Risco e Segurança da Informação Israel José dos Santos Felipe Márcio Carvalho de Brito UNIVERSIDADE FEDERAL DO RIO GRANDE ...
INTRODUÇÃO CONHECIMENTO ORGANIZAÇÕES AMEAÇAS Inteligência Competitiva segundo Elisabeth Braz, PhD em inteligência competit...
DIFUSÃO DO CONHECIMENTO <ul><li>Três Mecanismos de Difusão </li></ul>1º. Aprender através da inspeção física dos produtos ...
DIFUSÃO DO CONHECIMENTO <ul><li>3º.   A rotatividade da mão-de-obra aumenta o número de pessoas que passa a conhecer o dom...
Gestão do Risco <ul><li>A História do Risco e Fontes de Risco </li></ul><ul><li>Ainda Keynes (apud BERNSTEIN 1997, p. 12) ...
Definição de Risco <ul><ul><li>“ Risco é a  incerteza  inerente aos ganhos e perdas que podem ocorrer como resultado das d...
O processo de gerenciamento de riscos <ul><li>Gerenciar o risco é a melhor estratégia para as organizações no contexto atu...
Grupos de Riscos <ul><li>Risco Estratégico : Falta de capacidade da empresa em proteger-se, adaptar-se ou antecipar-se a m...
Grupos de Risco <ul><li>Risco Atuarial : Metodologias e/ou cálculos incorretos da tarifação do seguro, pela insuficiência ...
Grupos de Riscos <ul><li>Risco de Crédito : Não recebimento de créditos concedidos. </li></ul><ul><li>Risco de Liquidez : ...
Por que a Gestão de Riscos? <ul><ul><li>Tarefa fundamental da direção da empresa. </li></ul></ul><ul><ul><li>Reduz a volat...
RISCOS MAIS RELEVANTES Fonte: Brasiliano & Associados, 2003.
<ul><li>PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO//2003 </li></ul><ul><li>EMPRESA MÓDULO SECURITY SOLUTIONS S.A. </li><...
PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Fonte: Módulo Security, 2003
<ul><li>MINIMIZAÇÃO DE PERDAS E MAXIMIZAÇÃO  DOS LUCROS SEM GERAÇÃO DE RECEITAS </li></ul><ul><li>PREVENÇÃO DE PERDAS </li...
<ul><li>*1º Incêndio – 1ª REVOLUÇÃO INDUSTRIAL  </li></ul><ul><li>FLORESCIMENTO DAS SEGURADORES </li></ul><ul><li>AUMENTO ...
E O QUE SIGNIFICA PREVENÇÃO e menores custos para segurar o ativo? <ul><li>Projeto consistente; </li></ul><ul><li>Treiname...
OUTRAS AMEAÇAS foram surgindo para PERDA DE PRODUÇÃO: <ul><li>ROUBOS PELOS FUNCIONÁRIOS; </li></ul><ul><li>ATOS DE VANDALI...
AS SEGURADORAS  IMPÕE OUTROS PADRÕES DE PREVENÇÃO: <ul><li>Prêmios para indústrias com procedimentos preventivos para cont...
<ul><li>ATUALMENTE É A  SOCIEDADE DO CONHECIMENTO  – ATIVO MAIS VALORIZADO QUE NÃO DEPRECIA COM O TEMPO, AO CONTRÁRIO, AUM...
<ul><li>“ A medida que o conhecimento se torna mais essencial para a criação de riqueza, a empresa começa a ser considerad...
ESPIONAGEM INTELIGÊNCIA COMPETITIVA MILITARES AMBIENTES DE NEGÓCIOS Espionagem Empresarial  X   Inteligência Competitiva A...
<ul><li>Associação Brasileira dos analistas de inteligência competitiva ABRAIC. </li></ul><ul><li>Lei da Espionagem econôm...
Fonte: PLATT, Washington (1974) e SANTOS, Néri dos (2000). SEMELHANÇAS NAS ABORDAGENS ENTRE IE E IC. INFORMAÇÕES ESTRATÉGI...
www.gomesebraga.com.br www.informal.com.br www.abraic.org.br SUGESTÕES PARA APROFUNDAMENTO EM  IC .
<ul><li>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO </li></ul>
Conforme o autor Kovacich (1998)   ..Embora não exista uma forma padronizada de se classificar a informação existente nas ...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Informação Pessoais </li></ul><ul><li>Informação de Segurança Na...
<ul><li>Podem incluir dados individuais de empregados, clientes e outras pessoas, incluindo </li></ul>CLASSIFICAÇÃO E CONT...
<ul><li>É toda aquela que precisa ser protegida para </li></ul><ul><li>GARANTIR A SEGURANÇA  </li></ul><ul><li>da sociedad...
<ul><ul><li>Correspondem ás informações utilizadas pelas organizações para desempenhar sua  </li></ul></ul><ul><ul><li>MIS...
<ul><li>Segundo a  NBR ISO/IEC 17799  a segurança de um ambiente é caracterizada pela manutenção de três fatores primordia...
