Felipe Pereira da Silva 2011 Segurança da Informação  Política de Segurança
Política de Segurança A segurança de uma rede de computadores não se resume apenas à utilização de dispositivos físicos qu...
Política de Segurança <ul><li>Segundo a norma ISO/IEC 17799: </li></ul><ul><ul><li>“ Objetivo:  Prover uma orientação  e a...
Política de Segurança <ul><li>As políticas de segurança são compostas de um conjunto de regras e padrões sobre o que deve ...
Política de Segurança <ul><li>Diretrizes: </li></ul><ul><ul><li>Precisam expressar a importância que a empresa dá para a i...
Política de Segurança <ul><li>Normas: </li></ul><ul><ul><li>Detalham situações, ambientes, processos específicos além de f...
Política de Segurança <ul><li>Procedimentos: </li></ul><ul><ul><li>São as descrições detalhadas de cada ação e atividade a...
Política de Segurança <ul><li>Como elaborar uma política de segurança da informação? </li></ul><ul><li>Envolve basicamente...
Política de Segurança <ul><li>Definição do Escopo: </li></ul><ul><ul><li>Deve ser claramente definido. Além disso, é preci...
Política de Segurança <ul><li>Identificação da Ameaça </li></ul><ul><ul><li>Compreende os seguintes aspectos: </li></ul></...
Mitos de Segurança <ul><li>&quot; Eu tenho um software antivírus - ele é tudo o que preciso &quot; </li></ul><ul><li>Este ...
Mitos de Segurança <ul><li>&quot; Não há nada no meu computador que um cracker queira &quot; </li></ul><ul><li>Crackers es...
Mitos de Segurança <ul><li>&quot; Somente as grandes corporações e não os usuários domésticos são alvos dos crackers &quot...
Mitos de Segurança <ul><li>&quot; É preciso muito conhecimento técnico para ser um cracker &quot; </li></ul><ul><li>Ao con...
Mitos de Segurança <ul><li>&quot; Meu Provedor de Serviços de Internet me fornece proteção (de antivírus e/ou firewall) qu...
Mitos de Segurança <ul><li>&quot; Eu uso conexão discada, não preciso me preocupar com crackers &quot; </li></ul><ul><li>O...
Mitos de Segurança <ul><li>&quot; Eu tenho um Macintosh &quot; </li></ul><ul><li>Os usuários de computadores Macintosh (Ma...
Estatísticas – Total de Incidentes www.cert.br
Estatísticas – Tipos de ataques www.cert.br
Estatísticas – Tipos de ataques www.cert.br
Número de incidentes por dia da semana www.cert.br
Upcoming SlideShare
Loading in …5
×

Nota de aula seguranca da informacao - politica de segurança da informação

3,103 views

Published on

Published in: Technology
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,103
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
181
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Nota de aula seguranca da informacao - politica de segurança da informação

