1                    Se g urança da Info rm ação    Segurança da Informação         A informação é o maior patrimônio para...
2                 Se g urança da Info rm açãoSegurança da InformaçãoPortanto a segurança de uma empresa não esta ligado so...
3               Se g urança da Info rm açãoSegurança da InformaçãoAlguns pontos são importantes de determinar quanto a seg...
4                 Se g urança da Info rm ação Segurança da InformaçãoExemplo: Uma agência de publicidade, que esteja ligad...
5                   Se g urança da Info rm ação    Objetivos da Segurança da Informação         Todo projeto de segurança ...
6                  Se g urança da Info rm açãoAnálise de Risco A analise de risco consiste em um processo de identificação...
7                  Se g urança da Info rm açãoAnálise de RiscoAs medidas de segurança não podem assegurar 100% de proteção...
8              Se g urança da Info rm ação                                                Ativos                   Negócio...
9                   Se g urança da Info rm açãoAlguns exemplos de questionamento devem ser feitos pelas empresasantes de e...
10                            Se g urança da Info rm ação                                    Bas ead o                    ...
11                Se g urança da Info rm açãoVulnerabilidade A vulnerabilidade é o ponto onde qualquer sistema é suscetíve...
12                Se g urança da Info rm açãoComo Surgem as Vulnerabilidades? As vulnerabilidades estão presentes no dia-a...
13                Se g urança da Info rm açãoQual a relação entre vulnerabilidade X medidas de Proteção? As medidas de pro...
14               Se g urança da Info rm açãoIncidentes de SegurançaUm incidente de segurança é qualquer evento que prejudi...
15               Se g urança da Info rm açãoMedidas de Segurança Medidas de segurança são esforços como procedimentos, sof...
16               Se g urança da Info rm açãoMedidas de SegurançaExistem algumas estratégias que pode ser aplicada em um am...
17               Se g urança da Info rm açãoProcesso de segurançaA segurança não é uma tecnologia.Não é possível comprar d...
18               Se g urança da Info rm ação Processo de segurança O processo de segurança consiste em:    • Analise o pro...
19                  Se g urança da Info rm açãoProcesso de segurançaEm ambientes Informatizados            o   processo   ...
20                  Se g urança da Info rm açãoProcesso de segurança●Simplifique o que deseja que as pessoas façam. O sist...
21               Se g urança da Info rm açãoPolítica de Segurança A política de segurança pode ser entendida como sendo um...
22               Se g urança da Info rm açãoPolítica de Segurança Devido ao fato da informação nos dias atuais ter um gran...
23                Se g urança da Info rm açãoEscrevendo uma política de segurançaUma política de segurança atende a vários...
24              Se g urança da Info rm açãoPolítica de segurançaA política de segurança é a medida de segurança mais impor...
25                Se g urança da Info rm açãoAdiante são apresentadas algumas sugestões para ajudar a solucionarproblemas ...
26                  Se g urança da Info rm açãoPara se escrever uma boa política execute os seguintes passos:1. Escreva um...
27                Se g urança da Info rm açãoDescreva como é determinada a importância de uma violação dapolítica e as cat...
28   Se g urança da Info rm ação
Upcoming SlideShare
Loading in...5
×

Seguranca da informacao

962

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
962
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
43
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Seguranca da informacao"

  1. 1. 1 Se g urança da Info rm ação Segurança da Informação   A informação é o maior patrimônio para muitas empresas e protege-la não é uma atividade simples.   Entretanto, para que seja possível obter nível aceitável de segurança, não basta reunir um conjunto de ferramentas de software e implementá-las. Os seus resultados tornam-se mais eficazes quando sua utilização está dentro do contexto de um Plano de Segurança, elaborado em conjunto pelos níveis estratégicos, tático e operacional da empresa.   É claro que as medidas de segurança não asseguram 100% de proteção contra todas as ameaças, mas a definição das expectativas da Organização, com relação ao comportamento e os procedimentos necessários no manuseio dos seus bens/ativos, deverá estar mais do que nunca enraizados na cultura da empresa, pois segurança não é só uma questão técnica, mas de política e educação empresarial.
  2. 2. 2 Se g urança da Info rm açãoSegurança da InformaçãoPortanto a segurança de uma empresa não esta ligado somente aprodutos voltados à segurança como: ✗Firewall; ✗Software de encriptação de dados; ✗IDS; ✗etc.Mas sua abrangência vai muito além disso, como podendo-se citar: ➢Análise de Risco; ➢Política de Segurança; ➢Controle de Acesso Físico e Lógico; ➢Treinamento e Conscientização para Segurança da Informação; ➢Plano de Contingência. A segurança da informação pode e deve ser tratada como umconjunto de mecanismo conforme acima exposto, devendo seradequada à necessidade de cada empresa.