<ul><li>Para a NBR a Informação é  </li></ul><ul><li>&quot;um ativo que, como qualquer outro ativo importante para os negó...
<ul><li>É definida pela   NORMA  como sendo: </li></ul><ul><li>  a  garantia  de que a informação só pode ser acessada e m...
<ul><li>Implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulte...
<ul><li>É a garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independente...
<ul><li>  Afirmar que um ambiente é aderente à  Norma de Segurança da Informação  significa dizer que o mesmo utiliza os  ...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Mas para isto devem ser aplicados ao ambiente alguns ou todos os...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Contudo, a lista dos controles que devem ser aplicados depende d...
<ul><li>De acordo com o nível de segurança necessário um conjunto de  &quot;Controles de   Segurança&quot;  deve ser imple...
<ul><li>Política de segurança da informação:   </li></ul><ul><li>este é um documento que descreve quais atividades os usuá...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Definição das responsabilidades de segurança: este controle visa...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>A melhor forma de evitar mal uso das informações é educar seus u...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>O ser humano sempre se preocupou com a sua segurança e de seus b...
CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Como nos dia atuais, o maior  bem que a humanidade possui são as...
SEGURANÇA FÍSICA  SEGURANÇA DA INFORMAÇÃO
INTRODUÇÃO <ul><li>Segurança física e lógica </li></ul><ul><li>Base para proteção de qualquer investimento </li></ul><ul><...
INTRODUÇÃO <ul><li>Estatísticas: </li></ul><ul><li>72% próprios funcionários </li></ul><ul><li>15% a 20% terceiros formalm...
CONTROLE DE ACESSO LÓGICO <ul><li>Alternativas: </li></ul><ul><li>Manual; </li></ul><ul><li>Automático; </li></ul><ul><li>...
CONTROLE DE ACESSO LÓGICO <ul><li>Segundo Ferreira (2003,p. 124), “o controle de acesso físico (manual ou automatizado) de...
CONTROLE DE ACESSO LÓGICO <ul><li>Deve-se respeitar pelo menos duas entre três premissas básicas: </li></ul><ul><li>Quem é...
CONTROLE DE ACESSO LÓGICO <ul><li>Sistemas de controle de acesso com apenas uma premissa: </li></ul><ul><li>Invasões ocasi...
CONTROLE DE ACESSO LÓGICO <ul><li>Características: </li></ul><ul><li>Proteção contra ataques forçados; </li></ul><ul><li>A...
CONTROLE DE ACESSO LÓGICO <ul><li>Cada organização tem sua própria realidade e os níveis de segurança exigidos acabam send...
<ul><li>Segundo Ferreira (2003,p.127) “o controle de acesso físico é toda e qualquer aplicação de procedimentos ou o uso d...
<ul><li>A política e o investimento...  </li></ul><ul><li>Ativos </li></ul><ul><li>Custo/benefício </li></ul><ul><li>Uma p...
<ul><li>Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos. </li></ul>CONTROLE DE ACESSO FÍ...
CONTROLE DE ACESSO FÍSICO <ul><li>Tipos de controle de acesso físico. </li></ul><ul><li>Grades, muros e portas; </li></ul>...
CONTROLES AMBIENTAIS <ul><li>De acordo com Ferreira (2003) os equipamentos devem ser fisicamente protegidos contra ameaças...
<ul><li>Os itens que necessitam de proteção especial devem ser isolados para reduzir o nível geral de proteção exigida; </...
SEGURANÇA FÍSICA DE COMPUTADORES PESSOAIS <ul><li>Deve ser adotada uma política formal. </li></ul><ul><li>Devem ser tomada...
INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL <ul><li>1º Passo </li></ul><ul><li>Análise dos riscos e vulnerabilidades fís...
INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL - Cont. <ul><li>3º Passo </li></ul><ul><li>Implementação do plano de seguran...
CONSIDERAÇÕES FINAIS  <ul><li>Os controles de segurança devem atender às necessidades de segurança da organização. </li></ul>
Política de Segurança <ul><li>Definição </li></ul><ul><li>A Política de Segurança é composta por um conjunto de regras e p...
Construção da Política <ul><li>Aspectos importantes </li></ul><ul><li>Estabelecimento do conceito que as informações são u...
Considerações importantes para o desenvolvimento da Política <ul><li>Deve ser criada antes da ocorrência de problemas com ...
As Políticas devem ser: <ul><li>Simples; </li></ul><ul><li>Compreensíveis; </li></ul><ul><li>Homologadas e assinadas pela ...
Etapas da Construção da Política <ul><li>O processo de desenvolvimento é dividido em 04 fases: </li></ul><ul><ul><ul><li>F...
Fatores comuns a todas as Políticas <ul><li>As Políticas de Informações contemplam os seguintes aspectos: </li></ul><ul><u...
Pontos críticos para o sucesso <ul><li>Devido às necessidades de proteção das informações e dependência da TI (uma tendênc...
Conceitos na Política Corporativa: <ul><li>Confidencialidade; </li></ul><ul><li>Integridade; </li></ul><ul><li>Disponibili...