  1. 1. Felipe Pereira da Silva 2011 Segurança da Informação Política de Segurança
  2. 2. Política de Segurança A segurança de uma rede de computadores não se resume apenas à utilização de dispositivos físicos que tentam impedir que estas sejam atacadas ou invadidas, mas também de que forma os dispositivos serão empregados, quem terá acesso aos recursos e como devem ser acessados.
  3. 3. Política de Segurança <ul><li>Segundo a norma ISO/IEC 17799: </li></ul><ul><ul><li>“ Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.” </li></ul></ul>
  4. 4. Política de Segurança <ul><li>As políticas de segurança são compostas de um conjunto de regras e padrões sobre o que deve ser feito para assegurar as informações e serviços importantes. </li></ul><ul><li>Tem como propósito, fornecer orientação e apoio às ações de gestão de segurança. Assim, ela assume uma grande abrangência, dividida em: </li></ul><ul><ul><li>Diretrizes (camada estratégica); </li></ul></ul><ul><ul><li>Normas (camada tática); </li></ul></ul><ul><ul><li>Procedimentos e instruções (camada operacional). </li></ul></ul>
  5. 5. Política de Segurança <ul><li>Diretrizes: </li></ul><ul><ul><li>Precisam expressar a importância que a empresa dá para a informação, além de comunicar aos funcionários seus valores e seu comprometimento em adicionar segurança à sua cultura organizacional. </li></ul></ul><ul><ul><li>Este instrumento deve expressar as preocupações dos executivos e definir as linhas de ação que orientarão as atividades táticas e operacionais. Um exemplo de diretriz seria: </li></ul></ul><ul><ul><ul><li>Salvaguardar as informações classificadas como confidenciais. </li></ul></ul></ul>
  6. 6. Política de Segurança <ul><li>Normas: </li></ul><ul><ul><li>Detalham situações, ambientes, processos específicos além de fornecerem orientação para o uso adequado das informações, evidenciando assim o seu caráter tático. </li></ul></ul><ul><ul><li>O volume de normas aplicáveis tende a ser proporcional ao porte da empresa, à heterogeneidade de seus ativos físicos, tecnológico e humanos, além do grau de detalhamento necessário para levar a empresa a trabalhar sob um nível de risco adequado. Ex. de normas: </li></ul></ul><ul><ul><ul><li>Norma para admissão de funcionários; </li></ul></ul></ul><ul><ul><ul><li>Norma para criação e manutenção de senhas. </li></ul></ul></ul>
  7. 7. Política de Segurança <ul><li>Procedimentos: </li></ul><ul><ul><li>São as descrições detalhadas de cada ação e atividade associada a cada situação de uso das informações. Devido à natureza detalhada deste componente da política de segurança da informação, pressupõe-se a necessidade de manutenção freqüente. </li></ul></ul><ul><ul><li>Um exemplo deste componente seria o procedimento e as instruções para descrever os passos necessários para se criptografar uma informação confidencial. </li></ul></ul>
  8. 8. Política de Segurança <ul><li>Como elaborar uma política de segurança da informação? </li></ul><ul><li>Envolve basicamente dois passos, são eles: </li></ul><ul><ul><li>Definição de um escopo; </li></ul></ul><ul><ul><li>Identificação de contra quem está sendo protegida </li></ul></ul><ul><ul><ul><li>Avaliação de risco que envolverá a análise de risco. </li></ul></ul></ul>
  9. 9. Política de Segurança <ul><li>Definição do Escopo: </li></ul><ul><ul><li>Deve ser claramente definido. Além disso, é preciso entender exatamente o que precisa ser protegido, estando além do hardware e do software, abordando também os processos de negócio. </li></ul></ul><ul><ul><li>Os seguintes elementos precisam ser considerados: </li></ul></ul><ul><ul><ul><li>Hardware: estações, servidores, switch etc. </li></ul></ul></ul><ul><ul><ul><li>Software: programas fonte, utilitários etc; </li></ul></ul></ul><ul><ul><ul><li>Dados: banco de dados, backup etc; </li></ul></ul></ul><ul><ul><ul><li>Documentação: de programas, hardware, sistemas etc; </li></ul></ul></ul><ul><ul><ul><li>Processos do negócio; </li></ul></ul></ul><ul><ul><ul><li>Metas de negócio. </li></ul></ul></ul>
  10. 10. Política de Segurança <ul><li>Identificação da Ameaça </li></ul><ul><ul><li>Compreende os seguintes aspectos: </li></ul></ul><ul><ul><ul><li>Acesso não autorizado ao ativos; </li></ul></ul></ul><ul><ul><ul><li>Revelação não autorizada de informações; </li></ul></ul></ul><ul><ul><ul><li>Bugs de sistemas e erros de usuários. </li></ul></ul></ul><ul><ul><li>Levam-se em consideração, nesta análise, vários aspectos relacionados à segurança dos dados, backup, propriedade intelectual e resposta a incidente, listados na tabela do próximo slide. </li></ul></ul>
