><ul><ul><ul><li>Autores/Patrocinadores da Política; </li></ul></ul></ul><ul><ul><ul><li>Referências a outras Políticas, Normas e Procedimentos; </li></ul></ul></ul><ul><ul><ul><li>Procedimentos para Requisição de Exceções à Política; </li></ul></ul></ul><ul><ul><ul><li>Procedimentos para Mudanças da Política; </li></ul></ul></ul><ul><ul><ul><li>Data de Publicação, Validade e Revisão. </li></ul></ul></ul>
  71. 71. Pontos críticos para o sucesso <ul><li>Devido às necessidades de proteção das informações e dependência da TI (uma tendência nas empresas), a Segurança da Informação aborda como ter sucesso na Política de Segurança: </li></ul><ul><li>Formalização dos processos e instruções de trabalho; </li></ul><ul><li>Utilização de tecnologias capazes de prover segurança; </li></ul><ul><li>Atribuição formal das responsabilidades e das penalidades; </li></ul><ul><li>Classificação das informações; </li></ul><ul><li>Treinamento e conscientização constantes. </li></ul>
  72. 72. Conceitos na Política Corporativa: <ul><li>Confidencialidade; </li></ul><ul><li>Integridade; </li></ul><ul><li>Disponibilidade; </li></ul><ul><li>Legalidade; </li></ul><ul><li>Auditabililidade; </li></ul><ul><li>Não-repúdio. </li></ul>
  73. 73. A segurança pode ser desmembrada em 4 grandes aspectos: <ul><li>Segurança computacional; </li></ul><ul><li>Segurança lógica; </li></ul><ul><li>Segurança física; </li></ul><ul><li>Continuidade de negócios. </li></ul>
  74. 74. Características <ul><li>Ser verdadeira </li></ul><ul><li>Ser complementada com a disponibilidade de recursos </li></ul><ul><li>Ser válida para todos </li></ul><ul><li>Ser simples </li></ul><ul><li>Comprometimento da alta administração da organização </li></ul>
  75. 75. Benefícios <ul><li>Curto prazo </li></ul><ul><li>Formalizar e documentar o procedimentos de segurança; </li></ul><ul><li>Implementar novos procedimentos e controles; </li></ul><ul><li>Prevenir de acessos não autorizados, danos ou interferências; </li></ul><ul><li>Maior segurança. </li></ul><ul><li>Médio prazo </li></ul><ul><li>Padronização dos procedimentos de segurança; </li></ul><ul><li>Adaptação segura de novos processos; </li></ul><ul><li>Conformidade com padrões de segurança; </li></ul><ul><li>Qualificação e quantificação dos sistemas de respostas a eventualidades. </li></ul><ul><li>Longo prazo </li></ul><ul><li>- Retorno sobre o investimentos; </li></ul><ul><li>Consolidação da imagem associada à Segurança da Informação. </li></ul>
  76. 76. Treinamento <ul><li>Na implantação de uma Política de Segurança em uma empresa, é fundamental que os funcionários sejam conscientizados através de: </li></ul><ul><li>Avisos: comunicação interna, email, intranet; </li></ul><ul><li>Reuniões; </li></ul><ul><li>Elaboração de material promocional; </li></ul><ul><li>Treinamento direcionado; </li></ul><ul><li>Peça teatral; </li></ul><ul><li>Palestras periódicas. </li></ul>
  77. 77. Publicação e Divulgação <ul><li>Os aspectos que devem ser considerados na disseminação da Política de Segurança são: </li></ul><ul><li>Utilização de diversas mídias; </li></ul><ul><li>Treinamento básico e avançado; </li></ul><ul><li>Orientação para novos funcionários; </li></ul><ul><li>Informativos sobre as atuais tendências . </li></ul>
  78. 78. Fases do Programa de Conscientização <ul><li>Identificação de escopo, metas e objetivos; </li></ul><ul><li>Identificação dos instrutores; </li></ul><ul><li>Identificação do público-alvo; </li></ul><ul><li>Motivação dos funcionários e da Alta administração; </li></ul><ul><li>Administração do Programa; </li></ul><ul><li>Continuidade do Programa; </li></ul><ul><li>Avaliação do Programa. </li></ul>
  79. 79. REFERÊNCIAS <ul><li>FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. </li></ul><ul><li>BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. São Paulo: Editora Atlas, 2005. </li></ul><ul><li>DAWEL, George. A segurança da Informação nas Empresas . Rio de Janeiro: Editora Ciência Moderna, 2005. </li></ul><ul><li>  </li></ul><ul><li>FONTES, Edison Luiz Gonçalves. Vivendo a segurança da informação: orientações práticas para as organizações. São Paulo: Editora Sicurezza, 2000. </li></ul>
  80. 80. Vídeo 1 (A defesa)
  81. 81. Vídeo 2 (Os invasores)
  82. 82. Vídeo 3 (Navegar)
  83. 83. Vídeo 4 (Spam)
  84. 84. OBRIGADooo A TODOS PELA ATENÇÃO!

×