A segurança pode ser desmembrada em 4 grandes aspectos: <ul><li>Segurança computacional; </li></ul><ul><li>Segurança lógic...
Características <ul><li>Ser verdadeira </li></ul><ul><li>Ser complementada com a disponibilidade de recursos </li></ul><ul...
Benefícios <ul><li>Curto prazo </li></ul><ul><li>Formalizar e documentar o procedimentos de segurança; </li></ul><ul><li>I...
Treinamento <ul><li>Na implantação de uma Política de Segurança em uma empresa, é fundamental que os funcionários sejam co...
Publicação e Divulgação <ul><li>Os aspectos que devem ser considerados na disseminação da Política de Segurança são: </li>...
Fases do Programa de Conscientização <ul><li>Identificação de escopo, metas e objetivos; </li></ul><ul><li>Identificação d...
REFERÊNCIAS <ul><li>FERREIRA, Fernando Nicolau Freitas.  Segurança da informação.  Rio de Janeiro: Ciência Moderna, 2003. ...
Vídeo 1 (A defesa)
Vídeo 2 (Os invasores)
Vídeo 3 (Navegar)
Vídeo 4 (Spam)
OBRIGADooo A TODOS PELA ATENÇÃO!
Upcoming SlideShare
Loading in...5
×

Segurança da informação (2)

4,308

Published on

Apresentação do dia 05/05/11

PPGA-UFRN - prof Manoel Veras

Israel Felipe
Márcio Brito

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
4,308
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
140
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Segurança da informação (2)

  1. 1. Risco e Segurança da Informação Israel José dos Santos Felipe Márcio Carvalho de Brito UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE CENTRO DE CIÊNCIAS SOCIAIS APLICADAS PROGRAMA DE PÓS-GRADUAÇÃO EM ADMINISTRAÇÃO PPGA-UFRN
  2. 2. INTRODUÇÃO CONHECIMENTO ORGANIZAÇÕES AMEAÇAS Inteligência Competitiva segundo Elisabeth Braz, PhD em inteligência competitiva pela UFRJ. É um processo sistemático e ético usado para identificar, coletar, analisar e disseminar informações analisadas, ou seja, com valor agregado, de forma a minimizar o risco do tomador de decisão em suas ações. Ex.://www.cimentoitambe.com.br/itambe-empresarial/nao-basta-ter-inteligencia-e-preciso-inteligencia-competitiva/ Fonte: Módulo Risk Manager News. Segurança da Informação e Inteligência Competitiva
  3. 3. DIFUSÃO DO CONHECIMENTO <ul><li>Três Mecanismos de Difusão </li></ul>1º. Aprender através da inspeção física dos produtos patenteados dos concorrentes e através de informações sobre a logística do produto obtidas de várias fontes (fornecedores e distribuidores). 2º. A informação patenteada é também difundida quando se incorpora aos bens de capital produzidos por fornecedores externos. A menos que as empresas na indústria produzam seus próprios bens de capital ou protejam a informação que eles dão aos fornecedores, suas tecnologias podem ser adquiríveis pelos concorrentes.
  4. 4. DIFUSÃO DO CONHECIMENTO <ul><li>3º. A rotatividade da mão-de-obra aumenta o número de pessoas que passa a conhecer o domínio tecnológico, abrindo uma brecha de vulnerabilidade para que essas informações cheguem a outras empresas. </li></ul>Três Mecanismos de Difusão
  5. 5. Gestão do Risco <ul><li>A História do Risco e Fontes de Risco </li></ul><ul><li>Ainda Keynes (apud BERNSTEIN 1997, p. 12) teve de admitir que “se a natureza humana não caísse na tentação de enfrentar riscos...talvez pouco se inventasse como resultado da fria avaliação”. </li></ul><ul><li>A síntese utilizada por Longenecker, Moore e Petty (2004, p. 634), diz-se que “nada é certo, exceto a morte e os impostos”. Os empresários provavelmente ampliaram esse adágio da seguinte maneira: “ Nada é certo, exceto a morte, os impostos e os riscos em pequenas empresas”. </li></ul><ul><li>Entretanto as fontes de risco associado as empresas Gitman e Joehnk (2005) e Delloite apresentam exaustivas literatura a respeito com pontos parecendo comuns. </li></ul>
  6. 6. Definição de Risco <ul><ul><li>“ Risco é a incerteza inerente aos ganhos e perdas que podem ocorrer como resultado das decisões exigidas por toda a organização.” </li></ul></ul><ul><ul><li>Risco está relacionado à escolha , não ao acaso </li></ul></ul><ul><ul><li>Gestão de Riscos é o enfoque estruturado que alinha estratégia, processos, pessoal, tecnologia e conhecimento, com o objetivo de avaliar e gerenciar essas incertezas como forma de criação de valor . </li></ul></ul>