  11. 11. Mitos de Segurança <ul><li>&quot; Eu tenho um software antivírus - ele é tudo o que preciso &quot; </li></ul><ul><li>Este é o mito mais comum da Internet. </li></ul><ul><ul><li>A proteção de um antivírus é importante e necessária; </li></ul></ul><ul><ul><li>Apenas esse software não é suficiente. Novos vírus aparecem todo o tempo. Precisa-se atualizar regularmente as assinaturas; </li></ul></ul><ul><ul><li>Software antivírus apenas protege que vírus infectem o seu sistema; </li></ul></ul><ul><ul><li>Recomenda-se a utilização de outros softwares adicionais, como por exemplo um personal firewall. </li></ul></ul>
  12. 12. Mitos de Segurança <ul><li>&quot; Não há nada no meu computador que um cracker queira &quot; </li></ul><ul><li>Crackers estão interessados em informações pessoais armazenadas no computador. </li></ul><ul><ul><li>Números do CPF e da conta bancária para realizar compras fraudulentas; </li></ul></ul><ul><ul><li>O roubo de identidade (fraud theft) é o crime de colarinho-branco que mais cresce nos EUA; </li></ul></ul><ul><ul><li>Qual o usuário que, mesmo não realizando nenhuma transação financeira no computador, não possui um arquivo em seu disco rígido chamado de “currículo”? </li></ul></ul>
  13. 13. Mitos de Segurança <ul><li>&quot; Somente as grandes corporações e não os usuários domésticos são alvos dos crackers &quot; </li></ul><ul><li>Os crackers geralmente estão procurando presas fáceis e um computador doméstico é muito mais simples de ser invadido do que uma rede corporativa. </li></ul><ul><ul><li>Os invasores se infiltram nesses sistemas usando ferramentas disponíveis on-line; </li></ul></ul><ul><ul><li>As conexões de banda larga são vulneráveis porque possuem um endereço estático sempre ativo que pode ser acessado com facilidade e pode levar um tempo até que a vítima perceba que foi invadida. </li></ul></ul>
  14. 14. Mitos de Segurança <ul><li>&quot; É preciso muito conhecimento técnico para ser um cracker &quot; </li></ul><ul><li>Ao contrário da crença popular, não precisa ser um gênio para invadir um computador. </li></ul><ul><ul><li>Na prática é preciso bem pouco conhecimento técnico, já que qualquer mecanismo de busca listará vários sites ao se procurar palavras como &quot;ferramentas hacking&quot; </li></ul></ul><ul><ul><ul><li>www.thenetworkadministrator.com/2003MostPopularHackingTools.htm </li></ul></ul></ul><ul><ul><li>As ferramentas já estão disponíveis e em poucos minutos pode-se fazer o download delas. Para se ter uma idéia, elas já possuem até instruções de uso! </li></ul></ul>
  15. 15. Mitos de Segurança <ul><li>&quot; Meu Provedor de Serviços de Internet me fornece proteção (de antivírus e/ou firewall) quando estou on-line. &quot; </li></ul><ul><li>Os ISPs (Provedores de Serviços de Internet) raramente fornecem uma proteção abrangente. </li></ul><ul><ul><li>Mesmo que o seu ISP forneça uma certa proteção, você deve instalar os softwares de segurança em seu computador. </li></ul></ul><ul><ul><ul><li>Por que? Quando você está on-line também fica vulnerável ao fazer um download de um vírus, porque, provavelmente, o seu ISP só verifica os e-mails. Isto não o protege se você de fazer um download de vírus. </li></ul></ul></ul>
  16. 16. Mitos de Segurança <ul><li>&quot; Eu uso conexão discada, não preciso me preocupar com crackers &quot; </li></ul><ul><li>O endereço aleatório de acesso faz com que os usuários de conexão discada tenham uma falsa sensação de segurança, mas isso não faz com que eles não sejam localizados. </li></ul><ul><li>Se um hacker que conseguir invadir o seu sistema pode instalar trojan horses que lhe permite localizar seu endereço IP cada vez que você ficar on-line; </li></ul><ul><ul><li>O cavalo de Tróia dispara um &quot;sinalizador&quot; que diz: &quot;Ei, estou aqui, pode vir me pegar&quot;. Portanto, ele sabe que você está on-line e vulnerável. </li></ul></ul><ul><li>Também é possível pegar um cavalo de Tróia através de um vírus de e-mail ou ao fazer o download de um arquivo infectado. Se você instalar um trojan, não faz diferença se a sua conexão é discada ou banda larga. </li></ul>
  17. 17. Mitos de Segurança <ul><li>&quot; Eu tenho um Macintosh &quot; </li></ul><ul><li>Os usuários de computadores Macintosh (Mac) se sentem a salvo porque a maioria dos vírus tem como alvo preferencial as plataformas Windows. </li></ul><ul><ul><li>&quot;Um computador é um computador. Não importa qual plataforma se usa, procuram-se portas abertas.&quot; </li></ul></ul><ul><ul><li>Várias ferramentas hacking específicas para Mac já estão disponíveis na internet. </li></ul></ul><ul><ul><ul><li>O novo OS X foi baseado em Unix e as ferramentas hacking disponíveis para os usuários Unix agora são aplicáveis ao Mac. </li></ul></ul></ul>
  18. 18. Estatísticas – Total de Incidentes www.cert.br
  19. 19. Estatísticas – Tipos de ataques www.cert.br
  20. 20. Estatísticas – Tipos de ataques www.cert.br
  21. 21. Número de incidentes por dia da semana www.cert.br

×