  3. 3. 3 Se g urança da Info rm açãoSegurança da InformaçãoAlguns pontos são importantes de determinar quanto a segurança, e aempresa deve sempre tê-los em mente:  ✔O que deve ser protegido? ✔Contra o que será necessário proteger? ✔Como será feita a proteção? Além disso, será necessário determinar que nível de segurança énecessário, bem como avaliar a questão custo x beneficio.
  4. 4. 4 Se g urança da Info rm ação Segurança da InformaçãoExemplo: Uma agência de publicidade, que esteja ligada a Internet, necessitade muita proteção para seus projetos, pois uma propaganda que iráveicular na mídia na semana seguinte não pode de maneira algumacair nas mãos da concorrência. Já em Universidade, não é necessária tanta segurança, pois suaspublicações, como monografia, teses e material cientifico, geralmentesão colocados à disposição de alunos e pesquisadores do mundointeiro, para consulta.
  5. 5. 5 Se g urança da Info rm ação Objetivos da Segurança da Informação   Todo projeto de segurança de informação procura abranger “pelo menos” os processos mais críticos do negócio em questão.   O resultado esperado de um trabalho como este é, sem duvida, que no mínimo todos os investimentos efetuados devam conduzir para:   Redução de probabilidade de ocorrência de incidentes de segurança; Redução dos danos/perdas causados por incidentes de segurança; Recuperação dos danos em caso de desastre/incidente.   O objetivo da segurança, no que tange à informação, é à busca de disponibilidade, confidencialidade e integridade dos seus recursos e da própria informação.
  6. 6. 6 Se g urança da Info rm açãoAnálise de Risco A analise de risco consiste em um processo de identificação,avaliação dos fatores de risco presentes e de de forma antecipadano Ambiente Organizacional, possibilitando uma visão do impactonegativo causado aos negócios. Através da aplicação deste processo, é possível determinar asprioridades de ação em função do risco identificado, para que sejaatingindo o nível de segurança desejado pela Organização.Proporciona também informações para que se possa identificar otamanho e o tipo de investimento necessário de forma antecipada aosimpactos na Organização causados pela perda ou indisponibilidade dosrecursos fundamentais para o negócio. Portanto, como é possível prever alguns inúmeros acontecimentos quepoderão ocorrer, este tipo de análise aponta os possíveis perigos e suasconseqüências em virtude das vulnerabilidades presentes no ambientecomputacional de muitas empresas. Por outro lado, sem um processo deste tipo, não é possível identificar aorigem das vulnerabilidades, nem visualizar os riscos.
  7. 7. 7 Se g urança da Info rm açãoAnálise de RiscoAs medidas de segurança não podem assegurar 100% de proteção, e aempresa deve analisar a relação custo/beneficio.Então, a empresa precisa achar o nível de risco ao qual estará dispostaa correr. Este processo deve, no mínimo, proporcionar as seguintesinformações:  ●Pontos vulneráveis do ambiente; ●Ameaças potenciais ao ambiente; ●Incidentes de segurança causados pela ação de cada ameaça; ●Impacto negativo para o negócio a partir da ocorrência dos incidentes prováveis de segurança; ●Riscos para o negócio a partir de cada incidente de segurança; ●Medidas de proteção adequadas para impedir ou diminuir o impacto de cada incidente. Alguns fatores são cruciais e devem ser identificados a fim de mapeartodos o negócio da empresa com o intuito de detectar a presença deriscos.
  8. 8. 8 Se g urança da Info rm ação Ativos Negócio Ameaças Medidas de Internas Segurança Hardware Software $ Processos Informações Ameaças Documentos Externas Pes s oas Ponto Vulnerável Incidente de Segurança Impacto negativo no negócio Perda/Danos Danos à imagem Perda de confiabilidade dos clientes Perda da vantagem competitiva Incidente de Segurança
  9. 9. 9 Se g urança da Info rm açãoAlguns exemplos de questionamento devem ser feitos pelas empresasantes de efetuarem qualquer investimento: • Que ativos devem ser protegidos? • Quais ativos críticos deverão ter proteção adicional? • Quais serviços na rede deverão estar disponíveis para os funcionários? • Quem terá acesso a esses serviços? • Quem poderá conceder autorização e privilégios para o acesso aos sistemas? • Que software permitir nas estações de trabalho? • Como proceder quando programas não-aprovados/piratas forem encontrados nas estações de trabalho?Abrangência O processo de analise das medidas de segurança pode ser aplicadoonde seja necessário avaliar riscos potenciais, independente da áreadesejada, quanto maior o escopo de avaliação, menor a possibilidadede erros em virtude da abrangência dos recursos envolvidos.