  7. 7. O processo de gerenciamento de riscos <ul><li>Gerenciar o risco é a melhor estratégia para as organizações no contexto atual, Brealey e Myers (2005, p. 309) </li></ul><ul><li>Segundo Bodie e Merton (2002, p.262) discorre que o processo de gerenciamento de risco é uma tentativa sistemática de analisar e de gerir o risco. Portanto as organizações precisam de gestores capazes de assumir e conhecer os riscos inerentes para que possam gerenciá-las de forma sistemática através de ferramentas descritas. </li></ul>
  8. 8. Grupos de Riscos <ul><li>Risco Estratégico : Falta de capacidade da empresa em proteger-se, adaptar-se ou antecipar-se a mudanças (econômicas, tecnológicas, mercadológicas e etc) que possam impedir o alcance dos objetivos e metas estabelecidas; </li></ul><ul><li>Risco Operacional : Fraudes, erros de sistemas de informações, extrapolação de autoridade dos empregados, desempenho insatisfatório, falhas na adoção dos critérios de subscrição; </li></ul>
  9. 9. Grupos de Risco <ul><li>Risco Atuarial : Metodologias e/ou cálculos incorretos da tarifação do seguro, pela insuficiência da manutenção de tabelas de preços, bem como de reajustes periódicos a serem aplicados nas apólices, e pela inadequada constituição das reservas técnicas; </li></ul><ul><li>Risco Legal : Documentação incorreta das transações, descumprimento da legislação vigente, novas leis, decisões judiciais. </li></ul>
  10. 10. Grupos de Riscos <ul><li>Risco de Crédito : Não recebimento de créditos concedidos. </li></ul><ul><li>Risco de Liquidez : Deficiência de fundos, decorrentes de dificuldade de se obter recursos, impossibilitando fazer face aos compromissos assumidos em decorrência de gestão insatisfatória. </li></ul><ul><li>Risco de Mercado : Decorre da variabilidade dos preços e produtos e das variáveis externas que afetam estes dois itens. </li></ul>
  11. 11. Por que a Gestão de Riscos? <ul><ul><li>Tarefa fundamental da direção da empresa. </li></ul></ul><ul><ul><li>Reduz a volatilidade dos ganhos. </li></ul></ul><ul><ul><li>Maximiza valor aos acionistas. </li></ul></ul><ul><ul><li>Promove a melhoria contínua dos processos. </li></ul></ul><ul><ul><li>Assumir riscos é fundamental no propósito do mercado . </li></ul></ul>
  12. 12. RISCOS MAIS RELEVANTES Fonte: Brasiliano & Associados, 2003.
  13. 13. <ul><li>PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO//2003 </li></ul><ul><li>EMPRESA MÓDULO SECURITY SOLUTIONS S.A. </li></ul><ul><li>RESULTADO: FUNCIONÁRIOS INSATISFEITOS E VAZAMENTO DE INFORMAÇÃO </li></ul>DIFUSÃO DO CONHECIMENTO
  14. 14. PRINCIPAIS AMEAÇAS À SEGURANÇA DA INFORMAÇÃO Fonte: Módulo Security, 2003
  15. 15. <ul><li>MINIMIZAÇÃO DE PERDAS E MAXIMIZAÇÃO DOS LUCROS SEM GERAÇÃO DE RECEITAS </li></ul><ul><li>PREVENÇÃO DE PERDAS </li></ul><ul><li>SEGURANÇA EMPRESARIAL (patrimonial, pessoal e da informação) </li></ul><ul><li>SEGURANÇA DE SAÚDE OCUPACIONAL; </li></ul><ul><li>MEIO AMBIENTE; </li></ul><ul><li>SEGURANÇA DO TRABALHO. </li></ul>
  16. 16. <ul><li>*1º Incêndio – 1ª REVOLUÇÃO INDUSTRIAL </li></ul><ul><li>FLORESCIMENTO DAS SEGURADORES </li></ul><ul><li>AUMENTO DE SINISTROS X ATOS CRIMINOSOS </li></ul><ul><li>*GERAÇÃO DE PADRÕES DIFERENCIADOS DOS ATIVOS – de acordo com o cuidado da empresa na PREVENÇÃO. </li></ul>INDÚSTRIA DO SEGURO – Ator coadjuvante para prevenção de PERDAS POTENCIAIS.
  17. 17. E O QUE SIGNIFICA PREVENÇÃO e menores custos para segurar o ativo? <ul><li>Projeto consistente; </li></ul><ul><li>Treinamento; </li></ul><ul><li>Proximidade com equipes de bombeiros ou próprios. </li></ul>
  18. 18. OUTRAS AMEAÇAS foram surgindo para PERDA DE PRODUÇÃO: <ul><li>ROUBOS PELOS FUNCIONÁRIOS; </li></ul><ul><li>ATOS DE VANDALISMO; </li></ul><ul><li>PERDAS DE MATERIAIS E EQUIPAMENTOS POR FALTA DE CONTROLE. </li></ul>
  19. 19. AS SEGURADORAS IMPÕE OUTROS PADRÕES DE PREVENÇÃO: <ul><li>Prêmios para indústrias com procedimentos preventivos para controle de perdas devido as sabotagens industriais e sindicatos com diminuição dos ativos representados pela terra e bens de produção. </li></ul>
  20. 20. <ul><li>ATUALMENTE É A SOCIEDADE DO CONHECIMENTO – ATIVO MAIS VALORIZADO QUE NÃO DEPRECIA COM O TEMPO, AO CONTRÁRIO, AUMENTA A VALORIZAÇÃO. </li></ul>Segundo Peck: Aumenta a tendência da aplicação de ativos inatingíveis com RISCOS diretamente relacionados a valor e custo de proteção ao bem.
  21. 21. <ul><li>“ A medida que o conhecimento se torna mais essencial para a criação de riqueza, a empresa começa a ser considerada uma intensificadora do conhecimento, necessitando, portanto, promover mecanismos de proteção das suas informações e ao mesmo tempo desenvolver meios de obtenção de informações sobre os planos, os produtos e os lucros de seus adversários.” </li></ul>A GUERRA TOTAL PELA INFORMAÇÃO
  22. 22. ESPIONAGEM INTELIGÊNCIA COMPETITIVA MILITARES AMBIENTES DE NEGÓCIOS Espionagem Empresarial X Inteligência Competitiva A GUERRA TOTAL PELA INFORMAÇÃO
  23. 23. <ul><li>Associação Brasileira dos analistas de inteligência competitiva ABRAIC. </li></ul><ul><li>Lei da Espionagem econômica e Industrial Brasileira; </li></ul><ul><li>Contra – Inteligência Competitiva; </li></ul><ul><li>SEBRAE em parceria com a ABRAIC; </li></ul><ul><li>PLATT, Washington (1974) e SANTOS, Néri dos (2000). </li></ul>INTELIGÊNCIA COMPETITIVA NO BRASIL
  24. 24. Fonte: PLATT, Washington (1974) e SANTOS, Néri dos (2000). SEMELHANÇAS NAS ABORDAGENS ENTRE IE E IC. INFORMAÇÕES ESTRATÉGICAS – IE INTELIGÊNCIA COMPETITIVA – IC A produção de uma informação sobre determinado assunto compreende a seleção e reunião dos fatos relativos ao problema, sua avaliação, seleção e interpretação, e a expressiva, como informação acabada, oral ou escrita. É um processo sistemático de agregação de valor, que converte dados em informação e, na seqüência, informação em conhecimento estratégico para apoiar a tomada de decisão organizacional.
  25. 25. www.gomesebraga.com.br www.informal.com.br www.abraic.org.br SUGESTÕES PARA APROFUNDAMENTO EM IC .
  26. 26. <ul><li>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO </li></ul>
  27. 27. Conforme o autor Kovacich (1998) ..Embora não exista uma forma padronizada de se classificar a informação existente nas organizações , do ponto de vista de seu conteúdo ela costuma ser divida em três (03) categorias, a saber: CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  28. 28. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Informação Pessoais </li></ul><ul><li>Informação de Segurança Nacional </li></ul><ul><li>Informação de Negócio </li></ul>
  29. 29. <ul><li>Podem incluir dados individuais de empregados, clientes e outras pessoas, incluindo </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação Pessoais Idade Endereço Números de telefone Peso Salário, etc
  30. 30. <ul><li>É toda aquela que precisa ser protegida para </li></ul><ul><li>GARANTIR A SEGURANÇA </li></ul><ul><li>da sociedade </li></ul><ul><li>e do Estado. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação de Segurança Nacional
  31. 31. <ul><ul><li>Correspondem ás informações utilizadas pelas organizações para desempenhar sua </li></ul></ul><ul><ul><li>MISSÃO. </li></ul></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO - Informação de Negócios
  32. 32. <ul><li>Segundo a NBR ISO/IEC 17799 a segurança de um ambiente é caracterizada pela manutenção de três fatores primordiais </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Confidencialidade </li></ul><ul><li>Integridade </li></ul><ul><li>Disponibilidade das Informações Críticas </li></ul>
  33. 33. <ul><li>Para a NBR a Informação é </li></ul><ul><li>&quot;um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para organização e conseqüentemente necessita ser adequadamente protegido“. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  34. 34. <ul><li>É definida pela NORMA como sendo: </li></ul><ul><li> a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas , ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico . </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Confiabilidade
  35. 35. <ul><li>Implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Integridade
  36. 36. <ul><li>É a garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO A Disponibilidade
  37. 37. <ul><li> Afirmar que um ambiente é aderente à Norma de Segurança da Informação significa dizer que o mesmo utiliza os recursos adequados para garantir a </li></ul><ul><li> Disponibilidade </li></ul><ul><li>Confidencialidade </li></ul><ul><li>e a Integridade de suas </li></ul><ul><li>informações. </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  38. 38. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Mas para isto devem ser aplicados ao ambiente alguns ou todos os controles existentes na norma de segurança. </li></ul>