  10. 10. 10 Se g urança da Info rm ação Bas ead o Inform ação s u jeit a Ne gó cioProt egem con t ém con t ém Vulne rabilidades au m en t am Medidas d im in u em de Ris co s p erm it em s e gurança au m en t am Am e aças au m en t am au m en t am red u z em Inpacto s No Inte gridade Confide ncialidade Com p rom et em Ne gó cio Cau s am Dis ponibilidade Ciclo de Se gurança da Info rm ação
  11. 11. 11 Se g urança da Info rm açãoVulnerabilidade A vulnerabilidade é o ponto onde qualquer sistema é suscetível a umataque, ou seja, é uma condição encontrada em determinados recursos,processos, configurações, etc. Condição causada muitas vezes pelasausência ou ineficiência das medidas de proteção utilizadas com ointuito de salvaguardar os bens da empresa. Todos os sistemas são vulneráveis, partindo do pressuposto de que nãoexistem ambientes totalmente seguros. Até as medidas de segurançasimplementadas pela empresa possuem falhas. O nível de vulnerabilidade decai à medida em que são implementadoscontroles e medidas de proteção adequadas, diminuindo também osriscos para o negocio. Então podemos dizer que os riscos estão ligados ao nível devulnerabilidade que o ambiente analisado possui, pois para sedeterminar os riscos, as vulnerabilidades precisam ser identificadas.
  12. 12. 12 Se g urança da Info rm açãoComo Surgem as Vulnerabilidades? As vulnerabilidades estão presentes no dia-a-dia das empresas e seapresentam nas mais diversas áreas de uma organização. Ambiente Vulnerabilidades Computacional n nNão existe uma única causa para o surgimento de vulnerabilidade. Anegligência por parte de administradores de rede e a falta deconhecimento técnico são exemplos típicos.Algumas vulnerabilidades estão presentes nos Sistemas Operacionaisque acabamos de instalar. Normalmente os hackers são os primeiros a explorarem asvulnerabilidades.
  13. 13. 13 Se g urança da Info rm açãoQual a relação entre vulnerabilidade X medidas de Proteção? As medidas de proteção também estão sujeitas a teremvulnerabilidades. Enquanto que para um conjunto de ocorrências(ameaças), determinadas medidas de proteção são adequadas, paraoutras não. Portanto nas empresas encontramos medias adequadas para umadeterminada situação e inadequadas para outras. Por isso é precisobuscar a melhor relação custo/beneficio no momento da definição desua estratégia de segurança. O nível de vulnerabilidade do ambiente computacional decai à medidaem que são implementados controles e medidas de proteçãoadequadas, diminuindo também os riscos para o negócio. Podemosdizer que os riscos estão ligados ao nível de vulnerabilidade e ao graude eficiência de proteção.
  14. 14. 14 Se g urança da Info rm açãoIncidentes de SegurançaUm incidente de segurança é qualquer evento que prejudique o bomandamento dos sistemas, das redes ou do próprio negócio. Este incidente pode ser o resultado de uma violação de segurançaconcretizada, um acesso não-autorizado a determinadas informaçõesconfidenciais ou até mesmo um site tirado do ar pela ação de umhacker.  Os incidentes de segurança ocorrem pela ação efetiva de umadeterminada ameaça através de uma vulnerabilidade encontrada. Logo,podemos afirmar que os incidentes de segurança somente podem serconcretizados quando existem ambientes propícios, ou seja,vulnerabilidades.
  15. 15. 15 Se g urança da Info rm açãoMedidas de Segurança Medidas de segurança são esforços como procedimentos, software,configurações, hardware e técnicas empregadas para atenuar asvulnerabilidades com o intuito de reduzir a probabilidade deocorrência de ação de ameaças e, por conseguinte, os incidentes desegurança. Como tudo envolve custo, antes de decidir pela estratégia a seradotada, é importante atentar para o nível de aceitação dos riscos.Este sim deve definir os níveis de investimentos das medidas desegurança que serão adotadas pela empresa.