  39. 39. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Contudo, a lista dos controles que devem ser aplicados depende de características do próprio ambiente, como por exemplo: </li></ul><ul><li>forma e local de armazenamento das informações, </li></ul><ul><li>valor das informações armazenadas, </li></ul><ul><li>quem pode acessá-las, </li></ul><ul><li>quais servidores estão instalados, </li></ul><ul><li>que tipo de serviços são disponibilizados aos usuários da rede interna e da rede externa e etc. </li></ul>
  40. 40. <ul><li>De acordo com o nível de segurança necessário um conjunto de &quot;Controles de Segurança&quot; deve ser implementado </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  41. 41. <ul><li>Política de segurança da informação: </li></ul><ul><li>este é um documento que descreve quais atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas. </li></ul><ul><li>É de vital importância que a alta administração apóie o uso da Política e demonstre o seu comprometimento com a aplicação de suas penalidades cabíveis; </li></ul>CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
  42. 42. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Definição das responsabilidades de segurança: este controle visa esclarecer a quem &quot;pertence&quot; cada ativo da organização, bem como quem deve ser contactado em caso de problemas de segurança relacionados a ativo em questão; </li></ul>
  43. 43. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>A melhor forma de evitar mal uso das informações é educar seus usuários, </li></ul>Assim é de vital importância que todo e qualquer usuário passe por um treinamento antes de ter acesso as informações contidas no ambiente. Processo de treinamento
  44. 44. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos. </li></ul>
  45. 45. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO <ul><li>Como nos dia atuais, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela, houve a necessidade do desenvolvimento de métodos e técnicas que permitissem a sua proteção. </li></ul>
  46. 46. SEGURANÇA FÍSICA SEGURANÇA DA INFORMAÇÃO
  47. 47. INTRODUÇÃO <ul><li>Segurança física e lógica </li></ul><ul><li>Base para proteção de qualquer investimento </li></ul><ul><li>Sistemas vulneráveis = perda de todos os recursos </li></ul>
  48. 48. INTRODUÇÃO <ul><li>Estatísticas: </li></ul><ul><li>72% próprios funcionários </li></ul><ul><li>15% a 20% terceiros formalmente autorizados </li></ul><ul><li>5% a 8% pessoas externas </li></ul><ul><li>Fonte: FBI </li></ul>
  49. 49. CONTROLE DE ACESSO LÓGICO <ul><li>Alternativas: </li></ul><ul><li>Manual; </li></ul><ul><li>Automático; </li></ul><ul><li>Híbrida. </li></ul><ul><li> O Security Office tem o papel de analisar e escolher a melhor solução. </li></ul>
  50. 50. CONTROLE DE ACESSO LÓGICO <ul><li>Segundo Ferreira (2003,p. 124), “o controle de acesso físico (manual ou automatizado) deve ser capaz de distinguir entre a pessoa autorizada e a não autorizada, mediante sua identificação[...]”. </li></ul>
  51. 51. CONTROLE DE ACESSO LÓGICO <ul><li>Deve-se respeitar pelo menos duas entre três premissas básicas: </li></ul><ul><li>Quem é o indivíduo? </li></ul><ul><li>O que o indivíduo possui? </li></ul><ul><li>O que o indivíduo sabe? </li></ul>
  52. 52. CONTROLE DE ACESSO LÓGICO <ul><li>Sistemas de controle de acesso com apenas uma premissa: </li></ul><ul><li>Invasões ocasionadas por perda; </li></ul><ul><li>Uso indevido e falsificações. </li></ul>
  53. 53. CONTROLE DE ACESSO LÓGICO <ul><li>Características: </li></ul><ul><li>Proteção contra ataques forçados; </li></ul><ul><li>Atualização do produto/ferramenta; </li></ul><ul><li>Registro dos acessos; </li></ul><ul><li>Autenticação por senha; </li></ul><ul><li>Bloqueio de múltiplos acessos; </li></ul><ul><li>Flexibilidade; </li></ul><ul><li>Monitoração; </li></ul><ul><li>Backup de segurança; </li></ul><ul><li>Proteção do computador. </li></ul>
  54. 54. CONTROLE DE ACESSO LÓGICO <ul><li>Cada organização tem sua própria realidade e os níveis de segurança exigidos acabam sendo diferentes de empresa para empresa. </li></ul>
  55. 55. <ul><li>Segundo Ferreira (2003,p.127) “o controle de acesso físico é toda e qualquer aplicação de procedimentos ou o uso de equipamentos com o objetivo de proteger ambientes, equipamentos ou informações de acesso restrito ”. </li></ul>CONTROLE DE ACESSO FÍSICO
  56. 56. <ul><li>A política e o investimento... </li></ul><ul><li>Ativos </li></ul><ul><li>Custo/benefício </li></ul><ul><li>Uma política de controle de acesso físico eficaz depende muito mais da gestão dos modelos de segurança do que apenas o uso de tecnologias. </li></ul>CONTROLE DE ACESSO FÍSICO
  57. 57. <ul><li>Quanto maior o investimento em prevenção menor será o prejuízo em caso de eventos. </li></ul>CONTROLE DE ACESSO FÍSICO
  58. 58. CONTROLE DE ACESSO FÍSICO <ul><li>Tipos de controle de acesso físico. </li></ul><ul><li>Grades, muros e portas; </li></ul><ul><li>Guardas; </li></ul><ul><li>Crachás; </li></ul><ul><li>Controle de acesso biométrico. </li></ul>
  59. 59. CONTROLES AMBIENTAIS <ul><li>De acordo com Ferreira (2003) os equipamentos devem ser fisicamente protegidos contra ameaças à segurança e perigos ambientais. </li></ul><ul><li>Alguns itens à serem considerados: </li></ul><ul><li>As instalações de processamento e armazenamento de informação que tratam as informações sensíveis devem ser projetadas para reduzir riscos de espionagem de informação durante o seu uso; </li></ul>
  60. 60. <ul><li>Os itens que necessitam de proteção especial devem ser isolados para reduzir o nível geral de proteção exigida; </li></ul><ul><li>Adotar controles de forma a minimizar ameaças potenciais; </li></ul><ul><li>Aspectos ambientais devem ser monitorados para evitar condições que possam afetar a operação das instalações de processamento da informação; </li></ul><ul><li>Utilização de métodos de proteção especial (equipamentos); </li></ul><ul><li>Desastre nas proximidades da instalação. </li></ul>CONTROLES AMBIENTAIS
  61. 61. SEGURANÇA FÍSICA DE COMPUTADORES PESSOAIS <ul><li>Deve ser adotada uma política formal. </li></ul><ul><li>Devem ser tomadas precauções ao utilizar recursos de computação móvel em locais públicos. </li></ul><ul><li>Recursos de computação móvel nunca devem ser deixados sem observação. </li></ul>
  62. 62. INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL <ul><li>1º Passo </li></ul><ul><li>Análise dos riscos e vulnerabilidades físicas que a organização possa estar exposta. </li></ul><ul><li>2º Passo </li></ul><ul><li>Levantamento das necessidades de componentes e processos de segurança física. </li></ul>
  63. 63. INVESTIMENTOS EM SEGURANÇA FÍSICA E AMBIENTAL - Cont. <ul><li>3º Passo </li></ul><ul><li>Implementação do plano de segurança física. </li></ul>
  64. 64. CONSIDERAÇÕES FINAIS <ul><li>Os controles de segurança devem atender às necessidades de segurança da organização. </li></ul>
  65. 65. Política de Segurança <ul><li>Definição </li></ul><ul><li>A Política de Segurança é composta por um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes para a empresa. Garantindo confidencialidade, integridade e disponibilidade. </li></ul>
  66. 66. Construção da Política <ul><li>Aspectos importantes </li></ul><ul><li>Estabelecimento do conceito que as informações são um ativo importante da organização; </li></ul><ul><li>Envolvimento da alta administração com relação à segurança da informação; </li></ul><ul><li>Responsabilidade formal dos colaboradores sobre os recursos da informação; </li></ul><ul><li>Estabelecimento de padrões para a manutenção da SI. </li></ul>
  67. 67. Considerações importantes para o desenvolvimento da Política <ul><li>Deve ser criada antes da ocorrência de problemas com a segurança; </li></ul><ul><li>Criação de um Comitê de Segurança da Informação composta por diversos profissionais, cada um responsável pelo controle de acesso. </li></ul>
  68. 68. As Políticas devem ser: <ul><li>Simples; </li></ul><ul><li>Compreensíveis; </li></ul><ul><li>Homologadas e assinadas pela Alta administração; </li></ul><ul><li>Estruturadas de forma a permitir implantação por fases; </li></ul><ul><li>linhadas com estratégias de negócios da empresa, padrões e procedimentos já existentes; </li></ul><ul><li>Flexíveis; </li></ul><ul><li>Positivas. </li></ul>
  69. 69. Etapas da Construção da Política <ul><li>O processo de desenvolvimento é dividido em 04 fases: </li></ul><ul><ul><ul><li>Fase I – Levantamento das Informações; </li></ul></ul></ul><ul><ul><ul><li>Fase II – Desenvolvimento do Conteúdo das Políticas e Normas de Segurança; </li></ul></ul></ul><ul><ul><ul><li>Fase III - Elaboração dos Procedimentos de Segurança da Informação; </li></ul></ul></ul><ul><ul><ul><li>Fase IV – Revisão, Aprovação e Implementação das Políticas, Normas e Procedimentos de Segurança da Informação. </li></ul></ul></ul>