  16. 16. 16 Se g urança da Info rm açãoMedidas de SegurançaExistem algumas estratégias que pode ser aplicada em um ambientecomputacional. A seguir apresentamos três estratégias de segurançaque podem ser utilizadas:●Medida Preventiva: Este tipo de estratégia possui como foco aprevenção da ocorrência de incidentes de segurança. Todos os esforçosestão baseados na precaução e, por esta razão, o conjunto deferramentas e/ou treinamentos estão voltados para esta necessidade.●Medida Detectiva: É a estratégia utilizada quando se tem anecessidade de obter auditabilidade, monitoramento e detecção emtempo real de tentativas de invasão;●Medida Corretiva: O enfoque desta estratégia é propor mecanismospara a continuidade das operações, ela propõe ferramentas eprocedimentos necessários para a recuperação e a continuidade de umaempresa. Está medida é muito delicada e deve ser realizada com extremonível de profissionalismos, por se tratar da recuperação da imagem daempresa.
  17. 17. 17 Se g urança da Info rm açãoProcesso de segurançaA segurança não é uma tecnologia.Não é possível comprar dispositivos que torne sua rede segura, assimcomo não é possível comprar ou criar um software capaz de tornar seucomputador seguro. O que é possível fazer é administrar um nívelaceitável de risco.A segurança é um processo.Pode-se aplicar o processo seguidamente à rede e à empresa que amantêm e, dessa maneira, melhorar a segurança dos sistemas. Se nãoiniciar ou interromper a aplicação do processo sua segurança serácada vez pior, à medida que surgirem novas ameaças e técnicas. “É como subir uma escada rolante que desce”. 
  18. 18. 18 Se g urança da Info rm ação Processo de segurança O processo de segurança consiste em: • Analise o problema levando em consideração tudo que conhece. • Sintetize uma solução para o problema a partir de sua análise. • Avalie a solução e aprenda em que aspectos não correspondeu a suas expectativas. Depois, reinicie o processo seguidamente. Avaliação Análise Sintese
  19. 19. 19 Se g urança da Info rm açãoProcesso de segurançaEm ambientes Informatizados o processo de segurança consistebasicamente em:●Aprenda tudo o que puder sobre ameaças que encontrar. Use a Internet paraadquirir informações e lembre-se de que as informações mudam todos os dias.●Planeje o melhor possível de acordo com o que aprendeu antes de implementarqualquer coisa. Uma reflexão em um fim de semana sobre o que foi aprendidopoderá economizar uma quantidade considerável de tempo e dinheiro.● Pense como um atacante (pensar idéias perversas) e fortaleça a segurança atétorná-la a mais segura possível.● Implemente exatamente como foi projetado.●Verifique tudo continuamente para ter certeza de que nada foi alterado.Configurações em computadores podem ser modificadas em instantes e essamodificação poderá causar um forte impacto de segurança. Cuide para quemudanças temporárias sejam temporárias, pois não existe mecanismos capazes dechamar a atenção sobre mudanças.●Pratique a execução para ter certeza de que compreendeu e será capaz de operá-la de maneira correta.
  20. 20. 20 Se g urança da Info rm açãoProcesso de segurança●Simplifique o que deseja que as pessoas façam. O sistema não deve ser seguroporque as pessoas não conseguem utilizá-lo. A arte de projetar a segurança de umsistema consiste em faze-lo de forma que os usuários não precisem se preocuparcom as medidas de seguranças adotadas, contanto que façam o que lhes épermitido.●Dificulte o que não deseja que as pessoas façam. Isso se aplica para pessoasdesautorizadas e autorizadas.●Facilite a identificação de problemas. Em qualquer rede existe uma grandequantidade de informações relevantes aprenda como usar essas informações.●Dificulte esconder o que não deseje que fique escondido. Quanto maior aquantidade de eventos registrados e quanto mais exaustivamente os analisar,maior será a chance de reconhecer rastros de ataques.●Teste tudo o que puder testar. Comece pelos itens mais importantes e examinetodos.●Pratique tudo o que puder praticar. Para defender a rede, as pessoas precisamconhecer suas funções e estar preparadas de maneira adequada.Melhore tudo o que puder melhorar. Faça com que seja mais simples, mais rápido,●mais robusto.● Repita esse processo continuamente, em todos os níveis de detalhe.
  21. 21. 21 Se g urança da Info rm açãoPolítica de Segurança A política de segurança pode ser entendida como sendo um conjunto denormas e diretrizes destinadas a proteção dos ativos da Organização. Política de segurança pode ser um documento, no qual deve estardescrito a forma que a empresa deseja que seus ativos sejam:  ●Protegidos; ●Manuseados; ●Tratados; O objetivo de qualquer Política de Segurança é o de definir asexpectativas da Organização quanto ao uso dos seus recursos(computadores e redes), estabelecendo procedimentos com o intuito deprevenir e responder a incidentes relativos à segurança.