  70. 70. Fatores comuns a todas as Políticas <ul><li>As Políticas de Informações contemplam os seguintes aspectos: </li></ul><ul><ul><ul><li>Especificação da Política; </li></ul></ul></ul><ul><ul><ul><li>Declaração da Alta Administração; </li></ul></ul></ul><ul><ul><ul><li>Autores/Patrocinadores da Política; </li></ul></ul></ul><ul><ul><ul><li>Referências a outras Políticas, Normas e Procedimentos; </li></ul></ul></ul><ul><ul><ul><li>Procedimentos para Requisição de Exceções à Política; </li></ul></ul></ul><ul><ul><ul><li>Procedimentos para Mudanças da Política; </li></ul></ul></ul><ul><ul><ul><li>Data de Publicação, Validade e Revisão. </li></ul></ul></ul>
  71. 71. Pontos críticos para o sucesso <ul><li>Devido às necessidades de proteção das informações e dependência da TI (uma tendência nas empresas), a Segurança da Informação aborda como ter sucesso na Política de Segurança: </li></ul><ul><li>Formalização dos processos e instruções de trabalho; </li></ul><ul><li>Utilização de tecnologias capazes de prover segurança; </li></ul><ul><li>Atribuição formal das responsabilidades e das penalidades; </li></ul><ul><li>Classificação das informações; </li></ul><ul><li>Treinamento e conscientização constantes. </li></ul>
  72. 72. Conceitos na Política Corporativa: <ul><li>Confidencialidade; </li></ul><ul><li>Integridade; </li></ul><ul><li>Disponibilidade; </li></ul><ul><li>Legalidade; </li></ul><ul><li>Auditabililidade; </li></ul><ul><li>Não-repúdio. </li></ul>
  73. 73. A segurança pode ser desmembrada em 4 grandes aspectos: <ul><li>Segurança computacional; </li></ul><ul><li>Segurança lógica; </li></ul><ul><li>Segurança física; </li></ul><ul><li>Continuidade de negócios. </li></ul>
  74. 74. Características <ul><li>Ser verdadeira </li></ul><ul><li>Ser complementada com a disponibilidade de recursos </li></ul><ul><li>Ser válida para todos </li></ul><ul><li>Ser simples </li></ul><ul><li>Comprometimento da alta administração da organização </li></ul>
  75. 75. Benefícios <ul><li>Curto prazo </li></ul><ul><li>Formalizar e documentar o procedimentos de segurança; </li></ul><ul><li>Implementar novos procedimentos e controles; </li></ul><ul><li>Prevenir de acessos não autorizados, danos ou interferências; </li></ul><ul><li>Maior segurança. </li></ul><ul><li>Médio prazo </li></ul><ul><li>Padronização dos procedimentos de segurança; </li></ul><ul><li>Adaptação segura de novos processos; </li></ul><ul><li>Conformidade com padrões de segurança; </li></ul><ul><li>Qualificação e quantificação dos sistemas de respostas a eventualidades. </li></ul><ul><li>Longo prazo </li></ul><ul><li>- Retorno sobre o investimentos; </li></ul><ul><li>Consolidação da imagem associada à Segurança da Informação. </li></ul>
  76. 76. Treinamento <ul><li>Na implantação de uma Política de Segurança em uma empresa, é fundamental que os funcionários sejam conscientizados através de: </li></ul><ul><li>Avisos: comunicação interna, email, intranet; </li></ul><ul><li>Reuniões; </li></ul><ul><li>Elaboração de material promocional; </li></ul><ul><li>Treinamento direcionado; </li></ul><ul><li>Peça teatral; </li></ul><ul><li>Palestras periódicas. </li></ul>
  77. 77. Publicação e Divulgação <ul><li>Os aspectos que devem ser considerados na disseminação da Política de Segurança são: </li></ul><ul><li>Utilização de diversas mídias; </li></ul><ul><li>Treinamento básico e avançado; </li></ul><ul><li>Orientação para novos funcionários; </li></ul><ul><li>Informativos sobre as atuais tendências . </li></ul>
  78. 78. Fases do Programa de Conscientização <ul><li>Identificação de escopo, metas e objetivos; </li></ul><ul><li>Identificação dos instrutores; </li></ul><ul><li>Identificação do público-alvo; </li></ul><ul><li>Motivação dos funcionários e da Alta administração; </li></ul><ul><li>Administração do Programa; </li></ul><ul><li>Continuidade do Programa; </li></ul><ul><li>Avaliação do Programa. </li></ul>
  79. 79. REFERÊNCIAS <ul><li>FERREIRA, Fernando Nicolau Freitas. Segurança da informação. Rio de Janeiro: Ciência Moderna, 2003. </li></ul><ul><li>BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação das organizações. São Paulo: Editora Atlas, 2005. </li></ul><ul><li>DAWEL, George. A segurança da Informação nas Empresas . Rio de Janeiro: Editora Ciência Moderna, 2005. </li></ul><ul><li>  </li></ul><ul><li>FONTES, Edison Luiz Gonçalves. Vivendo a segurança da informação: orientações práticas para as organizações. São Paulo: Editora Sicurezza, 2000. </li></ul>
  80. 80. Vídeo 1 (A defesa)
  81. 81. Vídeo 2 (Os invasores)
  82. 82. Vídeo 3 (Navegar)
  83. 83. Vídeo 4 (Spam)
  84. 84. OBRIGADooo A TODOS PELA ATENÇÃO!
  1. Gostou de algum slide específico?

    Recortar slides é uma maneira fácil de colecionar informações para acessar mais tarde.

×