  22. 22. 22 Se g urança da Info rm açãoPolítica de Segurança Devido ao fato da informação nos dias atuais ter um grande valor estratégico e tático para as Organizações. Hoje em dia, a informação é o Ativo mais valioso de muitas empresas.   Diante deste cenário, a política de segurança passa a ter uma importante função, pois visa a proteção dos ativos da Organização para que os negócios não parem e ocorram dentro de um ambiente harmônico e seguro.
  23. 23. 23 Se g urança da Info rm açãoEscrevendo uma política de segurançaUma política de segurança atende a vários propósitos:➢ Descreve o que está sendo protegido e por quê.➢ Define prioridades sobre o que esta precisa ser protegido em primeirolugar e com qual custo.➢ Permite estabelecer um acordo explicito com as várias partes daempresa em relação ao valor da segurança.➢ Fornece ao departamento de segurança um motivo valido para dizer“não” quando necessário.➢ Impede que o departamento de segurança tenha um desempenho fútil.A Política de segurança de computadores é o que há de mais importante.Porém, se pedir que algum profissional da segurança mostre a política queeles utilizam, é bastante provável que, com um sorriso meio sem graça,perçam que volte mês que vem, quando estiver pronto, ou seja, quaseninguém tem realmente uma política de segurança.
  24. 24. 24 Se g urança da Info rm açãoPolítica de segurançaA política de segurança é a medida de segurança mais importante de umaempresa, mas é muito provável que a maioria das empresas não possuauma.As razoes para isso são:✔ Prioridade. A política é importante, mas hoje é preciso que alguémcoloque o servidor Web on-line. É necessário notar que uma política desegurança é urgente.✔Política interna. Em qualquer empresa vários fatores internos afetamqualquer decisão prática.✔Propriedade. Em algumas empresas existem brigas entre grupos paraser donos da política, ou o não.✔Dificuldade para escrever. Uma boa política é um documento difícil dese organizar.
  25. 25. 25 Se g urança da Info rm açãoAdiante são apresentadas algumas sugestões para ajudar a solucionarproblemas com a aplicação (confecção) de políticas de segurança emempresas:Uma boa política hoje é melhor que uma excelente política no próximoano.Uma política fraca, mas bem-distribuída, é melhor do que uma políticaforte que ninguém leu.Uma política simples e facilmente compreendida é melhor do que umapolítica confusa e complicada que ninguém se dá o trabalho de ler.Uma política cujos detalhes estão ligeiramente errados é muito melhordo que uma política sem quaisquer detalhes.Uma política dinâmica que é atualizada constantemente é melhor doque uma política que se torna obsoleta com o passar do tempo. Costuma ser melhor se desculpar do que pedir permissão.
  26. 26. 26 Se g urança da Info rm açãoPara se escrever uma boa política execute os seguintes passos:1. Escreva uma política de segurança para sua empresa. ➢A política deve ter no máximo 5 paginas ➢Não tente torna-la perfeita; ➢Procure apenas reunir algumas idéias essenciais; ➢Não é necessário que esteja completa e não precisa ser de uma clareza absoluta.2. Descubra três pessoas dispostas a fazer parte do “comitê de política desegurança”. Elas irão criar regras e emendas para a política sem modificá-la.3. Crie um site da Web interno sobre a política e inclua uma página descrevendocomo entrar em contado com o comitê de política de segurança. Mantenha sempreo site atualizado com as políticas.4. Trate a política e as emendas como regras absolutas com força de lei. ➢ Na permita que a política seja violada.5. Se alguém tiver algum problema com a política, faça com que a pessoaproponha uma emenda.6. Programe um encontro regular, fora do local de trabalho, para consolidar apolítica e as emendas.7. Repita o processo novamente. Exponha a política no site, trate-a como lei,envolva as pessoas da administração, acrescente emendas conforme sejanecessário e revise tudo a cada ano.
  27. 27. 27 Se g urança da Info rm açãoDescreva como é determinada a importância de uma violação dapolítica e as categorias de conseqüências. Alguns exemplos sãoapresentados a seguir.Penalidades: Critica - Recomendação para demissão; - Recomendação para abertura de ação legal; Seria - Recomendação para demissão; - Recomendação para desconto de salário; Limitada - Recomendação para desconto de salário; - Repreensão formal por escrito; - Suspensão não-remunerada;
  28. 28. 28 Se g urança da Info rm ação
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×